[B! mail] [9ページ] stealthinuのブックマーク

メールソフト多数で「Mailsploit」の脆弱性発覚--スパム対策も回避

印刷するメールで送るテキスト HTML 電子書籍 PDF ダウンロードテキスト電子書籍 PDF クリップした記事をMyページから読むことができます多数のメールソフトに共通する脆弱性﹁Mailsploit﹂が公表された。脆弱性を悪用すれば、送信者を容易に偽装して送信ドメイン認証による対策を迂回できるほか、コードインジェクションも可能だという。脆弱性を公表したセキュリティ研究者のSabri Haddouche氏によれば、Mailsploitの脆弱性は1992年に策定された﹁RFC-1342﹂に起因する。RFC-1342は、メールヘッダー内で非ASCII文字をエンコードする方法を提供しているが、多くのメールクライアントやウェブベースのインターフェースではエンコード後にサニタイズが適切に行われないという。改行やヌルバイトといった制御文字の組み合わせを使用することで、元のメールアドレスの

stealthinu 2017/12/07

『MozillaとOperaはサーバ側の問題だとして修正を見送った』これはサーバ側じゃなくてMUA側の問題だと思うんだけど、なんか理解が間違ってるのだろうか？

リンク

MailSploit — Email Spoofing Flaw Affects Over 30 Popular Email Clients

If you receive an em ail that looks like it's from one of your friends, just beware! It's possible that the em ail has been sent by someone else in an attempt to compromise your system. A security researcher has discovered a collection of vulnerabilities in more than 30 popular em ail client applications that could allow anyone to send spoofed em ails bypassing anti-spoofing mechanisms. Discovered by

stealthinu 2017/12/07

fromをutf-8エンコードで途中で「\0」入れるとiOSのメーラだとそこで切ってくれるからアドレス騙ることが出来ると。

リンク

詐欺メールと会話して犯人の時間を奪うAIメールボット「Re:scam」が登場

Netsafeが電子メール詐欺問題への新たなアプローチとなる人工知能（AI）電子メールボットを開発した。Netsafeはニュージーランドに拠点を置く組織で、オンラインの安全性に取り組んでいる。 Netsafeによって開発された「Re:scam」ボットは、迷惑メールの送信者や電子メールを利用する詐欺師に時間を浪費させることで、電子メール詐欺の問題に対処する。詐欺目的の電子メールを受信したユーザーがそのメールをRe:scam（「me@rescam.org」）に転送すると、Re:scamがその詐欺師との会話を開始する。「Re:scamは複数の人格を使い分けて、ユーモアや文法のミスなど、本物の人間の特徴を模倣し、一度に数え切れないほど多くの詐欺師の相手をすることができる」詐欺師はメールのやりとりを数回行わないと、相手が人間でないことに気づかないかもしれない。そのため、詐欺師にだまされる潜在的な

stealthinu 2017/11/21

大丈夫、すぐスパマーもAIメールbot化してくるから。んでbot同士でずっと会話続けるの、星新一っぽい感じがしてよいな。

リンク

大学 MX リスト

2019年 3月 4日月曜日 15時53分51秒 JST archive: 2018.05.25,2017.11.20,2017.03.30,2016.11.07,2016.04.28, 2016.01.01, 2015.05.16, 2015.04.03, 2015.03.16, 2015.02.07 国立

stealthinu 2017/11/20

大学のMXが自大学運営でなくgmailやoutlook等アウトソースしてる率が半数超えたとのこと(2017/11/20時点)　俺が若い頃はメールサーバなんてみんな自分で立てたもんだったよ、とかくだまく未来が見えるわ…

リンク

研究者プロフィール

stealthinu 2017/11/15

北川直哉先生ってなにしてるひとなんだろ？と思ったら山井先生の研究室の方なんだな。スパム対策系論文に再送動作のとか通信挙動の特異性とかあるからナカーマ感高い。

mail
spam

リンク

企業のネットワーク管理者必見！Internet Week 2017 セキュリティセッション紹介第6回「キャッチアップ！2020に向けたメール運用」について語る | ScanNetSecurity

stealthinu 2017/11/15

Internet Week 2017でのメールとスパム関連のカンファレンス

リンク

Microsoft Word - M3AAWG-Password-Managers-BPs-2017-03-Japanese.doc

stealthinu 2017/11/02

M3AAWGとしてパスワード管理にはパスワードマネージャを使う（そしてサーバ毎のパスワードを変える）ことを推奨するという公式文書。

リンク

メールのあて先が役職順に並んでいないのはマナー違反？ - リクナビNEXTジャーナル

■メールのあて先の並び順、気にしていますか？業務上でやり取りするメールの場合、その仕事に関係する複数人に宛ててメールを送る場合がよくあります。その際、あて先の並び方について、皆さんはどの程度意識されているでしょうか？実際にメールのやり取りを毎日行なっているビジネスマンに聞いてみると、ほとんどの方が﹁役職順で並べている﹂とのことでした。一般社会では、受け取ったメールのあて先が役職順に並んでいない場合、違和感を感じる人も少なくありません。﹁仕事で関わっている組織の体制を理解していない証拠。物事の全体を把握せずに仕事をしている人物だと判断する﹂という厳しい意見があがることも。メールのあて先の並び方には、何らかの意味があると考えられる、と心得た方が良さそうです。役職順を知らなくても、社内向けのメールであれば、組織表などで確認することが可能です。相手が社外のお客様でも、1社だけの場合は、メー

stealthinu 2017/09/29

うっへ。勝手に糞文化作らんでよね… じゃあメールでも「拝啓」から書き始めては。『「メールのあて先が役職順に並んでいないのはマナー違反？」という問いへの答えは、おそらく多くのケースでマナー違反でしょう』

mail

リンク

RBL.JP、運用終了 | スラド IT

spam送信サイトのブロッキング情報をリアルタイムで提供してきたRBL.JP︵http://www.rbl.jp/︶が運用を終了するとのこと。最近のメーラーは、メーラー自身にspam判定機能がつき、役目を終えたと思われるので、本サイトは2017年9月末日を持って終了いたします。 sendmail.cfはRBLを使わないという設定にしておいてくださいますよう、お願い申し上げます。長い間のご協力、ご利用ありがとうございました。

stealthinu 2017/09/14

一番上のanonymousの人の意見が的を射てる。RBLの効果が減ってきた。まあそれはgreylistingやtarpittingも同じで。特に指摘にあるようにサブミッションスパムにはどれも無力だしね。

リンク

http://www.rbl.jp/

stealthinu 2017/09/14

うおおおお、なんと。rbl.jpさんがサービス終了されるのか… rbl.jpさんは常に精度の高いRBLだったと思います。これまで大変ありがとうございます。 ●spam ●security ●mail

リンク

ニッチな領域に勝機あり！人生をメールサーバに捧げたエンジニアの生存戦略 - エンジニアHub｜若手Webエンジニアのキャリアを考える！

ニッチな領域に勝機あり！人生をメールサーバに捧げたエンジニアの生存戦略京都発の技術が東京、どころか世界に羽ばたいています。メールという一見レガシーにも感じられるジャンルで存在感を発揮する、京都のエンジニアの生き方から、技術者としての生存戦略が見えました。﹁電子メールのエンジニアになる﹂——その一言にどのような印象を持つでしょうか。いまさら？もはやロストテクノロジーじゃないの？しかし、Webサイトやサービスの登録に必要なのは、いまだにメールアドレスです。メールはレガシーと思われつつも、なくてはならない仕組みのひとつ。そのメールにこだわり、﹁自分のエンジニアキャリアにおいてメールは“人生”﹂と言い切るエンジニアが、京都にいます。キュービックルートでSisim aiを開発した東邦之︵あずま・くにゆき／@azumakuniyuki︶さんです。東さんはモダンな手法、モダンな人とのつながり方で

stealthinu 2017/09/13

bounceHammerの@azumakuniyukiさんがインタビューされてる記事ががが！！どうしてPerlって聞かれてるけど、当時のメール関係のツールはだいたいPerlで書かれてたよね。

リンク

Postfixメール送信制限その２ - Wat’s up Dude?

項番機能1主要3キャリアへの独自？ルールにより送信(セッション数、同時メール送信数の制限) 2 配信時刻制限(docomo.co.jp宛のメールは深夜帯を避けるなど) 3 エラーメール処理(バウンスメールをカウントして、設定した回数を越えたら配信しない) 4 絵文字メール送信5単位時間あたりのメール送信制限︵例1時間に6万通を上限にする等︶6複数アドレスによるメール送信(キャリア宛のメール送信の高速化) 今日は、2について記述する。2はどこで活躍するか？なのですが、業務の現場では携帯メールを深夜帯に飛ばしたくないみたいな要望があるらしいのです︵受信者側のマナーモードで対応しろといった理屈は、通用しないらしい︶ということで、調べてみるとdefer_transport(master.cfで指定したサービス名を記述すると、メール配信を保留状態にする︵メールキューにに滞留する︶)と

stealthinu 2017/08/30

defer_transports 知らんかった！Postfix MLのとみたさんの解答から。携帯向けとかだけ夜間には送らない、とか出来る。

mail
postfix

リンク

OAuth 2.0 Mechanism - Gmail APIs — Google Developers

Send feedback OAuth 2.0 Mechanism Stay organized with collections Save and categorize content based on your preferences. This document defines the SASL XOAUTH2 mechanism for use with the IMAP AUTHENTICATE, POP AUTH, and SMTP AUTH commands. This mechanism allows the use of OAuth 2.0 Access Tokens to authenticate to a user's Gmail account. Using OAuth 2.0 Start by familiarizing yourself with Using O

stealthinu 2017/07/26

GmailのOAuth認証手順。IMAPのAUTHENTICATEにXOAUTH2というのが使えるようになってる。知らんかった。 ●gmail ●mail ●server

リンク

swaksで快適なメール送信テスト

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 [root@localhost vagrant]# swaks -a -s smtp.lolipop.jp -p 587 To: example@gmail.com Username: info@atani.example.com Password: xxxxxxxxxxxxxxxxx === Trying smtp.lolipop.jp:587... === Connected to smtp.lolipop.jp. <- 220 smtp001.lolipop.jp LOLIPOP-Fsecure -> EHLO localhost <- 250-smtp001.lolipop.jp

stealthinu 2017/07/26

swaksというメールサーバのテスト用ツール。SMTPプロトコル表示しながらテストメール出してくれるためtelnetで直にSMTP叩く代わりに使える。これならSMTP Authとかも簡単にテスト出来る。

リンク

メーラーからGmailへの接続時に認証（パスワード）のエラーが生じる場合の対処方法

対象‥Gmail、G Suite︵旧Google Apps︶、PC︵Windows／macOS／Linuxなど︶、iPhone／iPad／iPod touch、Androidスマートフォン／タブレットGmailを利用できるのはWebブラウザやスマートフォン／タブレット用Gmailアプリだけではない。Windows／macOS／Linuxなどで以前から使われているPOP／IMAP／SMTP対応のメーラー︵メールクライアント、メールアプリ︶でも、Gmailに接続して利用できる。しかし、他のメールサーバの場合と同様に、メーラーに対してGmail用のアカウント名とパスワードを正しく設定しても、次のようなエラーメッセージが表示されてメールの送受信ができないことがある。﹁ログインは認められませんでした。ユーザー名とパスワードが正しいことを確認してください。﹂﹁ユーザー名やパスワードが間違ってい

stealthinu 2017/07/26

Gmailのクライアント認証はOAuthでやるのが推奨とのこと。というかSMTP/IMAPでOAuth認証が正式にサポートされてたんだ…　知らんかった orz

リンク

総務省｜電気通信消費者情報コーナー｜送信ドメイン認証技術等の導入に関する法的解釈について（Legal Matters Concering the Sender Authentication ,etc）

総務省トップ > 政策 > 情報通信(ICT政策) > 電気通信政策の推進 > 電気通信消費者情報コーナー > 迷惑メール対策 > 送信ドメイン認証技術等の導入に関する法的解釈について（Legal Matters Concering the Sender Authentication ,etc）送信ドメイン認証技術等の導入に関する法的解釈について（Legal Matters Concering the Sender Authentication ,etc）送信ドメイン認証や25番ポートブロックといった迷惑メール対策技術は、効果的な迷惑メール対策として実用化が図られてきたところです。他方、こういった技術の中には、その利用が電気通信事業法に規定されている通信の秘密の保護及び役務提供における差別的取扱いの禁止に抵触するおそれがあるものもあります。そこで、総務省ではこうした迷惑メール対

stealthinu 2017/07/07

DMARCでの受信制限が電気通信事業法的にどのように理解される（許可できる）のかという資料。

リンク

デカいメールヘッダ | どさにっき

■ デカいメールヘッダ _ うーん。→ ︻Exchange Onlineに関するお知らせ︼ヘッダーサイズの超過によって Exchange Online からのメール配信に失敗する場合がある _ MS の Office365 はリレーするメールに長大なヘッダを付加するのはよく知られていることなんだけど、最近は肥大化がさらに進んで、受け取り側で headers too large で蹴られるような事態になってるそうで。このお知らせにある例では、32KB が上限だったようなんだけど、32KB って小さすぎる値じゃないよねぇ。 _ 調べてみたところ、sendmailのデフォルトがまさに MaxHeadersLength=32768 だった。つまり、意図してヘッダサイズを小さな値に制限していなくても、sendmailをデフォルトのままで使っていればそれだけで O365 からのメールの受け取り

stealthinu 2017/07/06

えーっ…　Office365がバカでかいメールヘッダを付けるせいで受信側でheaders too largeで蹴られることが起きてるらしい。でエラーが発生したMTA側がヘッダーサイズでかくせよと言ってるとのこと。ふあー。 ●mail

リンク

milterの組合せによる低配送遅延を目指したspam対策メールサーバの設計と導入の効果について | CiNii Research

タイトル別名 Design for an Anti-spam Mail Server with Low Delivery Delay by the Incorporation of Milter and Its Operational Results spam対策技術の1つであるgreylistingは﹁spam発信MTAは再送をしない﹂との仮説に基づき送信者に対して一時エラーのレスポンスコードを返し，再送をうながす対策手法である．greylistingはspam排除の効果は高いが，適用するすべてのメールに再送要求をするため，通常メールにも大きな配送遅延が生じる．我々が運用しているメールサーバにおいても通常メールを受信するまでに平均1時間15分の遅延が生じていた．通常メール送信者をwhitelistに登録すれば，そこからのメールの配送遅延は回避できる．しかしすべての通常メール送信者をwhi

stealthinu 2017/06/26