アカウント名:
パスワード:
つい先日、勤務先で情報セキュリティ教育が行われたのですが、昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」と変わっていました。不勉強で申し訳ないのですが、BCCに設定したはずのメールアドレスが流出したという具体的な事例やそういう脆弱性を抱えたMTAについて、どなたか教えていただけないでしょうか?
#ISO27001認証取得企業にいるのに上記のようなていたらくなのでAC
>つい先日、勤務先で情報セキュリティ教育が行われたのですが、>昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが>今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」>と変わっていました。
できればそう言う事に気がついた時点で管理部門にその意図やポリシーの変更について確認する癖をつけておいたほうが良いよ。たぶんココでそれを聞いて回っても憶測でしか誰も答えられないし、セキュリティーポリシーが従業員全員に徹底できていなかったらマズイことになるかもしれないから。きちんとそれについてアナウンスがなされていたけれども、従業員の一部もしくは大勢がそのことに気がついていないと言う事もあるし。
#ちょっとイラっとしてしまいました m(_ _)m
Outlook Express 6は既出なようなので、他のネタ。Windows Live メールのバグ [cocolog-nifty.com]ってのもあるようです。
"bcc メール バグ"で検索してみては?MTAだけじゃなく、MUAのバグでも発生するので、MTA限定で考える必要はないかと…
うちの職場は、全てBCCで送ることになっています。宛先を記入してはいけません。宛先を書かなければならないソフトの場合には、自分のメールアドレスを書くことになっています。
・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。
>・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。
そうなんですよね。結局誰に送ったのかわからなくなる為BCCはほぼ全員宛専用、メーリングリストは登録ユーザをexcelで管理して共有に置いたり・・
本文が
Bcc: ほげほげ Bcc: ほげほげ Bcc: ほげほげ Bcc: ほげほげ 広告文
というメールを受け取ったことは何回かあります。ヘッダを全部表示させるなどして推察したところによると、
・Subject: が長すぎるなどの問題がある ・MTAか、元メールにBcc:をつけてMTAに渡すソフトかどちらかに欠陥がある ・Subject: が複数行に分割される際に、空行が挿入される ・空行は、ヘッダと本文の境界・・
こういうことではないかと。
MTAのは聞いた事が無いけれど、Outlook Expressのバグ [microsoft.com]で漏れる事はあったよBCCを使う習慣がついてしまうと、クリックミスでCCになった時に大惨事になるし使わないという教育もアリかとは思う
> 相手のサーバに届いた時点では、アドレスは入っています。
そんなわけはありません。SMTP によるメール配信システムにおいては、「差出人」や「送り先」などのエンベロープ情報は、「ヘッダ」や「本文」などとはまったく別個に管理されています。
UNIXな昔ながらのMUAでは、入力されたテキストのヘッダに書かれた「To:」「Cc:」「Bcc:」などを抽出して、それを元に Envelope To を生成してました(ついでにBcc:行も削除する)。
今時のWindowsなメーラとかだったら、入力された宛先から直接 Envelope To を生成し、間に「Bcc: なヘッダを生成」するような処理は入ってないでしょう。
どっちにしろ、実際に伝送処理を行う送り先は、ヘッダとはまったくの別物で、メールがMUAから最初のMTAに渡された時点で、「ヘッダ」にも「本文」にも、Bccな情報は消えています。
#だから、Bcc: とは逆に、To: や Cc: にはアドレスが書かれてるけど、実際にはそこにメールは送らない、#なって処理も可能です。見かけ上「○○さんにもCcされてる」ようでも、そうとは限らない…
え!?おいらのメーラから出て行く時点で消えてると思っていたのに!
#いや、まともなメーラなら、そうだと思うのだが、、、
ご存じないのかもしれませんが、IDで発言すると自動的にスコアが+1されるのですよ。どんなゴミ発言でも。
「参考になる」モデまで付いてるんだぜ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
BCCはどこまで危険? (スコア:1, 参考になる)
つい先日、勤務先で情報セキュリティ教育が行われたのですが、
昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが
今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」
と変わっていました。
不勉強で申し訳ないのですが、BCCに設定したはずのメールアドレスが流出したという具体的な事例や
そういう脆弱性を抱えたMTAについて、どなたか教えていただけないでしょうか?
#ISO27001認証取得企業にいるのに上記のようなていたらくなのでAC
Re:BCCはどこまで危険? (スコア:3, 参考になる)
(逆を言えばMUAはわざわざBccだけ他のヘッダとは違う特例処理をしないといけないということ)
それでも、最近のMTAはBccが付いてしまっていたとしても「気を利かせて」Bccヘッダを削る事になってます。
しかし、昔のサーバーはそのまま流してました。
つまり、元コメが言うところの「そういう脆弱性を抱えたMTA」というのは存在するようなしないようなって事です、
送られてきたんならそのまま流すのが当たり前だったんですから。
さらに言えばここでまた誤解が産まれる事がありまして、
「気の利く」MTAでテストしながらMUAを製作しているよくわかってないプログラマがいたりすると、
そのMUAは『送り側も受け側も中継サーバーもすべて「そのまま」のMTAだった場合』に限りBccを流出する。
という難解な状態に陥ってしまいます。
#ぶっちゃけ、みんなSMTPが悪い
Re:BCCはどこまで危険? (スコア:1)
それってドンだけ昔?1980年代中頃のsendmailでも、Bccはちゃんと削ってましたが。
Re:BCCはどこまで危険? (スコア:2, 参考になる)
>つい先日、勤務先で情報セキュリティ教育が行われたのですが、
>昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが
>今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」
>と変わっていました。
できればそう言う事に気がついた時点で管理部門にその意図やポリシーの変更について確認する癖をつけておいたほうが良いよ。
たぶんココでそれを聞いて回っても憶測でしか誰も答えられないし、セキュリティーポリシーが従業員全員に徹底できていなかったらマズイことになるかもしれないから。
きちんとそれについてアナウンスがなされていたけれども、従業員の一部もしくは大勢がそのことに気がついていないと言う事もあるし。
#ちょっとイラっとしてしまいました m(_ _)m
Re:BCCはどこまで危険? (スコア:1, 興味深い)
Outlook Express 6は既出なようなので、他のネタ。
Windows Live メールのバグ [cocolog-nifty.com]ってのもあるようです。
"bcc メール バグ"で検索してみては?
MTAだけじゃなく、MUAのバグでも発生するので、MTA限定で考える必要はないかと…
Re:BCCはどこまで危険? (スコア:1, おもしろおかしい)
うちの職場は、全てBCCで送ることになっています。宛先を記入してはいけません。
宛先を書かなければならないソフトの場合には、自分のメールアドレスを書くことになっています。
・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。
Re: (スコア:0)
>・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。
そうなんですよね。
結局誰に送ったのかわからなくなる為
BCCはほぼ全員宛専用、
メーリングリストは登録ユーザをexcelで管理して
共有に置いたり・・
Re:BCCはどこまで危険? (スコア:1)
本文が
Bcc: ほげほげ
Bcc: ほげほげ
Bcc: ほげほげ
Bcc: ほげほげ
広告文
というメールを受け取ったことは何回かあります。ヘッダを全部表示させるなどして推察したところによると、
・Subject: が長すぎるなどの問題がある
・MTAか、元メールにBcc:をつけてMTAに渡すソフトかどちらかに欠陥がある
・Subject: が複数行に分割される際に、空行が挿入される
・空行は、ヘッダと本文の境界・・
こういうことではないかと。
Re: (スコア:0)
MTAのは聞いた事が無いけれど、Outlook Expressのバグ [microsoft.com]で漏れる事はあったよ
BCCを使う習慣がついてしまうと、クリックミスでCCになった時に大惨事になるし
使わないという教育もアリかとは思う
Re:BCCはどこまで危険? (スコア:5, 参考になる)
> 相手のサーバに届いた時点では、アドレスは入っています。
そんなわけはありません。
SMTP によるメール配信システムにおいては、
「差出人」や「送り先」などのエンベロープ情報は、
「ヘッダ」や「本文」などとはまったく別個に管理されています。
UNIXな昔ながらのMUAでは、入力されたテキストのヘッダに書かれた「To:」「Cc:」「Bcc:」などを抽出して、
それを元に Envelope To を生成してました(ついでにBcc:行も削除する)。
今時のWindowsなメーラとかだったら、入力された宛先から直接 Envelope To を生成し、
間に「Bcc: なヘッダを生成」するような処理は入ってないでしょう。
どっちにしろ、実際に伝送処理を行う送り先は、ヘッダとはまったくの別物で、
メールがMUAから最初のMTAに渡された時点で、「ヘッダ」にも「本文」にも、
Bccな情報は消えています。
#だから、Bcc: とは逆に、To: や Cc: にはアドレスが書かれてるけど、実際にはそこにメールは送らない、
#なって処理も可能です。見かけ上「○○さんにもCcされてる」ようでも、そうとは限らない…
Re:BCCはどこまで危険? (スコア:1)
> 相手のサーバに届いた時点では、アドレスは入っています。
え!?
おいらのメーラから出て行く時点で消えてると思っていたのに!
#いや、まともなメーラなら、そうだと思うのだが、、、
Re: (スコア:0)
Re: (スコア:0)
ご存じないのかもしれませんが、IDで発言すると自動的にスコアが+1されるのですよ。どんなゴミ発言でも。
Re: (スコア:0)
「参考になる」モデまで付いてるんだぜ。