アカウント名:
パスワード:
「メールの送信元アドレスはいくらでも詐称できる」って、10年前で認識が止まってませんか?今時DKIMで署名するのが普通だし、未署名のメールはADSPで廃棄させることが可能なんですが。
いっときますが、大量に送信するメールは普通DKIMで署名します。しなかったらGmailやOutlook等でスパムメールの誤判定くらいますので。
確かにDKIM・ADSPに対応していないメールサービスも世の中には存在しますが、GmailもOutlookもYahoo!メールも対応しており、ガラケーでインターネットをするユーザが壊滅した現在(通話専用にしている人はまだいるけど)では対応していないサービスを使っているユーザは少数です。
「メールの送信元アドレスはいくらでも詐称できる」とか「メールは平文で転送される」といった言説は、「Webブラウザの通信は暗号化されないのでクレジットカード番号を送信すると危険」みたいな言説と同様、時代遅れに思えます。
> 今時DKIMで署名するのが普通 全く認識が間違っている。迷惑メール相談センターの送信ドメイン認証実施状況 [dekyo.or.jp]を見れば分かるが、2018年12月末時点で、OCN、ODN、モバイル大手(au, docomo, softbank)は全て、DKIM未対応。貴方が挙げているOutlook(outlook.jp)ですら、DKIM署名を付けてません!
> ガラケーでインターネットをするユーザが壊滅 これも誤り。MMD総研調査では、1日1~10回キャリアメールを利用するスマホユーザーが40%近くいます(2018年版:スマートフォン利用者実態調査 [mmdlabo.jp])。
IIJmio、Nifty、Yahoo!BB、So-netとかはDKIM対応しているが、後述のとおり、SPFは信用に値せず、DKIMなしのDMARCはPassされてしまうので、メールの送信元偽装は、まだまだ猛威を振るっている。このため、大手モバイルでは、本文のURLとかも見てスパム判定している。
> 時代遅れに思えます。あなたが時代遅れ。最近の迷惑メールは、色々とSPFをPassしてくる手法を使ってきます。そしてDKIM未対応が過半なのでDMARCをPassしてくる。
最近通報した、SPFとDMARCをパスした迷惑メール/フィッシング詐欺メールの例:
例1:SMTPのオープンリレー(なのかハッキングされたか)を使って、リレー途中のドメインでFromを偽装し、SPFをパス。オープンリレーのあったプロバイダーにホスティングしているドメインで偽装してきて、結構有名処のお店のメールアドレスが使われた。
例2:類似したドメイン名を取得してSPFレコードを用意してくる。・From:〇〇〇@aaa.bbb.AU-COM-*****.Com・Return-Path(およびEnvelope From):□□□@au-com-*****.com視覚的に区別しずらいドメインが使われる。上記例ならまだ見抜けても、「myetherwallet.com」→「myethervwallet.com」とかになってくると、気を抜くと気づけない。
# SPFを推進したMicrosoftは、迷惑メール対策停滞を招いた大戦犯。
n0-repl_71223@mail-me.com
親愛な xxxxxx@yahoo.co.jp,あなたのアカウントは、疑わしい場所から最近アクセスされました。ログインの詳細:ブラウザ : SeaMonkeyオペレーティングシステム : Androidロケーション : India24時間以内にこのメッセージを確認するまで、お客様のアカウントは保護されます。指定された締め切りまでこのメッセージを確認しないと、あなたのアカウントは永久にロックされます。ログインボタンをクリックしてアカウントを確認してください。
親愛な xxxxxx@yahoo.co.jp,
あなたのアカウントは、疑わしい場所から最近アクセスされました。
ログインの詳細:ブラウザ : SeaMonkeyオペレーティングシステム : Androidロケーション : India
24時間以内にこのメッセージを確認するまで、お客様のアカウントは保護されます。指定された締め切りまでこのメッセージを確認しないと、あなたのアカウントは永久にロックされます。ログインボタンをクリックしてアカウントを確認してください。
シンプルで如何にもApple社っぽいメール来るねスマホに来たらクリックしちまうかも知れん年々それっぽくなっていくからタチが悪い
Yahoo!仕事しろ
楽天EDYの奴だと沢山あるリンクの2カ所程度だけが書き換えられた感じだった。しかしほぼ完璧ってなりすましなのに、何故かEDYの上限額を超える商品を買った事になって居るという不思議。
なんか中には不特定多数に対して間違い探しとして送って居る愉快犯でも居るのか?とか思ったよ。
今時オープンリレーしてる事自体が論外なんでそれを抱えてるドメインのメール自体は信用すべきでは無い。クラックされてたらもはや詐称ではなく単なる乗っ取り。しかもその場合DKIM使っててもそれごと使われかねない。類似ドメインはFrom詐称とは別物。そしてこちらもDKIMで防げるものでは無い。
穴があるのは確かだけど、攻撃者が使えるドメインが脆弱性のある物と、単なる類似ドメインに限られている時点で、かつてのような詐称され放題の状況とは同一視できないように思える。
ていうか脆弱性と類似ドメインだけならブラックリストで大部分無効化されない?
> オープンリレーしてる事自体が論外そう思うでしょ。ところが意外にも結構な大手ですらしょっちゅうリレーされてるのよ。設定ミスなのか何なのかしらんけど。
> ブラックリスト人手の問題で、ブラックリストに入れるよりも、詐欺ドメインが増える数の方が圧倒的に多いのよ。.comドメインに1日に登録される件数が10万件前後で、その大半が詐欺ドメインに使われていく疑いがあるのだけど(※)、詐欺サイトのブロックはそんなに早く出来てないのさ。疑わしきは罰す、という訳にいかないから。
※インターネットユーザーが全世界の半分35憶人居て、 その全員がそれぞれ平均10年に1回は新規ドメインを 取っている計算になる。そんなのあり得ねえってこと。
本当に深刻な「類似」ドメインと大手のオープンリレーさえ登録できてりゃ概ね目的は達成できるでしょ。そっから先は被害者の警戒不足が無いと成立難しいし、実績浅いドメインに取り敢えず忠告貼っ付けるとかでも大分抑制できる。
つかこういう話で一々完全無欠の対策にはならないーとか言われても困るわ。その10万件にしても何割が「メールの」詐欺用で、何割が「紛らわしい」名前なのか。DKIM無関係な乗っ取る案件の話をした事といい話を広げるのも程々にしろ。
> 登録できてりゃ 問題は、その登録されている数が実態よりあまりにも少ないことじゃ?よくある短縮URLへのAbuse reportも、だれがまともに出しているんだか。#余談だが、某Webサイトブロック機能は、短縮URLサイトを短縮URLにカテゴライズせずに ファイル共有とかにカテゴライズしてたりする。そんなんじゃあカテゴリ通りにブロックできないだろう…。
完全無欠の対策など誰も話していないのでは?ブラックリストではじける範囲も一定量はあるだろう。しかし、例え8割をブロックできても、迷惑メール全数が500通とかなら、100通がすり抜けて来るわけだ。そんなのが1人に100通も来てた
詭弁じゃなくて素で「現代においてメールアドレスの詐称が容易か否かの話」ってのを忘れてるのか君は?
> 短縮URL短縮URLがメールアドレスの詐称にどう関係するっていうの?
> 迷惑メール全数が500通とかメールアドレス詐称したメールは迷惑メールの一種ではあるけど、迷惑メールはメールアドレス詐称を意味しない。君はなんの話をしているの?
> あなたの都合も、親コメの都合も、俺には関係ないがな。都合じゃなくて前提。文脈。それをすり替えた無意味な藁人形相手に反論気分を味わいたいだけならチラシの裏にでも書いてろ。
> マウント取ることだけ目的にしているのか。何様なん
> 1人に100通も来てたら 「迷惑メールは誰が出す?」(新潮新書)って本を読んだけど、ビルゲイツは1日に500万通もの迷惑メールを受け取ってたそうだ。すんげー世界だよな。
# 迷惑メールと同じで、罵詈雑言とばす社会人失格者の投稿には 反応しちゃダメよ。
話題読み違えてたのが恥ずかしくなって言葉遣いを攻撃して逃げるのか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:-1)
「メールの送信元アドレスはいくらでも詐称できる」って、10年前で認識が止まってませんか?
今時DKIMで署名するのが普通だし、未署名のメールはADSPで廃棄させることが可能なんですが。
いっときますが、大量に送信するメールは普通DKIMで署名します。しなかったらGmailやOutlook等でスパムメールの誤判定くらいますので。
確かにDKIM・ADSPに対応していないメールサービスも世の中には存在しますが、GmailもOutlookもYahoo!メールも対応しており、ガラケーでインターネットをするユーザが壊滅した現在(通話専用にしている人はまだいるけど)では対応していないサービスを使っているユーザは少数です。
「メールの送信元アドレスはいくらでも詐称できる」とか「メールは平文で転送される」といった言説は、「Webブラウザの通信は暗号化されないのでクレジットカード番号を送信すると危険」みたいな言説と同様、時代遅れに思えます。
Re:メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:5, 興味深い)
> 今時DKIMで署名するのが普通
全く認識が間違っている。
迷惑メール相談センターの送信ドメイン認証実施状況 [dekyo.or.jp]を見れば分かるが、
2018年12月末時点で、OCN、ODN、モバイル大手(au, docomo, softbank)は全て、DKIM未対応。
貴方が挙げているOutlook(outlook.jp)ですら、DKIM署名を付けてません!
> ガラケーでインターネットをするユーザが壊滅
これも誤り。
MMD総研調査では、1日1~10回キャリアメールを利用するスマホユーザーが40%近くいます(2018年版:スマートフォン利用者実態調査 [mmdlabo.jp])。
IIJmio、Nifty、Yahoo!BB、So-netとかはDKIM対応しているが、
後述のとおり、SPFは信用に値せず、DKIMなしのDMARCはPassされてしまうので、
メールの送信元偽装は、まだまだ猛威を振るっている。
このため、大手モバイルでは、本文のURLとかも見てスパム判定している。
> 時代遅れに思えます。
あなたが時代遅れ。
最近の迷惑メールは、色々とSPFをPassしてくる手法を使ってきます。
そしてDKIM未対応が過半なのでDMARCをPassしてくる。
最近通報した、SPFとDMARCをパスした迷惑メール/フィッシング詐欺メールの例:
例1:SMTPのオープンリレー(なのかハッキングされたか)を使って、
リレー途中のドメインでFromを偽装し、SPFをパス。
オープンリレーのあったプロバイダーにホスティングしているドメインで
偽装してきて、結構有名処のお店のメールアドレスが使われた。
例2:類似したドメイン名を取得してSPFレコードを用意してくる。
・From:〇〇〇@aaa.bbb.AU-COM-*****.Com
・Return-Path(およびEnvelope From):□□□@au-com-*****.com
視覚的に区別しずらいドメインが使われる。
上記例ならまだ見抜けても、「myetherwallet.com」→「myethervwallet.com」
とかになってくると、気を抜くと気づけない。
# SPFを推進したMicrosoftは、迷惑メール対策停滞を招いた大戦犯。
Re:メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:2, 興味深い)
n0-repl_71223@mail-me.com
シンプルで如何にもApple社っぽいメール来るね
スマホに来たらクリックしちまうかも知れん
年々それっぽくなっていくからタチが悪い
Yahoo!仕事しろ
Re:メールの送信元アドレスはいくらでも詐称できるっていつの話? (スコア:2)
CCで送りつけ、しかも送信元も銀行のでは無いバレバレのだったけど
Re: (スコア:0)
楽天EDYの奴だと沢山あるリンクの2カ所程度だけが書き換えられた感じだった。
しかしほぼ完璧ってなりすましなのに、何故かEDYの上限額を超える商品を買った事になって居るという不思議。
なんか中には不特定多数に対して間違い探しとして送って居る愉快犯でも居るのか?とか思ったよ。
Re: (スコア:0)
今時オープンリレーしてる事自体が論外なんでそれを抱えてるドメインのメール自体は信用すべきでは無い。
クラックされてたらもはや詐称ではなく単なる乗っ取り。
しかもその場合DKIM使っててもそれごと使われかねない。
類似ドメインはFrom詐称とは別物。
そしてこちらもDKIMで防げるものでは無い。
穴があるのは確かだけど、
攻撃者が使えるドメインが脆弱性のある物と、
単なる類似ドメインに限られている時点で、
かつてのような詐称され放題の状況とは同一視できないように思える。
ていうか脆弱性と類似ドメインだけならブラックリストで大部分無効化されない?
Re: (スコア:0)
> オープンリレーしてる事自体が論外
そう思うでしょ。ところが意外にも結構な大手ですらしょっちゅうリレーされてるのよ。
設定ミスなのか何なのかしらんけど。
> ブラックリスト
人手の問題で、ブラックリストに入れるよりも、詐欺ドメインが増える数の方が
圧倒的に多いのよ。
.comドメインに1日に登録される件数が10万件前後で、その大半が詐欺ドメインに
使われていく疑いがあるのだけど(※)、詐欺サイトのブロックはそんなに早く
出来てないのさ。疑わしきは罰す、という訳にいかないから。
※インターネットユーザーが全世界の半分35憶人居て、
その全員がそれぞれ平均10年に1回は新規ドメインを
取っている計算になる。そんなのあり得ねえってこと。
Re: (スコア:0)
本当に深刻な「類似」ドメインと大手のオープンリレーさえ登録できてりゃ概ね目的は達成できるでしょ。
そっから先は被害者の警戒不足が無いと成立難しいし、
実績浅いドメインに取り敢えず忠告貼っ付けるとかでも大分抑制できる。
つかこういう話で一々完全無欠の対策にはならないーとか言われても困るわ。
その10万件にしても何割が「メールの」詐欺用で、何割が「紛らわしい」名前なのか。
DKIM無関係な乗っ取る案件の話をした事といい話を広げるのも程々にしろ。
Re: (スコア:0)
> 登録できてりゃ
問題は、その登録されている数が実態よりあまりにも少ないことじゃ?
よくある短縮URLへのAbuse reportも、だれがまともに出しているんだか。
#余談だが、某Webサイトブロック機能は、短縮URLサイトを短縮URLにカテゴライズせずに
ファイル共有とかにカテゴライズしてたりする。そんなんじゃあカテゴリ通りにブロックできないだろう…。
完全無欠の対策など誰も話していないのでは?
ブラックリストではじける範囲も一定量はあるだろう。
しかし、例え8割をブロックできても、迷惑メール全数が500通とかなら、100通がすり抜けて来るわけだ。
そんなのが1人に100通も来てた
Re: (スコア:0)
詭弁じゃなくて素で
「現代においてメールアドレスの詐称が容易か否かの話」
ってのを忘れてるのか君は?
> 短縮URL
短縮URLがメールアドレスの詐称にどう関係するっていうの?
> 迷惑メール全数が500通とか
メールアドレス詐称したメールは迷惑メールの一種ではあるけど、
迷惑メールはメールアドレス詐称を意味しない。君はなんの話をしているの?
> あなたの都合も、親コメの都合も、俺には関係ないがな。
都合じゃなくて前提。文脈。
それをすり替えた無意味な藁人形相手に反論気分を味わいたいだけならチラシの裏にでも書いてろ。
> マウント取ることだけ目的にしているのか。何様なん
Re: (スコア:0)
> 1人に100通も来てたら
「迷惑メールは誰が出す?」(新潮新書)って本を読んだけど、
ビルゲイツは1日に500万通もの迷惑メールを受け取ってたそうだ。
すんげー世界だよな。
# 迷惑メールと同じで、罵詈雑言とばす社会人失格者の投稿には
反応しちゃダメよ。
Re: (スコア:0)
話題読み違えてたのが恥ずかしくなって言葉遣いを攻撃して逃げるのか。