アカウント名:
パスワード:
闇の魔術に対する防衛術 Advent Calendar 2019 14日目 メールというインターネットの闇とIPレピュテーション(だけど重要)(前編) [qiita.com]
この「IPレピュテーション」の概念がある結果、エンジニア的には何か起きるかというと、適当にインターネットと面した新しいメールサーバーを同じ手順で構築しても、そのIPレピュテーションが違えば、立てた場所(IPアドレス)によって送った結果が異なる 、ということが起きます。具体的には同じ手順でCentOS7あたりを使って
1.AWSのEC2でメールサーバーたてた2.さくらのクラウドでメールサーバーたてた3.自社のオンプレミスなVM上にメールサーバーたてた
で、これらメールサーバーを使ったとき、正常届くか迷惑メールとして届くか届かないかは異なった結果になります(手順は同じなのに)。
HTTP(S)で同じ手順で同じプログラムをAWSとさくらのクラウドと自社のオンプレミスなVMにリリースして、手元からアクセスしたとき、あるところでは見えてもう片方で見えなかったら泣くと思うんです。でもそういうことがメール(SMTP)では平然と起きます。闇です。
この件とは直接関係ないけど、メールって闇なんだな
ISPに割り当てられたアドレスのせいでサービスを受けられない [it.srad.jp]という例もあるので別にメールに限った話ではない
やはりオーナーシップが自社にあるパブリックIPアドレスブロックを保有しておくのは重要
たまにてめぇのところがブラックリスト入りしてメールホスティングではじかれてるのに、おたくのサーバのエラーでメールが返ってくるとか寝ぼけたことぬかしてくるやつがいるよね。
適正なブラックリストの運用管理がなされていないのは御社の問題でしょ。そういうことを言っているということは、外部に丸投げで、管理自体を放棄している可能性も高い。
「てめぇ」からの送信ができてないんだから、その御社は「てめぇ」でしょ。
横から失礼。Spamhaus などの有名どころに入っているなら、ここに登録されているので解除してもらってくださいねー、NDR にも書いてあるでしょーって言えばいいのだけれど、よくわからないけど届かないって事象はまれによくあるので・・・
逆引き設定しておかないと届かないとか、/16で丸っとブロックされて巻き込まれていたりとか、変なスパムフィルタかかってたりとか、ZIPが添付されていると許されないとか。
日本語や英語が通じればまだ交渉の余地があるのだけれども、右から左の言語圏とかだと困ってしまうわ
サードパーティーのリストを流用していたとしても、自社側のホワイトリストに加えれば良いだけでしょ。
自社側が原因だとそういうことですねー
こないだ、同じ内容のメールを、outlook.com宛にいくつかの送信元(有償2、無償2、自前2)から投げたら、Gmail(無償)とIIJMio(有償)以外、すべて迷惑メール判定されてしまった。自前サーバはドメイン名の正引きと逆引きを一致させて、SPFもDKIMも入れてるのに。
昔のNetNewsでは「あなたの組織には配送しません」というのがよくあった人が集まってコミュニティができると「売ります買います」とかやりたくなるけどそれは営利行為になるので国立大学への配送は許さないとか
複数の組織を相互接続してるのがインターネットだから全ての組織間で通信できることは保証されない
都合の悪い組織との通信は遮断できるのが正しい
闇というより歴史的負債。長く使われるうちにネットワーク、多言語、セキュリティなど拡張に拡張を繰り返してきたため、多数の要素技術が複雑に絡まって、微妙な互換性で辛うじて動いていると。
これね。
DKIM, SPFのように標準的な対応は置いとくとして、独自に実装したセキュリティやネットワークは互換性の問題を絶えず引き起こしているよね。
スパムフィルタウイルス対策フィルタサンドボックスによるフィルタサニタイズ(無害化)ファイルタイプ変換(テキストファイル化、PDF化など)ブラックリスト/ホワイトリストRBL・レピュテーションによるフィルタGeolocationによるフィルタ逆引き登録必須添付ファイルの拒否圧縮ファイルの拒否パスワードのついた圧縮ファイルの拒否パスワードのない圧縮ファイルの拒否拡張子による拒否ファイルタイプによる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
「メールというインターネットの闇とIPレピュテーション」 (スコア:2, 興味深い)
闇の魔術に対する防衛術 Advent Calendar 2019 14日目 メールというインターネットの闇とIPレピュテーション(だけど重要)(前編) [qiita.com]
この「IPレピュテーション」の概念がある結果、エンジニア的には何か起きるかというと、適当にインターネットと面した新しいメールサーバーを同じ手順で構築しても、そのIPレピュテーションが違えば、立てた場所(IPアドレス)によって送った結果が異なる 、ということが起きます。具体的には同じ手順でCentOS7あたりを使って
1.AWSのEC2でメールサーバーたてた
2.さくらのクラウドでメールサーバーたてた
3.自社のオンプレミスなVM上にメールサーバーたてた
で、これらメールサーバーを使ったとき、正常届くか迷惑メールとして届くか届かないかは異なった結果になります(手順は同じなのに)。
HTTP(S)で同じ手順で同じプログラムをAWSとさくらのクラウドと自社のオンプレミスなVMにリリースして、手元からアクセスしたとき、あるところでは見えてもう片方で見えなかったら泣くと思うんです。でもそういうことがメール(SMTP)では平然と起きます。闇です。
この件とは直接関係ないけど、メールって闇なんだな
Re:「メールというインターネットの闇とIPレピュテーション」 (スコア:1)
ISPに割り当てられたアドレスのせいでサービスを受けられない [it.srad.jp]という例もあるので別にメールに限った話ではない
Re: (スコア:0)
やはりオーナーシップが自社にあるパブリックIPアドレスブロックを保有しておくのは重要
Re: (スコア:0)
たまにてめぇのところがブラックリスト入りしてメールホスティングではじかれてるのに、おたくのサーバのエラーでメールが返ってくるとか寝ぼけたことぬかしてくるやつがいるよね。
Re: (スコア:0)
適正なブラックリストの運用管理がなされていないのは御社の問題でしょ。
そういうことを言っているということは、外部に丸投げで、管理自体を放棄している可能性も高い。
Re: (スコア:0)
「てめぇ」からの送信ができてないんだから、その御社は「てめぇ」でしょ。
Re: (スコア:0)
横から失礼。
Spamhaus などの有名どころに入っているなら、ここに登録されているので解除してもらってくださいねー、NDR にも書いてあるでしょーって言えばいいのだけれど、よくわからないけど届かないって事象はまれによくあるので・・・
逆引き設定しておかないと届かないとか、/16で丸っとブロックされて巻き込まれていたりとか、変なスパムフィルタかかってたりとか、ZIPが添付されていると許されないとか。
日本語や英語が通じればまだ交渉の余地があるのだけれども、右から左の言語圏とかだと困ってしまうわ
Re: (スコア:0)
サードパーティーのリストを流用していたとしても、自社側のホワイトリストに加えれば良いだけでしょ。
Re: (スコア:0)
自社側が原因だとそういうことですねー
Re: (スコア:0)
こないだ、同じ内容のメールを、outlook.com宛にいくつかの送信元(有償2、無償2、自前2)から投げたら、Gmail(無償)とIIJMio(有償)以外、すべて迷惑メール判定されてしまった。
自前サーバはドメイン名の正引きと逆引きを一致させて、SPFもDKIMも入れてるのに。
Re: (スコア:0)
昔のNetNewsでは「あなたの組織には配送しません」というのがよくあった
人が集まってコミュニティができると「売ります買います」とかやりたくなるけど
それは営利行為になるので国立大学への配送は許さないとか
複数の組織を相互接続してるのがインターネットだから
全ての組織間で通信できることは保証されない
都合の悪い組織との通信は遮断できるのが正しい
Re: (スコア:0)
この件とは直接関係ないけど、メールって闇なんだな
闇というより歴史的負債。
長く使われるうちにネットワーク、多言語、セキュリティなど拡張に拡張を繰り返してきたため、多数の要素技術が複雑に絡まって、微妙な互換性で辛うじて動いていると。
Re: (スコア:0)
これね。
DKIM, SPFのように標準的な対応は置いとくとして、
独自に実装したセキュリティやネットワークは互換性の問題を絶えず引き起こしているよね。
スパムフィルタ
ウイルス対策フィルタ
サンドボックスによるフィルタ
サニタイズ(無害化)
ファイルタイプ変換(テキストファイル化、PDF化など)
ブラックリスト/ホワイトリスト
RBL・レピュテーションによるフィルタ
Geolocationによるフィルタ
逆引き登録必須
添付ファイルの拒否
圧縮ファイルの拒否
パスワードのついた圧縮ファイルの拒否
パスワードのない圧縮ファイルの拒否
拡張子による拒否
ファイルタイプによる