SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の
Gmailと米国Yahoo!のあれ(2024年2月) - /var/lib/azumakuniyuki
メールシステム担当の人はもちろん、インフラ担当の人もDNSの設定とかで既に知ってはると思いますが、 10月にGoogleが発表した2024年2月から始まるGmailとYahoo!(米国)におけるスパム対策強化のあれです。 海外では数年前から"No Auth, No Entry"って「代表なくして課税なし」みたいな感じで言われているアレです。 識者の方々がいろんなところで記事にしてはりますので、他のところであんまり書かれていない気がするとこだけ記します。 まずは公式情報 Google Googleについては以下の二ヶ所を読んで理解して実践しておけば大丈夫そうです、たぶん。 パラメーターのhl=enをhl=jaに変えると日本語版になりますが、更新されるのが遅いので最初に英語版を見ておくのが良いです。 Email Sender Guidelines(81126) Email Sender Gui
シリコンバレーで話題のプライバシー重視の有料電子メールサービス、「Hey」が目指していること|市川裕康 (メディアコンサルタント)
初めてGmailのアカウントを取得した時のことを覚えてますか? 私が16年前に初めてGmailのアカウント取得した時には、メールの容量がほぼ無限にあって、届いたメールをフォルダに振り分けなくていいこと、そしてメールの履歴がその後ずっとクラウド上に保存されることに驚いたことを懐かしく思い出します。 それから長い年月が経ち、今ではチャットサービスのSlack、Teams、あるいはFacebookのメッセンジャーやLINEでのやり取りが中心になって、メールを使うことがめっきり減った、と感じている人も多いかもしれません。 とはいえ、重要な仕事上のやり取り、仕事の問い合わせ、eコマースで何かを購入した際の領収書の受信、そして世代を越えた大切な友達、家族からの便り、最近注目を集めつつあるメールニュースレターなど、メールの重要性は未だに色褪せないのではないかと思います。 一方で、メールを使っていると、ス
ImprovMX — Free email forwarding. Email aliases for your domain name.
New product Introducing Fernand, the shared inbox for SaaS customer support Learn more → Create free email aliases for your domain name Set up email forwarding in seconds and start receiving and sending emails with your domain name. Absolutely free. Rock-solid infrastructure. World-class support. Lightning-fast deliverability We’re like you: we hate waiting for “lost password” emails when we need
Free Email Forwarding for Custom Domains
How secure is this?Our service ensures your mailboxes are only accessible by you and are not stored in a shared database. We purposely designed our service so that it operates in-memory when you connect and we don't even have access to your mailbox at rest. If you forget your password, then you lose your mailbox and need to either recover with offline backups or start over. How do I get started?Si
メールのテストをする方法 | SendGridブログ
SendGridサポートエンジニアの菊田(@kikutaro_)です。メール送信処理を実装するとき、皆さんはどのようにテストをしていますか?個人やテスト用のメールアドレス宛てに送ることが多いと思いますが、メールのテストには様々な方法があります。今回のブログでは、メールのテストで役に立つツールやサービスを紹介します。 テスト用のSMTPサーバ メール送信のテストでよく使われるのがダミーのSMTPサーバです。通常のSMTPサーバは、メールの送信リクエストを宛先サーバに届けますが、ダミーのSMTPサーバは実際のメール送信はせずに、送信リクエストの受付結果を出力するだけです。 GUIベースのツール 次のようなものがあります。 FakeSMTP MailCatcher Papercut MailDev 以下はFakeSMTPの画面です。ローカル環境で起動して、メール送信プログラムの接続先SMTPには
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
[AWS] Amazon SESのアカウントが止められちゃった話 - Qiita
この記事は本番環境でやらかしちゃった人のアドベントカレンダー14日目の記事です。 多少フェイクを入れているので整合性のおかしい部分があってもご了承ください。 https://qiita.com/advent-calendar/2019/yarakashi-production 背景 モバイル版だけでMAUxx万人のそこそこ規模の大きいサービス。Android/iOS/Webの3プラットフォームで提供。 開発元が撤退済みで、運営元から協力を依頼されとりあえずWeb以外の面倒を見ることに。2社にバラバラに開発を頼んでいたようで、なぜか変なところでAWS環境が2つに別れている。 色々と設計が荒く、ドキュメントもないのでアプリの追加開発の片手間でアーキテクチャの全容把握と改善計画を練っている途中の状況 新規登録時の確認メール、パスワード再発行メールでAWS SESを利用(メール利用はそれだけと認識
![[AWS] Amazon SESのアカウントが止められちゃった話 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/5e2c2d7374be70976b45571387c889cfd4512639/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Fadvent-calendar-ogp-background-7940cd1c8db80a7ec40711d90f43539e.jpg%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQVdTJTVEJTIwQW1hem9uJTIwU0VTJUUzJTgxJUFFJUUzJTgyJUEyJUUzJTgyJUFCJUUzJTgyJUE2JUUzJTgzJUIzJUUzJTgzJTg4JUUzJTgxJThDJUU2JUFEJUEyJUUzJTgyJTgxJUUzJTgyJTg5JUUzJTgyJThDJUUzJTgxJUExJUUzJTgyJTgzJUUzJTgxJUEzJUUzJTgxJTlGJUU4JUE5JUIxJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMzQTNDM0MmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz0yZmI0MzBiMGMyZTQ2MTcyNTJjODRlYjAwZmI0MWYzOQ%26mark-x%3D120%26mark-y%3D96%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9OTcyJnR4dD0lNDB1bmRvcm9pZCZ0eHQtY29sb3I9JTIzM0EzQzNDJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9MDlkNDM4MzgyZjFhYzQwMTQzOTQzZjk5ODUxNTIxMGI%26blend-x%3D120%26blend-y%3D500%26blend-mode%3Dnormal%26s%3Deb50f7643d0442aa6f2f3662053aee82)
メールというインターネットの闇とIPレピュテーション(だけど重要)(前編) - Qiita
と、この例では3回の通信がなされます。1が終わったら 2、2が終わったら 3とバケツリレーされます。 ※3の後に、メールボックスにあるメールをWebで見たりPOP3などでメーラーがメールを取得したりする このSMTPを使用したメールのバケツリレーの様相は、ブラウザとWebサーバーが End to End なHTTP(S)と大きく異なります(HTTPにもプロキシはあって通信が多段になることはありますが、バケツリレーではない)。 「IPレピュテーション」という概念は、上の表の2の通信、インターネット越しに送る側と受け取る側がSMTP通信するところに係わります。 レピュテーション=評価、です。メールにおけるIPレピュテーションとは、受け取る側の送る側の送信元IPアドレスに対する評価 です。この評価によって、受け取る側のメールサーバーは メールを速やかに受け取り受信者の受信箱に配送する メールを受
メールを送信する話 | BLOG - DeNA Engineering
こんにちは、IT基盤部の中村です。 主に社内システムのインフラを担当しています。 現在の業務内容とは少しずれてしまいますが、最近までメール系のインフラには深く携わっていたこともあり、今回はメールシステムについてお話します。 今どきSMTPなどレガシーな話かもしれませんね。しかしながら良くも悪くも枯れたSMTPはインターネット基盤の根底に位置する息の長い技術でもあります。 きっとみんなまだ使ってるはずなのに、あまりノウハウが出回っていないのが辛いと感じているそこの担当者の方、よろしければ少しの間お付き合いください。 サービスでのメールの利用用途 我々がサービスとしてメールを取り扱うとき、その主だった利用用途は下記の2つです。 メールマガジンなどの情報発信 入会・ユーザ登録時などのユーザ存在確認 メールマガジンはユーザーに情報を新たに届けたり、あらたに弊社の別のサービスに触れて頂く機会を提供す
第28回 「続けてパスワード送付」欧米でまったく使われないワケ
「添付ファイルがパスワードロックされたメール」とそれに続けてやって来る「パスワードだけ書かれたメール」。 多くの日本企業で当たり前のように採用されているメールセキュリティのガイドラインですが、前回取り上げた通り、これらは完全に日本だけのガラパゴスなルール/システムです。 なぜ日本だけの独自文化なのか、また欧米はどのように対応しているのかを確認しましょう。 日本独自のガラパゴスルールが広がったワケ まずは、日本でこのようなガラパゴスルールが当たり前になってしまった背景から。実際に情シス担当者の方に導入理由を聞くと、おおむね次のような答えが返ってきます。 「情報漏えい事件の防止や、起きてしまった場合のリスクヘッジである」 まず挙がるのがこちらです。この手のシステムの検討にあたり、稟議書の最初に書かれるであろう理由でもあります。 未然に防げれば何よりですし、「万一、誤送信してしまっても、暗号化さ
Pretty Good Privacy[PGP]を使ってみる - Qiita
メールやファイルの暗号化で国際的に使われているのが「PGP」(Pretty Good Privacy)という暗号化プログラムです。 PGPが普及しないのは公開鍵の受け渡しがめんどくさい!からだと思います。 環境 ubuntu 14.04.1 VirtualBox-4.3.30-101610-Win 公開鍵と秘密鍵を作成 GnuPGを使用します。 VMやVirtualBox環境の場合、下記を実施する。 # gpg --gen-key gpg (GnuPG) 1.4.16; Copyright (C) 2013 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted
![Pretty Good Privacy[PGP]を使ってみる - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/eac321e61199624a6fc7c4ac5bd433bed4d945bf/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9UHJldHR5JTIwR29vZCUyMFByaXZhY3klNUJQR1AlNUQlRTMlODIlOTIlRTQlQkQlQkYlRTMlODElQTMlRTMlODElQTYlRTMlODElQkYlRTMlODIlOEImdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWI4MjMwMTQ3M2UwYjYyMzMzMTJlNjRkN2U0NTY5MGZj%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwbGRyJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1iZmY0YWE3OTZjMzFkN2U5Y2NhMzUxNjkxMzVhMTI2Mg%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D722a12dedc3bfcc5490a384f459b41c0)
Sisimaiを使ったバウンスメールの管理 - クックパッド開発者ブログ
最近、Ninja650に乗り換えたSREチームの菅原です。今までマルチばかり乗ってきたんですが、ツインもなかなか面白いですね。シフトペダルをガチャコンいわせながら方々に出かける毎日です。 この記事では、サービスが配信しようとして何らかの理由で差し戻されたメール—バウンスメールの管理をどのように行っているかという話しを書きます。 バウンスメール サービスがユーザに向けてメールを配信しようとすると、多かれ少なかれバウンスメールは発生します。メールアドレスが間違っている・携帯電話の設定で受信を拒否している・メールボックスが一杯にになっている・IPアドレスがブラックリストに載ってしまったためサーバにメールの受信を拒否されている…etc。完全になくすことは難しいですが、バウンスメールを放置するとメールの到達率を下げたり、送信先から一時的にメールの受信を拒否されたりすることがあるため、差し戻されてしま
「取り急ぎ〇〇まで」はNG!? 知っておきたいメールの言い換え表現 - リクナビNEXTジャーナル
「取り急ぎお返事まで」「取り急ぎご報告まで」。ビジネスメールのやりとりでよく使われるこの「取り急ぎ◯◯まで」というフレーズですが、相手が目上の人だと簡略化した言い回しを使っていいのか迷ってしまいますよね。 そこで今回はビジネスメールにおける頻出フレーズ「取り急ぎ◯◯まで」に関するメールマナーとその言い換え表現について、ビジネスマナー講師の尾形圭子さんに伺います。 使えるのは至急連絡が必要な場合のみ そもそも「取り急ぎ◯◯まで」は、ビジネスメールのやりとりにおいて使ってはいけない表現ではありません。 ただ、使用していい場面について尾形さんは「至急連絡することが必要な場合のみ」だと言います。 「詳しく情報を送るための準備や内容の確認は後回しにしてでも、相手に連絡をしたいとき、また連絡してもよい内容に使う表現です。 例えば『メールが届いた』『企画案を確認した』『打合せ日程変更』などの場合に、『取
http://enog.jp/wp-content/uploads/2014/06/ENOG27_DNSBL.pdf
迷惑メール対策 DNSBL とどう付き合っていますか? 株式会社グローバルネットコア 青田 英雄 アジェンダ DNSBLのおさらい 当社メールサーバへの導入 DNSBLに登録されちゃった ネットワーク構成の変更 まとめ Copyright (c) 2014 Global Network Core Co.,Ltd. 1 DNSBLのおさらい Copyright (c) 2014 Global Network Core Co.,Ltd. 2 DNSBLのおさらい DNSBL DNS(-based) Black List DNS(-based) Block List DNS(-based) Blackhole List など諸説あり ※当社のホームページでは 「DNS-based Blackhole List」と記載しています Copyright (c) 2014 Global N
全てのドメイン宛のメールを受信する - ngyukiの日記
メールフォームの様なアプリの開発時にテストメールが外部へ送信されないようにするために、全てのドメイン宛てのメールを受信するように設定したときのメモ。 ただし、自社のドメイン宛てのメールはそのまま配送したかったので、一部のドメインは普通に送信するように設定しています。 トランスポートマップを使う方法と、デフォルトトランスポートを変更剃る方法の2案ありますが、後者の方が簡単で、前者の方が汎用的だと思われます。 トランスポートマップを使う方法 Postfix の mail.cfの設定 # ローカル配送で不明なユーザを拒否しない local_recipient_maps = # ローカル配送で不明なユーザへのメールは devel へ送る luser_relay = devel # トランスポートマップを指定 transport_maps = hash:/etc/postfix/transportト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
誰がどう見てもそうとしか受け取れない文書術(公開版)
メール配信システムCuenoteなら大量でも届く
keybaseを使って暗号化通信を行う - Qiita
Online IAF decoder - get email configuration from an IAF file