アカウント名:
パスワード:
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。これは信じても仕方ない気がする。
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
必ずしもそうは言えないんじゃない?たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
「色のフラグ」って何?ある特定のMUAしか使用しない事が前提?視覚障害者は無視?
> 「色のフラグ」って何?メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。
> ある特定のMUAしか使用しない事が前提?大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?各自が好き勝手なMUAの好きなバージョンを勝手に使うの?それだと脆弱性のあるバージョンとか放置されそうだね
> 視覚障害者は無視?色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
自社ドメイン? (スコア:2)
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
これは信じても仕方ない気がする。
Re: (スコア:0)
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
Re: (スコア:0)
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
Re: (スコア:1)
必ずしもそうは言えないんじゃない?
たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
システム管理者が悪い DKIM + DMARC 使え (スコア:0)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:0)
「色のフラグ」って何?
ある特定のMUAしか使用しない事が前提?
視覚障害者は無視?
Re: (スコア:0)
> 「色のフラグ」って何?
メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。
大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。
無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。
> ある特定のMUAしか使用しない事が前提?
大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?
各自が好き勝手なMUAの好きなバージョンを勝手に使うの?
それだと脆弱性のあるバージョンとか放置されそうだね
> 視覚障害者は無視?
色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。