「DKIM」を含む日記 RSS

はてなキーワード: DKIMとは

2024-04-26

[] ITエンジニア勉強について

エンジニア資格不要と言われるけれど、個人的には結構勉強になると思う。

自己負担の実費でIPAネスペセキスペと受けたけれど結構役に立ったなと思っている。

多分その辺を勉強していなかったらDNSキャッシュポイズニングとか迷惑メールフィルタDKIMの仕組みとかDHCPスプーフィングとかセキュリティ話題に全くついていけなかったどころか興味も持っていなかったかも知れない。でもある程度わかって興味を持てるようにようになったのはIPA試験のおかげ。

個人開発をしろだとか仕事OJTしか身につかないとかい意見はあるが、個人的にはベクトルが違う、それはそれこれはこれだと思っている。

仕事をしながらDNSキャッシュポイズニングについて調べる機会とかなかなか遭遇しないだろうしARPの仕組みBGP-4の仕組みなんて絶対に知り得なかった。

野球で言うところの個人開発は練習試合、座学は筋トレ走り込みだ。練習試合だけしかしない人が野球が上手くなると思えない。

で、今IPA試験も一通り受けて次勉強するって何をすればいいんだって思っている。

世の中にはまだまだ未知のIT技術に溢れている、低レイヤICチップの仕組みだとか無線LANの仕組みとかJVMのこととか、都度都度自分で調べれば良いんだろうけど効率的ではないし、何より自分の全く知らない分野というものに気付く機会はない。

オラクルの本をジャケ買いするのもありかなと思うけど、1つのトピックで何百ページも読むのはモチベが湧かんな

2024-02-04

https://scan.netsecurity.ne.jp/article/2024/02/01/50539.html

はてな見てると沢山の会社2月からSPFDKIMだDMARCだと困ってる(DMARCは月5000通が適用下限だが、SPFDKIMはあらゆるメール送信者が対応しておくべきである)ように見えるが

そもそもアンテナの低い会社はそれらの情報キャッチしてないか数字としてはこんなものではないかと思う

2024-01-26

神奈川県高校の出願システムはどうするべきだったか

安易jpドメインを取得して運用を試みるべきでなかった

ここの結論を先にいうと,神奈川県公立高等学校入学選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域JPドメイン属性JPドメインを使う設定をするべきであった.

これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガク https://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-kanagawa.jp は違う),その状況だけ見ても本物に混じって偽物がスパムフィッシングを行っていてもほぼ見分けが付かないのである

Google から見ても,取得が容易なjpドメイン最近取得したドメイン,似たようなドメイン,似たようなメール,が送られてくるのであるユーザの受信ボックス迷惑メールゴミ箱に大量に届く懸念がある以上,ブロックするのが定石である

仮にブロックせず受信ボックス迷惑メールゴミ箱に届けた場合,大量送信によってユーザ使用量を圧迫し 15 GB 到達すると,そのユーザ新規メールを受信できなくなり本当に必要メールを取りこぼす可能性がでてきてしまう(容量空ければ受信できなかったメールを受信し始めるわけではない).

なので,大量送信 SPAM 判定したメールはできる限りブロックする選択が,Gmail にとってある意味最善手なのである

なお,神奈川県は令和 4 年度までは @pref.kanagawa.jpメールで使っていたが令和 4 年度以降から @pref.kanagawa.lg.jp に切り替えているので,ベストは shutugan.pref.kanagawa.lg.jp であったと思われる.

サブドメイン毎にドメインレピュレーションが分かれているためあまり深い意味はないが,少なくとも pref.kanagawa.lg.jp は 2007/04/16 に登録され有効ドメインなので,新規登録に比べて信頼性が高いと判断される.

なお,kanagawa.jpkanagawa.lg.jp の切り替えもいろいろと謎はあるが,それはまた別の問題

webページkanagawa.jp の方だし他方 e-kanagawa.lg.jp なんてのもあり……ちなみに e-kanagawa.jp株式会社つくばマルチメディア 登録ドメイン行政関係ない.

SPF/ DKIM / DMARC あたりをテスト段階で正常化できず本番環境動かすのはドメイン死ぬので,初期設定を甘く見ずにやるべきだった

少なくとも動き始めには DKIM / DMARC が設定されておらず,問題になってから設定し始めてもそれはSPAMを頑張る業者行動様式が似るので無駄なあがきとなっている可能性が高い.

SPF2006年DKIM2011年,DMARC は 2016年に出てきた対 SPAM 技術であるDNS 弄ったりメールサーバー建てるような人でないならこれらの設定方法は知らなくてもしかたない.

だがそれらを生業としている側の人間なら, 2024 年現在, 13 年前に提案された DKIM すらちゃんと設定できないというのは,iPhone 4Internet Explorer 9 向けの開発しかわかりませんとか,スマホアプリLINEいたことないというのを 2024年に言っているのと同じレベルなのである

そのぐらい前の時代提案された迷惑メール対策・認証系の機能を未実装で本番環境動かすというのは,語弊のある誇張表現をするなら Windows Updateapt upgrade を 13年間しないで通信を試みるようなもので,自殺行為に等しい.

もちろん,その通信を受ける側はこいつヤバいやつだってすぐわかるので,かなり辛口評価することになり,ちょっとでも SPAM雰囲気出してきたらブロックするのは定石.

そしてブロックされた SPAM 側はあの手この手おかまいなしに SPAM 送ろうとするので似たような内容やドメインでしつこく送ろうとするので,似たようなものもどんどんブロックするのである

なので初手でヤバいやつ認定されないのが極めて重要にもかかわらず,そこを怠っていたのである

実際に,2024 年 1 月 12 日時点の mail.shutsugankanagawa.jp はどうなっていたかというと DKIM 設定がないまま本番環境を動かしていたようである. https://archive.md/qykwX

ここで実際いろいろ正常化しても,それは SPAM 業者あの手この手でなんとしてでも SPAM 送り届けようと頑張っている様子と一緒なので,ある意味無駄なあがきなのであるどころか,SPAM認定を加速させた可能性も否定できない.

GmailSPAM対 策は馬鹿じゃないので,送信ドメインを変えても文面があまり変わっていないなら SPAM とするし,送信元の IP とかも見て SPAM とするので, Amazon SES 使いつづけたり新 IP で何回も試行するとうまくいかないし,送信信頼性の高い送信サーバーサービス経由で送れたりするようになっても,SPAM扱いされることもよくある.

ちょっと送信成功しだしてまたいっぱい送り出して SPAM 業者扱いされるのはやっていることが SPAM 業者と同じことというか,その辺の今時の SPAM 業者より SPAM 業者っぽい挙動をしているのである

今でもたまに Google anti-SPAM/phishing 網をくぐり抜けてくる えきねっとフィッシングメールもびっくりするほどであろう.

Gmailポリシーをよく読んでおくべきだった

Gmail ユーザーへの送信ガイドラインみたいな文章は,最近の DMARC 騒動で見る人が多いこのページが一番詳しい https://support.google.com/a/answer/81126?hl=ja .今はその騒動に応じてかなり加筆されているが,このページは開発中はどうであったのだろうか.

まず開発スケジュールについては,この開発は神奈川県調達情報によると,調達案件番号 0001450060020230089R 業務名『神奈川県公立高等学校入学選抜統合WEB出願システム構築及び運用保守業務委託』で間違いないと思われ,開札日が令和5年3月31日からプロジェクト始動はその後だろう.

税金使途への意識高い県民はご存じの通り,ここから誰でも調べられる https://nyusatsu-joho.e-kanagawa.lg.jp/DENTYO/P6515_10

ちょうどその頃の Web Archive がたまたまあって 2023/03/07 時点ではこうなっていた https://web.archive.org/web/20230307005024/https://support.google.com/a/answer/81126?hl=ja

冒頭では

重要: 2022 年 11 月より、Google Gmail アカウントメール送信する新規送信者は SPF または DKIM の設定が必須になりました。

さらっと メール送信する新規送信者は SPF 「または」 DKIM の設定が必須 である一方,『ドメインメール認証を設定する(必須)』の重要のところをよく読むと,

重要: 2022 年 11 月より、個人Gmail アカウントメール送信する新規送信者は、SPF または DKIM を設定する必要がありますGoogle では、新規送信から個人Gmail アカウント宛てのメールランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメール拒否されるか、迷惑メールに分類されます。この要件は、すでに送信である場合適用されません。ただし、組織メール保護し、今後の認証要件サポートするために、必ず SPFDKIM を設定することをおすすめします。

のようになっていて,「今後の認証要件サポートするために、必ず SPFDKIM を設定することをおすすめ」など,やんわりと新規送信者は認証しっかり 必ず SPFDKIM を設定することをおすすめ しているのである

こういう書かれ方しても,個人メールサーバーとかなら SPFDKIM どっちかで運用してみてドメインを駄目にしても笑い話になるけど,自治体運用するシステムであえて,博打に挑戦する必要あるのだろうか.

まぁ本来発注側の要件定義書かにちゃんSPF / DKIM を設定することなどと書いておくべき案件だったかなとは思う(たぶん書かれていなかったんだろう).

とにかく今は全世界の3割弱が Gmail と言われている中で,本当に Gmail が謎仕様ブラックボックスで届かないことが多発していたら国内外もっと騒ぎになるので Gmail 側に今回の件で大きな瑕疵があったとはいいがたい.

設定不備およびその後の作業内容地雷原を突き進んで自爆しているのだろう.

神奈川県高校の出願システムは今からどうすればよかったか / 私ならこうした,こうする
  1. Google Workspace を契約して shutugan.kanagawa.lg.jp とか地域JPドメイン属性JPドメインを使って登録する
  2. SPF / DKIM / DMARC ちゃんと設定する
  3. no-reply@shutugan.kanagawa.lg.jp送信できるようシステムを作る

アホらしいけどアホに一番わかりやすくいえば Google Workspace / Gmail 同士では IP メールサーバーレピュテーションと無縁になれて,世界中の他の宛先にもだいたい問題なく送れるので,SPF / DKIM / DMARC の設定だけ気にすればよく,かなりシンプルなのである

Amazon SES 使えていたんだから Google Workspace も不可ではないはず(ISMAPに Google Workspace もいるので,あとは要件しだいだけど).

今日花金で午後暇になったのでざっと調べて書き出したけど,去年(おそらく最小限の修正などで運用するための発注) 3,600,000円 だったシステムを,今年は全面刷新して 138,600,000 円かけたわけだけど,ちょっとさすがに値段の割にお粗末な印象がある.

まぁ入札調書の開札日付が「平成」のままになっていたりしているの見ると教育委員会側も事務方スタッフ発注から既に疲れてるんだろうなとも思うなど,ただそういう大人の事情はともかく受験生の心情を考えると,本来あるはずのない余計なストレスを掛ける結果に,大人の一員として恐縮してしまう.

一つ思うのはこれ「一般競争入札技術審査型)」だけど本当にちゃん技術審査したのかね?する能力あった?安い方に安易に決めてないだろうな??と,突っ込んでいった方が今後の神奈川県教育環境のために遠からずなるかなと思ったけど,よく考えたら私は神奈川県民じゃなかったわ

2022-07-19

メールが届かない

ここ半年、送ったメールが届かなかったり

相手から送ってるはずのメールが届かなかったり事故が頻発している

原因はメール認証の強化やUTMフィルタリング機能更新ではなかろうかと思うが

IT屋は「マトモな会社は今どき電子メールとかFAXなんて使わないよねーw影響は軽微だよねw

Slackとかチャットツールが標準でしょ」

みたいな?

いやいや、中小企業ナメんなよと言いたい

マジやめて

とりあえずSPF/DKIMがついてないだけで迷惑メールにぶん投げるのマジ止めて

お願いしま

2009-03-08

http://anond.hatelabo.jp/20090308101544

端末はデータレンダリングサーバーデータそのものを保持で分かれていくはず。ちょうど今のネットゲームみたいな感じで。

データ改ざんされては困るものについては、サーバーで処理しないといけない。例えばネトゲだと、攻撃の命中判定やパラメーターの変化の管理サーバーでやる方が堅牢になる。クライアントは表示に徹しないと所謂チートが可能になってしまうから。ネトゲ以外でもチートされたら困るような用途なら、サーバー処理の必要性はなくならない。

でもこれはクライアントサーバー型の話であって

peer-to-peer 型だとまた違ってくると思う。p2p 型だとデータを複数に保持できるから、クライアントサーバー型とは別の形でデータの正当性を証明できるだろうし、同期性や速度が重要サービス以外は p2p 型の方が強くなりそだし。

あと個人的に思うのが SMTP をなんとかしてほしー

DKIM みたいなあとづけじゃなくてプロトコル自体になりすましできないような仕組みがほすい

マイクロソフトがわけわかんない SMTP 拡張する前に・・・

 
ログイン ユーザー登録
ようこそ ゲスト さん