アカウント名:
パスワード:
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。これは信じても仕方ない気がする。
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
必ずしもそうは言えないんじゃない?たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
DKIM・DMARCを使っても、完全では無いよね。だとすると、削除は大抵の環境では難しいんじゃないかな。
DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
外部メーリングリストサービスを利用していれば
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。
だとすると、削除は大抵の環境では難しいんじゃないかな。
自社ドメイン名に関してだけいえば、簡単。(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
まともな企業ならとっくに解決してますよ?
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
そうすれば、社外メールの方に「ボーナスの支給について」なんて届いたら、もう偽メールであることは確実だからね。
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
それはそれで一つの解決策です。が、それを徹底できる組織は多くは無いと思います。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
小さい組織ならそれでいいでしょうね。ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。
結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。
まあ、それができる環境ならそうすれば良いと思います。
一般的には、メールの中のリンクは安易に踏むな、と言えばいい。少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
自社ドメイン? (スコア:2)
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
これは信じても仕方ない気がする。
Re: (スコア:0)
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
Re: (スコア:0)
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
Re: (スコア:1)
必ずしもそうは言えないんじゃない?
たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
システム管理者が悪い DKIM + DMARC 使え (スコア:0)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
Re: (スコア:1)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
DKIM・DMARCを使っても、完全では無いよね。
だとすると、削除は大抵の環境では難しいんじゃないかな。
DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:0)
外部メーリングリストサービスを利用していれば
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。
だとすると、削除は大抵の環境では難しいんじゃないかな。
自社ドメイン名に関してだけいえば、簡単。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
まともな企業ならとっくに解決してますよ?
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
そうすれば、社外メールの方に「ボーナスの支給について」なんて届いたら、もう偽メールであることは確実だからね。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:1)
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
それはそれで一つの解決策です。
が、それを徹底できる組織は多くは無いと思います。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
小さい組織ならそれでいいでしょうね。
ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。
まともな企業ならとっくに解決してますよ?
結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
まあ、それができる環境ならそうすれば良いと思います。
一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。