アカウント名:
パスワード:
「メールの送信元アドレスはいくらでも詐称できる」って、10年前で認識が止まってませんか?今時DKIMで署名するのが普通だし、未署名のメールはADSPで廃棄させることが可能なんですが。
いっときますが、大量に送信するメールは普通DKIMで署名します。しなかったらGmailやOutlook等でスパムメールの誤判定くらいますので。
確かにDKIM・ADSPに対応していないメールサービスも世の中には存在しますが、GmailもOutlookもYahoo!メールも対応しており、ガラケーでインターネットをするユーザが壊滅した現在(通話専用にしている人はまだいるけど)では対応していないサービスを使っているユーザは少数です。
「メールの送信元アドレスはいくらでも詐称できる」とか「メールは平文で転送される」といった言説は、「Webブラウザの通信は暗号化されないのでクレジットカード番号を送信すると危険」みたいな言説と同様、時代遅れに思えます。
> 今時DKIMで署名するのが普通 全く認識が間違っている。迷惑メール相談センターの 送信ドメイン認証実施状況 [dekyo.or.jp]を見れば分かるが、2018年12月末時点で、OCN、ODN、モバイル大手(au, docomo, softbank)は全て、DKIM未対応。貴方が挙げているOutlook(outlook.jp)ですら、DKIM署名を付けてません!
> ガラケーでインターネットをするユーザが壊滅 これも誤り。MMD総研調査では、1日1~10回キャリアメールを利用するスマホユーザーが40%近くいます(2018年版:スマートフォン利用者実態調査 [mmdlabo.jp])。
IIJmio、Nifty、Yahoo!BB、So-netとかはDKIM対応しているが、後述のとおり、SPFは信用に値せず
今時オープンリレーしてる事自体が論外なんでそれを抱えてるドメインのメール自体は信用すべきでは無い。クラックされてたらもはや詐称ではなく単なる乗っ取り。しかもその場合DKIM使っててもそれごと使われかねない。類似ドメインはFrom詐称とは別物。そしてこちらもDKIMで防げるものでは無い。
穴があるのは確かだけど、攻撃者が使えるドメインが脆弱性のある物と、単なる類似ドメインに限られている時点で、かつてのような詐称され放題の状況とは同一視できないように思える。
ていうか脆弱性と類似ドメインだけならブラックリストで大部分無効化されない?
> オープンリレーしてる事自体が論外そう思うでしょ。ところが意外にも結構な大手ですらしょっちゅうリレーされてるのよ。設定ミスなのか何なのかしらんけど。
> ブラックリスト人手の問題で、ブラックリストに入れるよりも、詐欺ドメインが増える数の方が圧倒的に多いのよ。.comドメインに1日に登録される件数が10万件前後で、その大半が詐欺ドメインに使われていく疑いがあるのだけど(※)、詐欺サイトのブロックはそんなに早く出来てないのさ。疑わしきは罰す、という訳にいかないから。
※インターネットユーザーが全世界の半分35憶人居て、 その全員がそれぞれ平均10年に1回は新規ドメインを 取っている計算になる。そんなのあり得ねえってこと。
本当に深刻な「類似」ドメインと大手のオープンリレーさえ登録できてりゃ概ね目的は達成できるでしょ。そっから先は被害者の警戒不足が無いと成立難しいし、実績浅いドメインに取り敢えず忠告貼っ付けるとかでも大分抑制できる。
つかこういう話で一々完全無欠の対策にはならないーとか言われても困るわ。その10万件にしても何割が「メールの」詐欺用で、何割が「紛らわしい」名前なのか。DKIM無関係な乗っ取る案件の話をした事といい話を広げるのも程々にしろ。
> 登録できてりゃ 問題は、その登録されている数が実態よりあまりにも少ないことじゃ?よくある短縮URLへのAbuse reportも、だれがまともに出しているんだか。#余談だが、某Webサイトブロック機能は、短縮URLサイトを短縮URLにカテゴライズせずに ファイル共有とかにカテゴライズしてたりする。そんなんじゃあカテゴリ通りにブロックできないだろう…。
完全無欠の対策など誰も話していないのでは?ブラックリストではじける範囲も一定量はあるだろう。しかし、例え8割をブロックできても、迷惑メール全数が500通とかなら、100通がすり抜けて来るわけだ。そんなのが1人に100通も来てた
> 1人に100通も来てたら 「迷惑メールは誰が出す?」(新潮新書)って本を読んだけど、ビルゲイツは1日に500万通もの迷惑メールを受け取ってたそうだ。すんげー世界だよな。
# 迷惑メールと同じで、罵詈雑言とばす社会人失格者の投稿には 反応しちゃダメよ。
話題読み違えてたのが恥ずかしくなって言葉遣いを攻撃して逃げるのか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:-1)
「メールの送信元アドレスはいくらでも詐称できる」って、10年前で認識が止まってませんか?
今時DKIMで署名するのが普通だし、未署名のメールはADSPで廃棄させることが可能なんですが。
いっときますが、大量に送信するメールは普通DKIMで署名します。しなかったらGmailやOutlook等でスパムメールの誤判定くらいますので。
確かにDKIM・ADSPに対応していないメールサービスも世の中には存在しますが、GmailもOutlookもYahoo!メールも対応しており、ガラケーでインターネットをするユーザが壊滅した現在(通話専用にしている人はまだいるけど)では対応していないサービスを使っているユーザは少数です。
「メールの送信元アドレスはいくらでも詐称できる」とか「メールは平文で転送される」といった言説は、「Webブラウザの通信は暗号化されないのでクレジットカード番号を送信すると危険」みたいな言説と同様、時代遅れに思えます。
Re: (スコア:5, 興味深い)
> 今時DKIMで署名するのが普通
全く認識が間違っている。
迷惑メール相談センターの 送信ドメイン認証実施状況 [dekyo.or.jp]を見れば分かるが、
2018年12月末時点で、OCN、ODN、モバイル大手(au, docomo, softbank)は全て、DKIM未対応。
貴方が挙げているOutlook(outlook.jp)ですら、DKIM署名を付けてません!
> ガラケーでインターネットをするユーザが壊滅
これも誤り。
MMD総研調査では、1日1~10回キャリアメールを利用するスマホユーザーが40%近くいます(2018年版:スマートフォン利用者実態調査 [mmdlabo.jp])。
IIJmio、Nifty、Yahoo!BB、So-netとかはDKIM対応しているが、
後述のとおり、SPFは信用に値せず
Re: (スコア:0)
今時オープンリレーしてる事自体が論外なんでそれを抱えてるドメインのメール自体は信用すべきでは無い。
クラックされてたらもはや詐称ではなく単なる乗っ取り。
しかもその場合DKIM使っててもそれごと使われかねない。
類似ドメインはFrom詐称とは別物。
そしてこちらもDKIMで防げるものでは無い。
穴があるのは確かだけど、
攻撃者が使えるドメインが脆弱性のある物と、
単なる類似ドメインに限られている時点で、
かつてのような詐称され放題の状況とは同一視できないように思える。
ていうか脆弱性と類似ドメインだけならブラックリストで大部分無効化されない?
Re: (スコア:0)
> オープンリレーしてる事自体が論外
そう思うでしょ。ところが意外にも結構な大手ですらしょっちゅうリレーされてるのよ。
設定ミスなのか何なのかしらんけど。
> ブラックリスト
人手の問題で、ブラックリストに入れるよりも、詐欺ドメインが増える数の方が
圧倒的に多いのよ。
.comドメインに1日に登録される件数が10万件前後で、その大半が詐欺ドメインに
使われていく疑いがあるのだけど(※)、詐欺サイトのブロックはそんなに早く
出来てないのさ。疑わしきは罰す、という訳にいかないから。
※インターネットユーザーが全世界の半分35憶人居て、
その全員がそれぞれ平均10年に1回は新規ドメインを
取っている計算になる。そんなのあり得ねえってこと。
Re: (スコア:0)
本当に深刻な「類似」ドメインと大手のオープンリレーさえ登録できてりゃ概ね目的は達成できるでしょ。
そっから先は被害者の警戒不足が無いと成立難しいし、
実績浅いドメインに取り敢えず忠告貼っ付けるとかでも大分抑制できる。
つかこういう話で一々完全無欠の対策にはならないーとか言われても困るわ。
その10万件にしても何割が「メールの」詐欺用で、何割が「紛らわしい」名前なのか。
DKIM無関係な乗っ取る案件の話をした事といい話を広げるのも程々にしろ。
Re: (スコア:0)
> 登録できてりゃ
問題は、その登録されている数が実態よりあまりにも少ないことじゃ?
よくある短縮URLへのAbuse reportも、だれがまともに出しているんだか。
#余談だが、某Webサイトブロック機能は、短縮URLサイトを短縮URLにカテゴライズせずに
ファイル共有とかにカテゴライズしてたりする。そんなんじゃあカテゴリ通りにブロックできないだろう…。
完全無欠の対策など誰も話していないのでは?
ブラックリストではじける範囲も一定量はあるだろう。
しかし、例え8割をブロックできても、迷惑メール全数が500通とかなら、100通がすり抜けて来るわけだ。
そんなのが1人に100通も来てた
Re: (スコア:0)
> 1人に100通も来てたら
「迷惑メールは誰が出す?」(新潮新書)って本を読んだけど、
ビルゲイツは1日に500万通もの迷惑メールを受け取ってたそうだ。
すんげー世界だよな。
# 迷惑メールと同じで、罵詈雑言とばす社会人失格者の投稿には
反応しちゃダメよ。
Re:メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:0)
話題読み違えてたのが恥ずかしくなって言葉遣いを攻撃して逃げるのか。