SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の
なぜGmailだけ届かなかった? 高校出願システム問題、神奈川県に詳しく聞いた
神奈川県の公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生による登録や高校出願に支障が出ていた問題が、2月7日までに解消した。問題発生から完全解消まで1カ月かかっている。 県は問題の原因について「システム開発を委託した業者の設定に不備があったため、メール送信が集中したタイミングでGmailに迷惑メールと判定されたのでは」と説明しているが、設定のどこが問題だったかは特定できておらず、Googleに問い合わせても回答がないという。 ネット上では今回、業者の技術力を疑問視する声も出たが、担当者は「県が仕様書を出して技術確認を行い、仕様に対応できるとのことで入札で決めた。問題ないと考えている」と述べている。 「@gmail.comだけ」突然の障害、メールシステムを変えるなど対応 出願システムは1月4日に公開。メール配信サー
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編) - Qiita
メールの世界にGmailさんが新たな闇を投入 (インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。(正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照) (*2 最下部キャプチャあり) えーと、「1日あたり 5,000 件を超えるメールを送信する送信者」はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が SPFとDKIMの設定 逆引き 迷惑メール率 メール形式 Gmail の From: ヘッダーのなりすまし ARC DMARC ダイレクトメールの場合(……なんとかかんとか) 登録解除 と9個もある。 何これ……?と様々な人を戸惑わせています。 インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000
メールサーバーへの接続をPOPやIMAPではなく現代風に改善しSMTPも設定不要になるプロトコル「JMAP」、高速に同期可能でスマホの通信量も減らせて効率的
メールサーバーとクライアントとのやりとりに利用されるプロトコルとしてはPOPとIMAPの2種類が広く利用されています。しかし、POPは主な仕様が2000年前後に策定されたままで、同期などの現代的な需要を満たすのが難しく、またIMAPは実装が特殊で新たな開発者にとって扱いづらいという問題がありました。そうした問題を解決するために策定されたのが「JMAP(JSON Meta Application Protocol)」です。JMAPのコアとなる仕様やメール用JMAPの仕様は2019年に策定が完了しており、すでにJMAPに対応済みのクライアントも登場しています。 JSON Meta Application Protocol Specification (JMAP) https://jmap.io/ JMAPは1999年からメールサービスを提供してきたFastmailのチーム主体で進められているプ
SPF include数の制限に引っかかったときにやること|スクショはつらいよ
SPFとinlucde数の制限について まずは、SPFについてです。 SPFレコードにメール送信するIPを書いて、受信側で検証してなりすましを防ぐ技術です。 SPFは、こうしたメールアドレスにおけるなりすましを防ぐための技術の一つで、 DNSを利用するのが特徴です。 ドメインをSPFに対応させるには、 そのドメインのゾーンデータにSPFレコード(*2)という情報を追加します。 SPFレコードには、 そのドメイン名を送信元としてメールを送ってもよいサーバのIPアドレス等を記述します。 SPFとは includeの制限があり、10回を超えると正常なSPFレコードとして認識されません。 includeの回数は再帰的にカウントされます。 たとえは、hoge.comのSPFレコードが以下だとします。 v=spf1 include: fuga.com ~all includeの回数は、このレコード内に
はじめに:ある Perl 屋の副業の物語 - OS 添付の Perl で CPAN モジュールを楽に管理するには?
はじめに この記事は Perl Advent Calendar 2022 の 1日目の記事です。 ある Perl 屋の副業の物語 この物語は実際のお仕事を元につくられたフィクションです。 あなたは時々、副業で Perl 関連の仕事を請けている。 最近は Perl を自ら進んで書く人は減ってしまったが、競争も少ない分買い叩かれることもなく、 悪くない仕事だと思っている。 今回の仕事の内容は、顧客に依頼されたメールサーバーに Perl で書かれたプログラムを導入して設定することだ。導入したいプログラムは authentication_milter、初めて知ったプログラムだ。これは CPAN にも Mail::Milter::Authentication として登録されている。対象となるメールサーバーの OS は CentOS Stream 8 だが、このモジュールの rpm はどこにも無いよう
ARC認証の整理しておきたいポイント - 朝から昼寝
概要 電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証(Sender Domain Authentication)。 本記事は、ARC(Authenticated Received Chain)認証についてまとめたものです。 SPF、DKIM、DMARC、ARC、BIMIといった送信ドメイン認証を俯瞰的にまとめた記事はこちらです。 本記事の目的 ARC認証の概要を理解する。 ARC対応の際してのポイントを把握する。 ※本記事では、整理しておきたいポイントを中心に記載しています。ネット上に解説記事が多そうな内容については省略している場合があります。 目次 概要 基本 ARCの認証対象と認証成否 認証時の動作 ARC対応に必要な設定 認証結果 詳細 導入ステップや運用ポリシーに応じた調整のポイント 再配送の課題をARCにより緩和する仕組み DMARCレポートへのARC認
デジタル庁が運用するメール中継サーバに不正アクセス 迷惑メール1万3000件送信
デジタル庁は9月26日、同庁が運用する事業者向け共通認証サービス「GビズID」のメール中継サーバーが不正アクセスを受け、「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したと発表した。 GビズIDヘルプデスクのメール中継サーバーが、海外からとみられる不正アクセスを受け、24日午後4時半から5時までに迷惑メールが送られたという。 同庁は異常を検知してすぐ問題の通信を遮断し、被害の拡大を防いだとしている。個人情報の流出は確認していない。 GビズIDは、法人・個人事業主向け共通認証システム。IT導入補助金やe-Gov、ISMAPポータルサイトといった行政システムに、1つのID・パスワードでログインできる。 関連記事 2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない” 河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害
Ubuntu 22.04 でメールサーバーを作ったのでメモ - tmtms のメモ
令和にもなって自分でメールサーバーを作ってみたのでメモ。 OS は Ubuntu 22.04。 パッケージ更新後に自動的に再起動 メールとは関係ないけど apt で再起動が必要な更新があった場合は自動的に再起動するようにした。 /etc/apt/apt.conf.d/50unattended-upgrades: Unattended-Upgrade::Automatic-Reboot "true"; Lets Encrypt TLS 証明書を作るために certbot をインストール。自分はさくらのクラウドのDNSを使ってるのでそれ用のモジュールも追加。 # apt install certbot python3-certbot-dns-sakuracloud https://certbot-dns-sakuracloud.readthedocs.io/en/stable/ に従って /r
電子メール送信に関する技術
ふと気になって調べたことの備忘メモです ✍ (2022/4/2追記)Twitterやはてブで色々とご指摘やコメントを頂いたので、それに基づいて加筆と修正をおこないました 特に、幾つかの技術については完全に誤った説明をしてしまっており、大変助かりました…ありがとうございました🙏 なぜ調べたか メール送信機能のあるWebアプリケーションを開発・運用していると、 特定のアドレスに対してメールが届かないんだが とか MAILER-DAEMONなるアドレスからメールが来たんだけど といった問い合わせを受けて原因を探ることになります 実務においては、Amazon SES や SendGrid といったメール送信処理を抽象的に扱えるサービスを使うことが多いと思いますが、 ことトラブルシューティングにおいては、その裏にある各種技術についての概要を知っていると、状況把握や原因特定をしやすくなります ありが
東京リージョンのAWS SESで、SMTP認証を使ってメール送信をする - Qiita
TL;DR 周知のとおり(?)、AWS SESが東京リージョンで使えるようになりました 東京リージョンでSMTP認証情報を使う時のパスワードはシークレットアクセスキーを変換して使います 米国東部(バージニア北部)リージョンなら署名バージョン2で変換 アジアパシフィック (東京)リージョンなら署名バージョン4で変換 Amazon SES 東京リージョン対応のお知らせ Amazon SESとSMTP Amazon SESでSMTP送信を行うためには、SMTP認証用のIAMユーザーを作成する必要があります。 Amazon SES SMTP 認証情報の取得 SMTP認証で使うユーザー名とパスワードは、作成したIAMユーザーのアクセスキーID、シークレットアクセスキーを変換したものになります。 ここで作成したIAMユーザーを使い、smtp-cliを使ってメール送信を行ってみたいと思います。 smtp
「Googleドキュメント」のコメント機能を用いた攻撃手法--Avananが注意喚起
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティ企業Avananが米国時間1月6日に同社ブログ上で公開したレポートによると、「Googleドキュメント」の生産性向上機能が悪用され、スパムフィルターやセキュリティツールを迂回(うかい)して悪意あるコンテンツが配布される事例が増えているという。 AvananのJeremy Fuchs氏は、サイバー攻撃者がGoogleドキュメントや「Googleスライド」のコメント機能を悪用し、主に「Outlook」ユーザーに対する攻撃を仕掛けている事実を2021年12月に確認したと記している。 Fuchs氏はレポートに、「この攻撃は、Googleドキュメントの文書に対してコメントを追加するかたちで実行される。そのコメント内で@を使って
Microsoft Exchange Server、日付チェック問題でメール配信停止(緊急修正リリース)
米Microsoftの「Exchange Server 2016」および「Exchange Server 2019」で、1月1日以降にメールを配信できなくなっている。米BleepingComputerは、FIP-FSマルウェア対策スキャンエンジンの「2022年」バグが原因と報じた。Microsoftは同日、この問題を認識しており、「本日中に解決方法の詳細を公開する予定」と発表した。 【UPDATE】Microsoftは2日、公式ブログを更新し、この問題に顧客側で対処するための臨時ソリューションを公開し、Q&Aも追加した。また、このブログ更新で、当初示していたマルウェアスキャン無効化という緊急対策についての段落を削除した。臨時ソリューションは自動スクリプトとして提供されており、Microsoftは組織の規模によっては実行に時間がかかる可能性があるとしている。同社は現在、顧客側での作業が不要な
大量誤送信撲滅委員会京都支部 - /var/lib/azumakuniyuki
この記事はSMTP Advent Calendar(そんなカレンダーは存在しないし作ってもいない)の22日目です。一昨日の夜に京都新聞でメールを六千人に誤送信って記事を見て「またか」「複数人のチェックしても起きる、人間が介在する限り永遠に起き続ける」「もうCc:ヘッダやめちまえ」と思い、だれかそういうCc:ヘッダをどうにかする記事を書いてるやろと思ったものの、ビシャっと当てはまる記事が見つからず、気まぐれで試して適度に意図した動作になったので記事にした次第です。 www.kyoto-np.co.jp 記事ではCc:ヘッダとか何も書いてないのですが、似たような事件が毎月のようにあるので、とりあえずシステム側の仕組みとして大量の誤送信を排除する方法として試した記録を書いておきます。 メール系のAdvent Calendarがなにもない 思い付きの気まぐれで実験してブログにするかと思い、せっかく
取得したドメインで送信するメールの信頼性を上げる方法 - アルパカの徒然文
ドメインを取得後にそれを使ったメールアドレスで送信できるようになったが、受信先でそのメールが迷惑フォルダへ分類されることがある。 会社では Google Domain でドメインを取得後、Google Workspace を利用してメールを送信できるようになった。DNS の管理は Cloud DNS を利用していて、その設定は Terraform を用いて管理している。 当初の設定はシンプルなものであった。 DNS ゾーンを設定 設定したゾーンに対して MX レコードを設定 resource "google_dns_managed_zone" "example_com_domain" { name = "example-com" dns_name = "example.com." } # https://support.google.com/a/answer/9222085 resourc
文部科学省における添付ファイル付きメールの運用に関するお知らせ:文部科学省
文部科学省は、令和4年1月4日以降のすべてのメール送受信において、ファイルを添付する際にはクラウドストレージサービスBoxに添付ファイルを自動保存し、送信先からダウンロードしていただく仕組みを導入します。 これは、昨今セキュリティ上の観点から疑問視されているパスワード付きZIPファイルの添付により、Emotet(エモテット)などのマルウェアがセキュリティチェックを潜り抜け、感染させるなどの事案を踏まえ、セキュリティ強化策として導入するものです。 そのため、文部科学省とメール送受信をされる機関等におかれましては、事前にBoxへ接続が可能かどうか以下URLへアクセスをお試しいただき、以下確認画面が表示されるかご確認いただければ幸いです。 表示されなかった場合、所属する組織等のセキュリティポリシーによりアクセス制御をしている可能性もありますので、組織等のネットワーク管理者等にご相談いただき、制御
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
古い技術について—SMTP現代事情つまみ食い—
近年のDNSはプロトコル拡張が活発すぎる!? 現時点で意識しておくべきリソースレコードとは【DNS Summer Day 2022】
GitHub - fastmail/authentication_milter: Email Authentication by SPF/DKIM/DMARC etc.
