パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける」記事へのコメント

  • by Anonymous Coward

    もともと脆弱なのに何が問題?と思ったけど、リンク先を見ると、DKIMの検証を回避できるってことなんですかね。

    • by Anonymous Coward

      DMARC を通過できるので SPAM フィルターを容易に通過できる、というところが問題であるらしいです。
      「サーバーの問題である」として修正しないことに決定したメールソフトが2つ、というのはまぁ
      そもそも送信者の表示は信頼できないのでこれで動作が変わるのは本質的にはSPAM フィルターだけでしょ、
      という論理でしょうね。

      • by Anonymous Coward

        いや、全然違うでしょ。DKIMのチェックを通過していれば送信者(ドメイン)の表示は信頼できるはずなのに、
        DKIMのチェックを通過したドメインとは違うメールアドレスに偽装できてしまう脆弱性があったという話。

        「サーバーの問題である」というのは、この脆弱性を突くメールがRFCに従っていないからサーバで弾くべきという原則論に基づく話で、
        「そもそも送信者の表示は信頼できないのでこれで動作が変わるのは本質的にはSPAM フィルターだけでしょ」などという話ではない。

        • by Anonymous Coward

          いや、送信(クライアント)側は脆弱性があろうがなかろうが偽装しようと思えばできるし
          思わなければしないんだから関係ないでしょ
          結局のところ問題になるのは受信側検知能力
          検知の仕様がないというのならプロトコルの問題
          まあ、メールなんてそんなものだし、どうしても本人確認必要なら暗号化した署名を忍ばせるしかないわな

          • ここの文面だけ、読んで思ったのだが、
            物理メール(郵政メール)なんて偽装容易。
            差出人なんて簡単に嘘つける。

            書留とかなら、若干信頼性上がるが。

            親コメント
            • by Anonymous Coward

              書留も、内容証明すらも、送信元の確認なんて行われませんよ。

              実在性確認も、発送者が本人であるかの確認も、どちらもね。

              # まあ、それを言い出すと「メール送信元は適正でも、そのPCを操作したのが本人である証拠はない」みたいな物言いもできちゃうけど

              • by Anonymous Coward

                自宅に送られてきた、若干センシティブな書留を何回か職場に転送してもらいました。
                転送依頼には、本人確認なんてなかったとおもいます。
                配達員も、まっとうな相手が受け取ったかどうかなんて確認してくれませんでした。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...