アカウント名:
パスワード:
・「送信元のアドレスは画面表示上、担当者のものと同じだった」 https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html [asahi.com]
・メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける [it.srad.jp]
今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
Vendors affected by Mailsploit [google.com] の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被
>今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
そうなっていてほしいけど、残念ながら現実は。
>Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
dmarcが普及してない現実を考えれば、mailsploit なんて手法に頼らず、昔ながらの方法でヘッダ詐称したほうが確実だろう。
dmarcが普及してない現実を考えれば、
中小企業だと自社でシステム構築するのは不可能でGoogle Apps for WorkになってるのでDMARCには対応してる大学のac.jpメールも大抵の大学はGoogle Appsだね
大手だとSIerに作らせた古いシステムを未だに使ってるからDMARC対応は次のシステム更新までないんじゃないかな
>Google Apps for WorkになってるのでDMARCには対応してる
サービスが対応しているということと、サービスを利用するユーザがそれを実際に使うということは話が別。
たとえば今回のjal.co.jpのMXを見るとmessagelabsのサービスを使っているようで、これはdkim署名対応済みのサービスだけど、jal.co.jpはdkim公開鍵を登録していないので実際には署名していないとわかる。また、このサービスはspf/dkim/dmarcの検証にも対応してるけど、送る側がspf/dkim宣言していなければ検証しようがない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
Mailsploit 脆弱性の悪用? (スコア:1)
・「送信元のアドレスは画面表示上、担当者のものと同じだった」
https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html [asahi.com]
・メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける [it.srad.jp]
今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
Vendors affected by Mailsploit [google.com] の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被
Re: (スコア:0)
>今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
そうなっていてほしいけど、残念ながら現実は。
>Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
dmarcが普及してない現実を考えれば、mailsploit なんて手法に頼らず、
昔ながらの方法でヘッダ詐称したほうが確実だろう。
Re: (スコア:0)
dmarcが普及してない現実を考えれば、
中小企業だと自社でシステム構築するのは不可能でGoogle Apps for WorkになってるのでDMARCには対応してる
大学のac.jpメールも大抵の大学はGoogle Appsだね
大手だとSIerに作らせた古いシステムを未だに使ってるからDMARC対応は次のシステム更新までないんじゃないかな
Re:Mailsploit 脆弱性の悪用? (スコア:0)
>Google Apps for WorkになってるのでDMARCには対応してる
サービスが対応しているということと、サービスを利用するユーザがそれを実際に使うということは話が別。
たとえば今回のjal.co.jpのMXを見るとmessagelabsのサービスを使っているようで、
これはdkim署名対応済みのサービスだけど、jal.co.jpはdkim公開鍵を登録していないので
実際には署名していないとわかる。
また、このサービスはspf/dkim/dmarcの検証にも対応してるけど、
送る側がspf/dkim宣言していなければ検証しようがない。