iPhoneでデジタル署名エラーのメールを受ける

一部の銀行から配信される宣伝メールに「デジタル署名」が付いている。
PCでは、デジタル署名用の証明書を確認する事が出来るが、iPhoneでの確認方法がわからなった。
数日前に配信された「三菱UFJ信託銀行」宣伝メールは、「送信者アドレスが赤色」で「赤色の？マーク」が付いていた。数時間後に配信された同一内容の宣伝メールは、送信者アドレスに「チェックマーク」が付き、本文に「電子署名」が付与されている事が記述されいた。


「赤色の送信者アドレス」部をタップしてみたら送信者情報に「信頼されていない署名」と表示され、「証明書を表示」リンク。リンクをタップして証明書を表示。


詳細をタップして確認。有効期限に問題が無い。何が起きているのだろう。。。もしかして「CRL」が発行されている？

iPhoneでは、操作が大変なのでPCに切り替える。

PCから該当するメールを開き、詳細情報表示で証明書を表示してみると「中間CA」から無効表示。認証局が何かやらかした？


無効な認証局の「シリアル番号」を確認「481B6A0913BD8024CA5D22F014F3」


無効な認証局の発行CA（ルートCA）からのCRL配布ポイントを確認してCRLを取得


CRLをopensslで確認


リスト内の「シリアル番号：481B6A0913BD8024CA5D22F014F3」を探すと

CRLの理由が「cessation of operation」との事。中間CAの運営中止のようだ。
証明書有効期限内なので発行機関から代替えのオファーがあったはず。
にも関わらず代替え手段を取らずに放置したのか？
何れにしても「信託」を標榜する銀行が「信頼を失う」行為。

メール中に記載の問い合わせ先に確認してみると、
・確認中（現象は認識しているようだ）との事
・三菱UFJ信託銀行からのメールで間違い無しとの事
・気になるようであれば「メール廃棄」を案内された（無責任感満載）
・原因が判ったら通知されるのか確認したらホームページ上で案内するとの事
（メールぶち撒いたのだからメールで釈明して信頼を回復するのが筋では。。。）

このメールは、「デジタル署名」エラーのサンプルとして確保することにした。

ひかり電話 HGW PR-600MIのSPI設定とIPv６パケットフィルタ設定（IPoE）で不具合

「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」でPR-S300SEのIPv6パケットフィルタ（IPoE）と同様の不具合がある事が判った。PR-600MIのWANとLANポートのパケットをキャプチャして不具合の確認を行った。

（１）構成
PR-600MIのWANポート(PORT15/VLAN03) とLAN(PORT14/VLAN02)をミラーポート（PORT6/VLAN06)に設定し、パケット入出力をWireSharkでキャプチャした。


ぷららのメールサーバは、IPv6アクセス用「v6mail.plala.or.jp」で「imap4s/pop3s/smtp(587startTLS)/smtps(465)」のサービスが提供されている。
このメールサーバをMacbook proのMailからimap4sとsmtp(587startTLS)でアクセスしている。
「v6mail.plala.or.jp」は、「2400:7800:0:502f::240」であるが、セキュリティログ（IPv6）の記録（「ひかり電話 HGW PR-S300SEのSPI設定とIPv6パケットフィルタ設定（IPoE）」「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」参照）から「2400:7800:0:502e::51-4:imaps(993)」からもアクセスがある（下記）。


メールアドレス「2400:7800:0:502f::240:imaps(993)」へと「2400:7800:0:502e::51-4:imaps(993)」からのアクセスを「IPv6パケットフィルタ設定（IPoE）」で許可設定している。


（２）キャプチャ結果
許可設定しているにも関わらず下記のログが記録される

「2400:7800:0:502f::240」サーバー

セキュリティログ（IPv6）
 17. 2021/03/18 11:56:43 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 18. 2021/03/18 11:56:39 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 19. 2021/03/18 11:56:36 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 20. 2021/03/18 11:56:32 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 21. 2021/03/18 11:56:28 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 22. 2021/03/18 11:56:24 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 23. 2021/03/18 11:56:22 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 25. 2021/03/18 11:56:20 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 27. 2021/03/18 11:56:17 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 29. 2021/03/18 11:56:15 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 30. 2021/03/18 11:56:14 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 32. 2021/03/18 11:56:13 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 33. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 35. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 36. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 37. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]

キャプチャしたパケットをPR-600MIのLAN側とWAN側に分離して確認した

（Mail<->）NVR510<->PR-600MI


PR-600MI<->UNI port（AlaxalaGW@NTT<->Mail server）


パケット#69-72通信後、約30分後に#73-74パケットがサーバからクライアントに送信される。
#74は、「FIN/ACK」でセッションの終了宣言。
#75-82は、クライアントからの応答が無いため「+0.2秒」「+0.4秒」「+0.8秒」・・・「+27秒」と8回再送パケットを送る。
#83は、クライアントからサーバーへ#73の応答？を送信するがPR-600MIが#37「廃棄[パケットフィルタ]」で廃棄
#84-98は、サーバーから応答が無いため#83の再送をするがPR-600MIが#36-#17「廃棄[パケットフィルタ]」で廃棄

「2400:7800:0:502e::51-4」サーバー

セキュリティログ（IPv6）
  3. 2021/03/18 13:16:56 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
  6. 2021/03/18 13:16:29 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
  9. 2021/03/18 13:16:16 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 12. 2021/03/18 13:16:09 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 17. 2021/03/18 13:16:06 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 26. 2021/03/18 13:16:05 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 27. 2021/03/18 13:16:04 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 28. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 29. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 30. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]

（Mail<->）NVR510<->PR-600MI


PR-600MI<->UNI port（AlaxalaGW@NTT<->Mail server）


パケット#44までは、「2400:7800:0:502f::240」サーバーとの送受信
約30分（1800秒）後に#45のパケットが「2400:7800:0:502e::54」から送信される
#46で「FIN/ACK」が送信される
#47-54まで#46が再送信される
#45-54までIPv6パケットフィルタ設定で許可されているが#30-3「廃棄[パケットフィルタ]」で廃棄

（３）まとめ
・IPv6パケットフィルタで許可設定しても「廃棄[パケットフィルタ]」で廃棄される
・SPI(Statefull Packet Inspector)は、「FIN/ACK」で誤遷移し「廃棄[パケットフィルタ]」廃棄が推定される

NTTに確認する必要がある。。。

2021/03/24追記：SPI設定のTCPタイムアウト値（デフォルト値）

ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する

China Telecom領域からのIPv6(IPoE)ポートスキャンをPR-S300SEでは「China Telecom領域からのIPv6スキャンをフィルタする」で対処した。「ひかり電話 HGW PR-S300SEのSPI設定とIPv6パケットフィルタ設定（IPoE）」の不具合調査の過程で「ひかり電話 HGW PR-S300SEからPR-600MIに変更された」。PR-600MIの「詳細設定」「IPv6パケットフィルタ設定（IPoE)」では、「セキュリティログ保存可否」指定が出来なくなり、最大100行の「セキュリティログ（IPv6）」がポートスキャンで埋め尽くされてしまう。
NTTのフレッツ・ネクストGWとPR-600MIの間にGWを挿入して不要なChina Telecom領域からのポートスキャンを叩き落とし、必要なログが残るよう構成した（「ひかり電話HGW PR-S300SEのIPv6スループットを確認する」と同等の構成）

（１）構成
PR-600MIのUNIとWAN間をDebian10でブリッジ接続し、ebtablesでChina Telecomからのポートスキャンを遮断する

ブリッジ接続装置
XPS8300( Intel Core i7-2600 @3.4Ghz / Memory 8Gbytes)
debian10(4.19.118-2)
bridge-utils(1.6-2)
Intel Pro/1000PT EXPI9402PT（82571EB） enp1s0f0/enp1s0f1

（２）接続
PR-600MIのUNI端子（ジャック）とenp1s0f1、WAN端子（プラグ）とenp1s0f0を接続する。
直接接続でも良いが、Netgear GS-116EにVLAN設定して下記のように接続した


（３）フィルタ設定
ブリッジポート間を通過する「China Telecom(240e:f7:4f01:c::/64))からのIPv6パケット」を「ebtables」で遮断する

FORWARD chain
eatables -A FORWARD -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-src 240e:f7:4f01:c::/64 -j DROP

遮断ログを記録する場合は、「--log-prefix "China Telecom " --log-ip6」を加える

（４）PR-600MIセキュリティログ（IPv6）
China Telecom領域からの不要なポートスキャンログが排除されると必要なログだけが記録される

「240e:00d9:d800:0200」China Telecom領域
「2001:4ca0:0108:0042」Germany
からのポートスキャンと思われるパケットが記録されるが、頻繁で無いので未対処

「2400:7800:0000:502e:0000:0000:0000:0053/993」は、「ぷららのメールサーバ」なので遮断する必要の無いパケット。
遮断してはいけない。。。。。PR-S300SEと同じだ。。。。