anetから誤配メール……個人情報付き 77
ストーリー by yourCat
よりにもよって落札連絡とはツイてない 部門より
よりにもよって落札連絡とはツイてない 部門より
matsuani 曰く、 "フリーメールサービスのanetからメールが誤配されてきました。どうやらオークションの出品者から落札者への連絡のようで名前、住所、電話番号が書かれてしまっています。転送するのはどうかと思われるので控えますが、ほかにも多くの人に誤配されているようです。"
親のインフォシークの説明によると、名前欄に不正な文字を使ったユーザーのせいでメールサーバーがおかしくなったそうだ。この影響で現在anetのサービスを一時停止、メンテナンスを行っている。
しかしどんな「不正文字」だろう……。
携帯メールアドレス (スコア:4, 参考になる)
・先頭文字が -
→ postfix でデフォルト設定のままだと配信エラーになる
・メールアドレスの中に ? が含まれる
perlでパターンマッチを通すとエラー終了してしまう
... といったメールアドレスも作れてしまいます (EZ, J-Phone)
メール配信サービスに関わっているプログラマの方は注意しましょう。
恐るべき宛先 (スコア:2, 参考になる)
これだとメールサーバが下手な実装をしていると正規表現がマッチして
しまいそうです。ある意味XSS脆弱性に近いバグがあったのかも。
Re:恐るべき宛先 (スコア:1, すばらしい洞察)
Re:恐るべき宛先 (スコア:1)
XSSと同系統のバグといえなくもない。
シェルスクリプトやPerlにわたす文字列の``やSQLの;など,
エスケープ忘れのバグの結果にはいろいろな種類がある。
そもそも名前にAA使うのはどうかと思うが (スコア:2, すばらしい洞察)
そもそも、名前欄に'\`つかって、顔文字入れるのがそもそも間違いで、
自業自得の様な気がして成らないのだが。
対策として (スコア:2, すばらしい洞察)
とか思ってしまったです。
#最近IISで面白くない仕事したのでID<関係無いぢゃん
/.configure;oddmake;oddmake install
Re:対策として (スコア:2, 参考になる)
まっとうな(?)文字で構成されてるもの。
問題の文字は、MUAで設定する(通常、名前欄とかで)部分で入力されたもの。
というわけで、今回ので問題がある場所としては、
・最初の送信者のMUA(そんな文字を設定させた)
・そのメールに対する返信者のMUA(エンコードせずにRFC規定外の文字を流した
・anetのMTA(From欄にある不正文字でここまでおかしな動きをした)
ってところが挙げられるのではないでしょうか。
#悪いとか悪いくないとかは別として、これを引き起こした原因箇所、という意味で。
#ちょっと怖くなったので、自分が作ったシステムでCGIからMTAに投げている部分をチェック中なのでAC
Re:対策として (スコア:1)
To: [Shift_JIS]\ ('-'*)
宛てにメールを送る(つまり上記文字がFrom:にあるメールに返信した)
ことで、今回の状況が発生したようです。
だから、メールサーバ(anet.ne.jp)の問題。
Re:そもそも名前にAA使うのはどうかと思うが (スコア:2, すばらしい洞察)
どうもおかしな気がします。
人間様が機械におもねっちゃだめだよ。
そこで頑張るべきはMUAだと思うのですが、
これ以外にも to フィールドの「彌(2バイト目'\')」をShiftJISのまま送るなんてポカしてる気配が。
X-Mailer: Microsoft Outlook Express 5.00.2314.1300
ってそういう仕様でしたっけ?
ウチに来たのは (スコア:1, 参考になる)
toフィールドが
To: ")>" <@●●●.freemail.ne.jp "恊カ " ('-'*)<●●●@anet.ne.jp>
でした。
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
です。
ちなみに元のFromは
To: ")>" <彌●¥ ('-'*) <●●●@anet.ne.jp>
記号は半角、●はこちらで伏せ字にしました。
anetは最近頻繁にメンテしていたのでソフトの修正ミスで
しょうか。(身売りする前はよく止まってましたが…)
Infoseekも買収してから開けてビックリ状態なんでしょうねー。。。
Re:ウチに来たのは (スコア:2, 興味深い)
Re:ウチに来たのは (スコア:1)
To: <彌●\ ('-'*) <●●●@anet.ne.jp>)>
となっていました。
そこから
Delivered-To: ●● ('-'*) <●●●@anet.ne.jp
に配送されて
Delivered-To: ●●●@10.208.5.101
と私のアドレス宛に配送されていました。
というわけで<>がまずかったに1票。
Re:そもそも名前にAA使うのはどうかと思うが (スコア:1)
Microsoft Outlook Express 6.00.2800.1106
でテストしてみましたが、Toフィールドも漢字はBエンコーディング
していますよ。
Re:そもそも名前にAA使うのはどうかと思うが (スコア:2, 参考になる)
自分の所にも来たのですが,ヘッダを見るにMTAはqmailっぽいのですが。
いったいどういう現象が起こったのだろう....。
Re:そもそも名前にAA使うのはどうかと思うが (スコア:2, 参考になる)
qmailのqueueを、qmailデーモンが稼動している時に掃除してしまった。もしくはファイルが何らかの問題で消えてしまった。
qmailのqueueって、ファイル名=inode番号を同一にして
実際の宛先、実際のFrom、mail本文と分かれて格納されているから
qmail-smtpdやqmail-queue稼動している最中に
mail本文のファイルだけ消えると、掃除されたファイルが使ってたinode番号が使われて、実際の宛先とmail本文のファイル名の整合性が無くなってしまって、誤配が起きるんだよね。。
#怖すぎる予想なのでAC
Re:そもそも名前にAA使うのはどうかと思うが (スコア:1)
Re:そもそも名前にAA使うのはどうかと思うが (スコア:1)
「<<<<<<<<<<<<<<>>>>>>>>>>>>>> だか、 <><><><><><><><><><><>」と 書きたかった。
Re:そもそも名前にAA使うのはどうかと思うが (スコア:1)
とはいえ、今回の一件は被害甚大でしたな。
もっともこんなんで訴えられた日にゃたまらんとも思ったり。
//座右の銘は「人生目分量」。 Funorita
なぜユーザ側の間違いだと言い切れるのか (スコア:0)
そりゃ、オタクな人にとっては「ふつーそんなの入れる奴いねーよ」という
admin@anet (スコア:2, おもしろおかしい)
しばしば管理者だと信じた方からの苦情が飛んで
きます。
オフトピ -1
Re:admin@anet (スコア:1)
それはそれで問題があるような・・・
Re:admin@anet (スコア:1, おもしろおかしい)
#運用はしてるけど管理はしてないって事なんだろうな
Re:admin@anet (スコア:1)
そんなところ使いたくないですねえ…
Re:admin@anet (スコア:1)
# /.では前からこのアドレスだけど、プロバイダとは無関係です(笑
--- $ /usr/bin/cc sakura
ワイルドカードが原因? (スコア:1)
Re:ワイルドカードが原因? (スコア:1, 興味深い)
正規表現だと、どう取り扱われてしまうのでしょう?。
Re:ワイルドカードが原因? (スコア:0)
# とかだったりする?
Re:ワイルドカードが原因? (スコア:1, 参考になる)
ところで (スコア:1)
って書いてあるところを見ると、infoseek(anet)側ではどこに誤配したかも分からないってことなのでしょうか。
せめて誤配先が調査すれば分かる程度であることを願う。
Re:ところで (スコア:1)
はすかわ
個人情報付き (スコア:1)
anetが自前のデータベースから追加したものじゃないですよね?
メールが誤配されればそこに書かれていたことは個人情報だろうがなんだろうが内容を問わずもれてしまうのは自明なわけで、
なんでわざわざ「個人情報付き」と強調しなくてはならないのか理解に苦しみます。
2バイトの半分か (スコア:0)
Re:2バイトの半分か (スコア:2, 参考になる)
と説明に書いてあります。
機種依存文字を含んだ文字列を文字コード変換すると、コントロールコード混じりの文字列を吐いてしまう物が有ったような気のせいだったような……。
Re:2バイトの半分か (スコア:0)
# 全く見当が付かないがエラい人のツッコミを期待して呟いてみるテスト
Re:2バイトの半分か (スコア:2, 参考になる)
規約で「使うな」と書いたらそれで対策終了と考えるのは無責任でしょうね。
Re:2バイトの半分か (スコア:0)
制御コードを弾かないとすれば(仮定)不用意な処理だよね。
LF,CRでユーザのデータが1行ずつずれる?(そんな馬鹿な)
Re:2バイトの半分か (スコア:0)
置いてない。
かわいそうに (スコア:0)
Re:かわいそうに (スコア:0)
Re:かわいそうに (スコア:0)
ご本人ならまだしも、赤の他人だったら本当にかわいそう...
Re:かわいそうに (スコア:0)
相当数ばら撒かれてる?
ネットオークションの落札者か出品者の連絡先ですね。
2chで晒されていない事を祈る…;
#もちろんAC
もしかしてただの (スコア:0)
Re:もしかしてただの (スコア:0)
# よりのよって落札連絡とはツイてない 部門より.→よりにもよって落札連絡とはツイてない 部門より.?
# nimo→no?imが抜けてますよ :-D
部門名 (Re:もしかしてただの) (スコア:1)
Re:部門名 (Re:もしかしてただの) (スコア:0)
Re:部門名 (Re:もしかしてただの) (スコア:1, おもしろおかしい)
#あれ、ひょっとして、「通信用バッファがオーバーフローして取りこぼし」、という意味かな?
それにしても (スコア:0)
anetにうちのメールアドレスが入ってるってこと?しかしなぜ?
ご丁寧に、「ご確認ください」ってのも配信されて来てるけど、
これって、サーバは何処宛に送ってるのでしょうか?
# うちのメールアドレスがanetに知れてるって事は、
# anetスパム事業部とかあるのか?
Re:それにしても (スコア:0)
もしそうであるとして、InfoseekのMLサービスを利用、またはその MLにユーザとして参加していますか?
Re:それにしても (スコア:0)
InfoseekがSpam業者であるかのような書き込みをした事をお詫び致します。
そういうわけだったのか… (スコア:0)
先に/.見とけば時間を無駄にしなくてもすんだのに……。