モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

2007-06-29 (Fri)

[][]バウンシングバック認証によるスパムフィルタとアンチバウンシングバック手法 バウンシングバック認証によるスパムフィルタとアンチバウンシングバック手法を含むブックマーク バウンシングバック認証によるスパムフィルタとアンチバウンシングバック手法のブックマークコメント

バウンシングバック認証とは、一度メールが送られても受け取らず、相手に認証してね、という返事を返して、それで認証されたらホワイトリストに登録されて、メールを受け取れるようになる、というような種類のスパム対策方法のことだ。

IBMの人が提案してるFairUCEもその種のものだ。

最近だと、ネオジャパンがスパム対策SaaSサービス,1通でもブロック漏れあれば返金:ITproというのがあって、そこのフィルタでこれが使われている。


それで、S25R提唱されてる浅見さんが、

S25R雑情報: バウンシングバック認証という無茶なやり方

と、バウンシングバック認証はダメでしょ、ということを書かれている。

自分もバウンシングバック認証は一般には使いづらすぎてダメだと思う。


で、絶対にスパムが漏れない、と言ってるけどこうしたら漏れうるんじゃない?ということを、

S25R雑情報: バウンシングバック認証の破り方

で書かれてて、これを読んで(というかちょうど別件で浅見さんとメールしてて、そこでこの話題をしてて)もっと簡単に抜けてくる場合が有るんじゃないの?と思った。


バウンシングバック認証は、認証取れたらそれをホワイトリストに入れると思う。

もしくは、メールマガジンのように、バウンシングバック認証してくれないであろうメールアドレスについては、自分でホワイトリストに入れる必要があるのではないだろうか。

そうなると、ホワイトリストに入ってるアドレスで送れば抜けちゃうのではないかと思う。

だから、楽天だとかヤフーオークションだとかまぐまぐだとか、よく登録されていそうなサービスのメールアドレスから出したら抜けちゃう場合があるのでは。

ホワイトリストメールアドレスからでも、SPFでのチェックが通らなかったら落とす、となってたらたぶん通らないだろうけど、こういうメジャーどころって全部SPFついてるのだろうか。


実際に試したわけではないのでわかりませんが、ホワイトリスト入りしてるメールアドレス騙られてもちゃんと防げるのだろうか、という疑問はどこかに説明有るのかな。


(関連)

モーグルとカバとパウダーの日記 - FairUCEの導入テスト

manaboomanaboo 2007/06/29 15:08 わたしなら受信者と同じドメインの自動生成したアドレスで spam 送り込むなー.特にターゲットが企業ならば.
日本人名辞書とか使えばぱーぺき(死語).

stealthinustealthinu 2007/06/29 23:21 うあー、確かにそうですね。そっちのほうが絶対使える。
特に会社向けアドレスだと、ヤフオクの通知くる可能性は低そうだから、そっちのほうが有効。
穴がないと思えるシステムでも、嫌な使い方してやろうとして考えれば、いくらでも穴が見つかるもんだなあ。
そうやって考えていくと、最終的にはメッセンジャーみたいに、ユーザ情報がどっかで一元管理されてるものか、PGPみたいに署名されてるものか、ということになってくのか。

deodeo 2007/07/01 21:26 OptPlusは、メルマガの場合はエクスパンションアドレス(バウンシングバック認証なしに受信するための別アドレス)を登録しなさいと言っています。でも、そんなややこしいことが嫌いなユーザーは、最初ペンディングキューに入った受信メールを取り出してホワイトリスト登録するでしょうから、これがバウンシングバック認証破りのターゲットになりそうですね。「バウンシングバック認証の破り方」の記事に追記させていただきました。
 受信者のドメインを送信者アドレスにかたるのは、うまくいかないかもしれません。というのは、ふつう社内メールはインターネットを通らないので、OptPlusを通らず、したがって自社内アドレスをOptPlusにホワイトリスト登録する必要がないはずですから。

manaboomanaboo 2007/07/02 10:09 社内メールがインターネットを通る例ってのはかなりありますよ.メールシステムを SaaS 的なサービス使ってやってたりとかだとそもそも社内メールシステムはインターネット上にあるわけだし.

#もちろん通らない例もかなりあるということも承知しています.:-)

あるいは受信者ドメインをそのまま送信者ドメインとして使わなくても,それこそ有名な企業さんのドメインや,ビジネス向けのメルマガとかやってるドメイン(って想像つきますよね?)とかを詐称すればわりと楽勝だと思います.んー,こっちの方が手堅いかな?

ってなことで C+R タイプは一見良さそうなんだけど手間の割に得られるものが少ないとわたしは思っておりますです.

stealthinustealthinu 2007/07/03 17:21 deoさんがメールで書かれてたんですけども、上で自分がメッセンジャーとか署名とかと書いているのに関連して、ホワイトリストに、偽装可能なfromアドレスを使う、ということが根本的な原因ということですよね。
senderアドレスと送信元サーバが完全にひも付けされていなければダメなプロトコルだったらもうちょっとよかったのになあ。

トラックバック - http://d.hatena.ne.jp/stealthinu/20070629/p1