アカウント名:
パスワード:
つい先日、勤務先で情報セキュリティ教育が行われたのですが、昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」と変わっていました。不勉強で申し訳ないのですが、BCCに設定したはずのメールアドレスが流出したという具体的な事例やそういう脆弱性を抱えたMTAについて、どなたか教えていただけないでしょうか?
#ISO27001認証取得企業にいるのに上記のようなていたらくなのでAC
> 相手のサーバに届いた時点では、アドレスは入っています。
そんなわけはありません。SMTP によるメール配信システムにおいては、「差出人」や「送り先」などのエンベロープ情報は、「ヘッダ」や「本文」などとはまったく別個に管理されています。
UNIXな昔ながらのMUAでは、入力されたテキストのヘッダに書かれた「To:」「Cc:」「Bcc:」などを抽出して、それを元に Envelope To を生成してました(ついでにBcc:行も削除する)。
今時のWindowsなメーラとかだったら、入力された宛先から直接 Envelope To を生成し、間に「Bcc: なヘッダを生成」するような処理は入ってないでしょう。
どっちにしろ、実際に伝送処理を行う送り先は、ヘッダとはまったくの別物で、メールがMUAから最初のMTAに渡された時点で、「ヘッダ」にも「本文」にも、Bccな情報は消えています。
#だから、Bcc: とは逆に、To: や Cc: にはアドレスが書かれてるけど、実際にはそこにメールは送らない、#なって処理も可能です。見かけ上「○○さんにもCcされてる」ようでも、そうとは限らない…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
BCCはどこまで危険? (スコア:1, 参考になる)
つい先日、勤務先で情報セキュリティ教育が行われたのですが、
昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが
今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」
と変わっていました。
不勉強で申し訳ないのですが、BCCに設定したはずのメールアドレスが流出したという具体的な事例や
そういう脆弱性を抱えたMTAについて、どなたか教えていただけないでしょうか?
#ISO27001認証取得企業にいるのに上記のようなていたらくなのでAC
Re: (スコア:-1)
相手のサーバに届いた時点では、アドレスは入っています。
相手のサーバが、ご丁寧に消去してくれるので正常に配信されると
無かった様に見えるのです。
ですので、相手のサーバが、悪意のあるものであったり、何らかのトラブルを抱えていたりすると
BCC が消去されずにばら撒かられるかもしれません。
Re:BCCはどこまで危険? (スコア:5, 参考になる)
> 相手のサーバに届いた時点では、アドレスは入っています。
そんなわけはありません。
SMTP によるメール配信システムにおいては、
「差出人」や「送り先」などのエンベロープ情報は、
「ヘッダ」や「本文」などとはまったく別個に管理されています。
UNIXな昔ながらのMUAでは、入力されたテキストのヘッダに書かれた「To:」「Cc:」「Bcc:」などを抽出して、
それを元に Envelope To を生成してました(ついでにBcc:行も削除する)。
今時のWindowsなメーラとかだったら、入力された宛先から直接 Envelope To を生成し、
間に「Bcc: なヘッダを生成」するような処理は入ってないでしょう。
どっちにしろ、実際に伝送処理を行う送り先は、ヘッダとはまったくの別物で、
メールがMUAから最初のMTAに渡された時点で、「ヘッダ」にも「本文」にも、
Bccな情報は消えています。
#だから、Bcc: とは逆に、To: や Cc: にはアドレスが書かれてるけど、実際にはそこにメールは送らない、
#なって処理も可能です。見かけ上「○○さんにもCcされてる」ようでも、そうとは限らない…