素人には判断できないからですよ。今なら署名は簡単に取れるので。Apple Corps Ltd inc.とか。 素人向けの対応ならまずは送信元のメールアドレスの確認かなぁ。
OV証明書なら組織所属確認があるから「Apple Corps Ltd inc.」という会社を登記しない限り「Apple Corps Ltd inc.」の証明書は取れませんよ 送信元のメールアドレスの確認って何を見て確認するの? from は偽装できるから DMARC の対応状況見てで偽装されていないことを確認? どこが初心者向けなんだか
なぜ文面で真偽を判別しようとするのか (スコア:0)
メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。
Gmail も S/MIME 署名の検証に対応しました(※micalg=sha1 は非対応) (スコア:4, 参考になる)
メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。
長い間 Gmail は S/MIME 署名に非対応で、添付ファイルとして「smime.p7s」が表示されるという酷い状況でしたが、最近になって対応したようです。
今確認してみたところ (スクリーンショット) [imgur.com]、Android 版 Gmail (8.2.11.186835846) でも、PCブラウザ版でも署名の検証ができました。
スマホなら件名や差出人等の情報が表示されている部分の「詳細を表示」をタップ、PCブラウザ版なら To の文字のすぐ右の □ で囲まれた ▼ ボタンをクリックで確認できます。
例えば、三菱東京UFJ銀行からのメールであれば、「確認済みメールアドレス」として「email_info02@mufg.jp」が表示されるので、From が偽装されていないことは確認できます。
しかし、住信SBIネット銀行からのメールなど「サポートされていないアルゴリズムが署名で使われています。 デジタル署名が無効です。」というエラーが表示されるメールも多いようです。自分のメールボックスに来ているメールをいくつか確認してみたところ、このエラーが表示されるメールは共通して micalg が sha1 なので、おそらくそれが原因だと思われます。
三菱東京UFJ銀行(エラー無し)
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha-256"; boundary="(略)"
住信SBIネット銀行(エラー表示)
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="(略)"
sha-256 だと古いメーラーでエラーになるし、sha1 だと Gmail でエラーになるというジレンマになってそうです。
残念なことに、Gmail では S/MIME 証明書の Subject 全体を確認することはできないようで、Subject の情報(例えば組織名や住所など)を見たかったら「証明書をダウンロード」から pem をダウンロードして、「openssl x509 -text -noout -in certificates.pem」などのコマンドを実行する必要があります。
しかし、現状でも差出人のメールアドレスが偽装されていないことだけは、S/MIME 署名があれば Gmail のメール表示画面からワンタップで確認できるので、正当なドメイン名と比較することでフィッシング詐欺対策に活用できます。
Re:Gmail も S/MIME 署名の検証に対応しました(※micalg=sha1 は非対応) (スコア:1)
誤解を招くので補足します。この方法は、証明書の中身を表示するための方法なので、署名の正当性の検証は別途行う必要があります。
Re: (スコア:0)
説明、感謝いたします。
Re: (スコア:0)
s/mime署名に対応してもs/mimeのe2e暗号化やpgpには対応しないのか
e2eが普及するとメール内容検閲して広告目的で使えなくなるから嫌なんだろうな
Re: (スコア:0)
現状、署名されているメール自体少ないので、仮にその全てが暗号化されても広告ビジネスに大きな影響はないと思うよ。
メールの暗号化はSignal程の手軽さがないし、Webメールである以上、送信相手と自分の証明書をどこにどのように保管するのかという課題がある。
Re: (スコア:0)
素人には判断できないからですよ。今なら署名は簡単に取れるので。Apple Corps Ltd inc.とか。 素人向けの対応ならまずは送信元のメールアドレスの確認かなぁ。
Re: (スコア:0)
普通そこは詐称するでしょ。
特にアドレスそのものでなく名称を表示するメールクライアントが多いから詐称は簡単。
Re: (スコア:0)
普通そこはメールアドレスそのままですよ。どうやら変更するのが面倒らしい。
少なくともうちにくるスパムメールの内アップルを詐称するものはapple.co.jpとかそのへんから来る。
Re: (スコア:0)
素人には判断できないからですよ。今なら署名は簡単に取れるので。Apple Corps Ltd inc.とか。 素人向けの対応ならまずは送信元のメールアドレスの確認かなぁ。
OV証明書なら組織所属確認があるから「Apple Corps Ltd inc.」という会社を登記しない限り「Apple Corps Ltd inc.」の証明書は取れませんよ
送信元のメールアドレスの確認って何を見て確認するの?
from は偽装できるから DMARC の対応状況見てで偽装されていないことを確認?
どこが初心者向けなんだか
素人向けならS/MIME署名の確認の一択なんだけど……
Re: (スコア:0)
「でしょう」じゃなくて具体的に説明しろよw
Re: (スコア:0)
って人の為に、電子署名って既存の技術使いつつも
アップル謹製メーラーではアップル社の署名は登録作業無しで
バッジでも付くようにすればいいんじゃないですかね
Re: (スコア:0)
iOSのMailでもmacOSのMailでもiCloud.comのウェブメールでも、
SPF,DKIM,DMARCその他の機能を片っ端から検証する機能を入れればいいんじゃないの。
ウェブメールのほうは処理が重そうだけどクラウド力で頑張れ
Re: (スコア:0)
プロバイダーの迷惑メールフィルタに引っかかるから文面で判断するレベルでもないのにね