[B! mail] stealthinuのブックマーク

SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝

SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。本記事では、その論文を参照しながら、簡単に概要をまとめておきます。補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。そこで、記事の

stealthinu 2024/03/05

SPFでincludeしてるとその先で共用のIPアドレスとかが設定されててそこから騙れてしまうと。BreakSPFという名前を付けてる。色々と手法が出てくるな…

リンク

古い技術について—SMTP現代事情つまみ食い—

YAPC::Hiroshima 2024

stealthinu 2024/02/11

おおー、東さんのSMTPついての最近の状況解説が注目されてる！DMARCはヘッダーfromのチェックもするところの価値もあるのだな。

mail

リンク

なぜGmailだけ届かなかった？　高校出願システム問題、神奈川県に詳しく聞いた

神奈川県の公立高校入試のインターネット出願システムで、﹁@gmail.com﹂ドメインのアドレスにシステムからのメールが届かず、受験生による登録や高校出願に支障が出ていた問題が、2月7日までに解消した。問題発生から完全解消まで1カ月かかっている。県は問題の原因について﹁システム開発を委託した業者の設定に不備があったため、メール送信が集中したタイミングでGmailに迷惑メールと判定されたのでは﹂と説明しているが、設定のどこが問題だったかは特定できておらず、Googleに問い合わせても回答がないという。ネット上では今回、業者の技術力を疑問視する声も出たが、担当者は﹁県が仕様書を出して技術確認を行い、仕様に対応できるとのことで入札で決めた。問題ないと考えている﹂と述べている。﹁@gmail.comだけ﹂突然の障害、メールシステムを変えるなど対応出願システムは1月4日に公開。メール配信サー

stealthinu 2024/02/09

『設定「不備」は認めたものの「gmail以外のメールサービスには届いていた。設定の“誤り”とは断定できないのでは。誤りというよりセキュリティの厳しいGoogle向けの設定が不十分だった」との見解』ええっ！？

mail
spam

リンク

Gmailの新スパム規制対応全部書く

[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています︵大筋は変わっていません︶。変更点だけ知りたい方は﹁追記﹂でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス︵海外だとSendGridやAmazon SES、国産だとblas

stealthinu 2023/12/09

最近メール関連から離れてるせいで、このあたりのことやるのすごくだるい…　自前でサーバ立ててる人らって今でもみんなこの手の設定やってるのかな？普通の人にはめんどくさすぎではないのか。

リンク

Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編) - Qiita

メールの世界にGmailさんが新たな闇を投入 (インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。︵正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照︶ (*2 最下部キャプチャあり) えーと、﹁1日あたり 5,000 件を超えるメールを送信する送信者﹂はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が SPFとDKIMの設定逆引き迷惑メール率メール形式Gmailの From: ヘッダーのなりすまし ARC DMARC ダイレクトメールの場合(……なんとかかんとか) 登録解除と9個もある。何これ……？と様々な人を戸惑わせています。インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000

stealthinu 2023/12/03

ふじた氏がgmailの大量メール送信者に対する制限について簡潔にまとめてくれた（くれる）エントリ。SPF/DKIMはまだいいとしてARCとDMARCどこまで対応しなくちゃいけないんだろと思ってたので参考に。

mail
spam

リンク

メールサーバーへの接続をPOPやIMAPではなく現代風に改善しSMTPも設定不要になるプロトコル「JMAP」、高速に同期可能でスマホの通信量も減らせて効率的

メールサーバーとクライアントとのやりとりに利用されるプロトコルとしてはPOPとIMAPの2種類が広く利用されています。しかし、POPは主な仕様が2000年前後に策定されたままで、同期などの現代的な需要を満たすのが難しく、またIMAPは実装が特殊で新たな開発者にとって扱いづらいという問題がありました。そうした問題を解決するために策定されたのが﹁JMAP(JSON Meta Application Protocol)﹂です。JMAPのコアとなる仕様やメール用JMAPの仕様は2019年に策定が完了しており、すでにJMAPに対応済みのクライアントも登場しています。 JSON Meta Application Protocol Specification (JMAP) https://jmap.io/ JMAPは1999年からメールサービスを提供してきたFastmailのチーム主体で進められているプ

stealthinu 2023/06/17

ほえー、こんなん出てたんだ。でも絶対に普及しないよね。それは自信あるわ。 ●mail

リンク

SPF include数の制限に引っかかったときにやること｜スクショはつらいよ

SPFとinlucde数の制限についてまずは、SPFについてです。 SPFレコードにメール送信するIPを書いて、受信側で検証してなりすましを防ぐ技術です。 SPFは、こうしたメールアドレスにおけるなりすましを防ぐための技術の一つで、 DNSを利用するのが特徴です。ドメインをSPFに対応させるには、そのドメインのゾーンデータにSPFレコード(*2)という情報を追加します。 SPFレコードには、そのドメイン名を送信元としてメールを送ってもよいサーバのIPアドレス等を記述します。 SPFとは includeの制限があり、10回を超えると正常なSPFレコードとして認識されません。 includeの回数は再帰的にカウントされます。たとえは、hoge.comのSPFレコードが以下だとします。 v=spf1 include: fuga.com ~all includeの回数は、このレコード内に

stealthinu 2022/12/08

ああー、なるほど。SPFってincludeの総数10回って制限あるのか。これ参照してるところでinclude増やされたら気が付けないわな。 ●mail ●dns

リンク

はじめに：ある Perl 屋の副業の物語 - OS 添付の Perl で CPAN モジュールを楽に管理するには？

はじめにこの記事は Perl Advent Calendar 2022 の1日目の記事です。ある Perl 屋の副業の物語この物語は実際のお仕事を元につくられたフィクションです。あなたは時々、副業で Perl 関連の仕事を請けている。最近は Perl を自ら進んで書く人は減ってしまったが、競争も少ない分買い叩かれることもなく、悪くない仕事だと思っている。今回の仕事の内容は、顧客に依頼されたメールサーバーに Perl で書かれたプログラムを導入して設定することだ。導入したいプログラムは authentication_milter、初めて知ったプログラムだ。これは CPAN にもMail::Milter::Authentication として登録されている。対象となるメールサーバーのOSは CentOS Stream 8 だが、このモジュールのrpm はどこにも無いよう

stealthinu 2022/12/01

ディストリビューションで提供されてないツールをcpanで入れるときの「汚染」を防ぐため/usr/local/perl5以下をgit管理にして本来のディレクトリからシンボリックリンクする方法。これいいね。

mail
perl

リンク

近年のDNSはプロトコル拡張が活発すぎる!?　現時点で意識しておくべきリソースレコードとは【DNS Summer Day 2022】

stealthinu 2022/11/24

DNSの拡張って結構多くの場合、メールの信頼性担保のためが多いよね。メールがらみ色々やってた製で、なんか勝手に少し申し訳ない気持ちになる。

リンク

GitHub - fastmail/authentication_milter: Email Authentication by SPF/DKIM/DMARC etc.

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

stealthinu 2022/11/10

ARCに対応できるmilterっぽい。perlで書いてある。

リンク

ARC認証の整理しておきたいポイント - 朝から昼寝

概要電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証(Sender Domain Authentication)。本記事は、ARC(Authenticated Received Chain)認証についてまとめたものです。 SPF、DKIM、DMARC、ARC、BIMIといった送信ドメイン認証を俯瞰的にまとめた記事はこちらです。本記事の目的 ARC認証の概要を理解する。 ARC対応の際してのポイントを把握する。 ※本記事では、整理しておきたいポイントを中心に記載しています。ネット上に解説記事が多そうな内容については省略している場合があります。目次概要基本 ARCの認証対象と認証成否認証時の動作 ARC対応に必要な設定認証結果詳細導入ステップや運用ポリシーに応じた調整のポイント再配送の課題をARCにより緩和する仕組み DMARCレポートへのARC認

stealthinu 2022/11/10

ARC認証なんてのが出てるんだ。知らんかった…　DKIMで再送かかった時にもさらにDKIMして？そこでも保障することでchainで保障できるらしい。だいぶ複雑な仕組みだな。 ●mail ●security

リンク

デジタル庁が運用するメール中継サーバに不正アクセス　迷惑メール1万3000件送信

デジタル庁は9月26日、同庁が運用する事業者向け共通認証サービス﹁GビズID﹂のメール中継サーバーが不正アクセスを受け、﹁gbiz-id.go.jp﹂ドメインから迷惑メールが1万3000件送信される問題が発生したと発表した。GビズIDヘルプデスクのメール中継サーバーが、海外からとみられる不正アクセスを受け、24日午後4時半から5時までに迷惑メールが送られたという。同庁は異常を検知してすぐ問題の通信を遮断し、被害の拡大を防いだとしている。個人情報の流出は確認していない。GビズIDは、法人・個人事業主向け共通認証システム。IT導入補助金やe-Gov、ISMAPポータルサイトといった行政システムに、1つのID・パスワードでログインできる。関連記事2日連続のe-Gov障害、原因は別だった　KILLNETの関与は“言及しない” 河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害

stealthinu 2022/09/27

オープンリレーになってたことを疑うコメントが多いが今どきオープンリレーになるとかある？？メールサーバ特殊なの使ってるのかなあ…　謎すぎる

リンク

Ubuntu 22.04 でメールサーバーを作ったのでメモ - tmtms のメモ

令和にもなって自分でメールサーバーを作ってみたのでメモ。OSはUbuntu 22.04。パッケージ更新後に自動的に再起動メールとは関係ないけど apt で再起動が必要な更新があった場合は自動的に再起動するようにした。 /etc/apt/apt.conf.d/50unattended-upgrades: Unattended-Upgrade::Automatic-Reboot "true"; Lets Encrypt TLS 証明書を作るために certbot をインストール。自分はさくらのクラウドのDNSを使ってるのでそれ用のモジュールも追加。 # apt install certbot python3-certbot-dns-sakuracloud https://certbot-dns-sakuracloud.readthedocs.io/en/stable/ に従って /r

stealthinu 2022/05/09

mua_*の設定が必要になってる。unixパスワードと別にdovecot認証用の専用ファイル作って認証させてる。

mail
linux

リンク

電子メール送信に関する技術

ふと気になって調べたことの備忘メモです ✍ （2022/4/2追記）Twitterやはてブで色々とご指摘やコメントを頂いたので、それに基づいて加筆と修正をおこないました特に、幾つかの技術については完全に誤った説明をしてしまっており、大変助かりました…ありがとうございました🙏 なぜ調べたかメール送信機能のあるWebアプリケーションを開発・運用していると、特定のアドレスに対してメールが届かないんだがとか MAILER-DAEMONなるアドレスからメールが来たんだけどといった問い合わせを受けて原因を探ることになります実務においては、Amazon SES や SendGrid といったメール送信処理を抽象的に扱えるサービスを使うことが多いと思いますが、ことトラブルシューティングにおいては、その裏にある各種技術についての概要を知っていると、状況把握や原因特定をしやすくなりますありが

stealthinu 2022/03/31

メールの送信元としてSESとSendgridが主にとりあげられてるのが現代的だった。SMTPSについての認識が自分とはちょっと違ってた。MUAからMSAへの暗号付き接続は今でもSMTPSのが一般的じゃないの？

mail
spam

リンク

東京リージョンのAWS SESで、SMTP認証を使ってメール送信をする - Qiita

TL;DR 周知のとおり︵？︶、AWS SESが東京リージョンで使えるようになりました東京リージョンでSMTP認証情報を使う時のパスワードはシークレットアクセスキーを変換して使います米国東部︵バージニア北部︶リージョンなら署名バージョン2で変換アジアパシフィック︵東京︶リージョンなら署名バージョン4で変換 Amazon SES　東京リージョン対応のお知らせ Amazon SESとSMTP Amazon SESでSMTP送信を行うためには、SMTP認証用のIAMユーザーを作成する必要があります。 Amazon SES SMTP 認証情報の取得 SMTP認証で使うユーザー名とパスワードは、作成したIAMユーザーのアクセスキーID、シークレットアクセスキーを変換したものになります。ここで作成したIAMユーザーを使い、smtp-cliを使ってメール送信を行ってみたいと思います。 smtp

stealthinu 2022/01/28

リージョンごとにパスワードの変換形式が違うとか罠でしかないな

aws
mail

リンク

「Googleドキュメント」のコメント機能を用いた攻撃手法--Avananが注意喚起

印刷するメールで送るテキスト HTML 電子書籍 PDF ダウンロードテキスト電子書籍 PDF クリップした記事をMyページから読むことができますサイバーセキュリティ企業Avananが米国時間1月6日に同社ブログ上で公開したレポートによると、「Googleドキュメント」の生産性向上機能が悪用され、スパムフィルターやセキュリティツールを迂回（うかい）して悪意あるコンテンツが配布される事例が増えているという。 AvananのJeremy Fuchs氏は、サイバー攻撃者がGoogleドキュメントや「Googleスライド」のコメント機能を悪用し、主に「Outlook」ユーザーに対する攻撃を仕掛けている事実を2021年12月に確認したと記している。 Fuchs氏はレポートに、「この攻撃は、Googleドキュメントの文書に対してコメントを追加するかたちで実行される。そのコメント内で@を使って

stealthinu 2022/01/07

Googleのツールにある脆弱性を突かれるとほとんどの場合Googleはホワイトリストに入っているからフィルタを抜けて受け取ってしまうし人間も信用してしまうと。

リンク

Microsoft Exchange Server、日付チェック問題でメール配信停止（緊急修正リリース）

米Microsoftの﹁Exchange Server 2016﹂および﹁Exchange Server 2019﹂で、1月1日以降にメールを配信できなくなっている。米BleepingComputerは、FIP-FSマルウェア対策スキャンエンジンの﹁2022年﹂バグが原因と報じた。Microsoftは同日、この問題を認識しており、﹁本日中に解決方法の詳細を公開する予定﹂と発表した。︻UPDATE︼Microsoftは2日、公式ブログを更新し、この問題に顧客側で対処するための臨時ソリューションを公開し、Q&Aも追加した。また、このブログ更新で、当初示していたマルウェアスキャン無効化という緊急対策についての段落を削除した。臨時ソリューションは自動スクリプトとして提供されており、Microsoftは組織の規模によっては実行に時間がかかる可能性があるとしている。同社は現在、顧客側での作業が不要な

stealthinu 2022/01/06

日付をそのまま並べて使っていたため32bitをオーバーしてしまうことで起きるバグらしい。たぶん作ったときにはその時までには修正されるだろうと思って作ったんだろうなあ…

リンク

大量誤送信撲滅委員会京都支部 - /var/lib/azumakuniyuki

この記事はSMTP Advent Calendar(そんなカレンダーは存在しないし作ってもいない)の22日目です。一昨日の夜に京都新聞でメールを六千人に誤送信って記事を見て「またか」「複数人のチェックしても起きる、人間が介在する限り永遠に起き続ける」「もうCc:ヘッダやめちまえ」と思い、だれかそういうCc:ヘッダをどうにかする記事を書いてるやろと思ったものの、ビシャっと当てはまる記事が見つからず、気まぐれで試して適度に意図した動作になったので記事にした次第です。 www.kyoto-np.co.jp 記事ではCc:ヘッダとか何も書いてないのですが、似たような事件が毎月のようにあるので、とりあえずシステム側の仕組みとして大量の誤送信を排除する方法として試した記録を書いておきます。メール系のAdvent Calendarがなにもない思い付きの気まぐれで実験してブログにするかと思い、せっかく

stealthinu 2021/12/23

大量のTo:やCC:を制限する設定。メール関連Advent Calendar、ないですね…　僕も今後はメール関連の関わりへるだろうなあ。

mail

リンク

取得したドメインで送信するメールの信頼性を上げる方法 - アルパカの徒然文

ドメインを取得後にそれを使ったメールアドレスで送信できるようになったが、受信先でそのメールが迷惑フォルダへ分類されることがある。会社では Google Domain でドメインを取得後、Google Workspace を利用してメールを送信できるようになった。DNS の管理は Cloud DNS を利用していて、その設定は Terraform を用いて管理している。当初の設定はシンプルなものであった。 DNS ゾーンを設定設定したゾーンに対してMXレコードを設定 resource "google_dns_managed_zone" "example_com_domain" { name = "example-com" dns_name = "example.com." } # https://support.google.com/a/answer/9222085 resourc

stealthinu 2021/12/21

SPF/DKIM/DMARC全部設定するやりかた。今はだいぶ簡単になったなと思ったがDNSSECはまあ敷居高い。DNS自社管理してなけりゃいいのか。 ●mail ●spam

リンク

文部科学省における添付ファイル付きメールの運用に関するお知らせ：文部科学省

文部科学省は、令和4年1月4日以降のすべてのメール送受信において、ファイルを添付する際にはクラウドストレージサービスBoxに添付ファイルを自動保存し、送信先からダウンロードしていただく仕組みを導入します。これは、昨今セキュリティ上の観点から疑問視されているパスワード付きZIPファイルの添付により、Emotet(エモテット)などのマルウェアがセキュリティチェックを潜り抜け、感染させるなどの事案を踏まえ、セキュリティ強化策として導入するものです。そのため、文部科学省とメール送受信をされる機関等におかれましては、事前にBoxへ接続が可能かどうか以下URLへアクセスをお試しいただき、以下確認画面が表示されるかご確認いただければ幸いです。表示されなかった場合、所属する組織等のセキュリティポリシーによりアクセス制御をしている可能性もありますので、組織等のネットワーク管理者等にご相談いただき、制御

stealthinu 2021/12/02

添付ファイル付きメールはすべてBOXにアップロードされているものをURLからダウンロードするという方法でやると。まあ落とし所としてはこんなところだろうなあ。

リンク

はてなブックマーク

タグ

関連タグで絞り込む (87)

mailに関するstealthinuのブックマーク (614)

お知らせ

今週のはてなブックマーク数ランキング（2024年6月第3週）

今週のはてなブックマーク数ランキング（2024年6月第2週）

月間はてなブックマーク数ランキング（2024年5月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス