パスワードを忘れた? アカウント作成
2454 story

1700億円のopen relay mailシステム 21

ストーリー by wakatono
壮大な無駄遣い 部門より

Spam対策が活気付いてる今日この頃だが、そんな中で勇気あるタレコミが。曰く、"出所が知れるとかなりやばいので匿名でタレこませてください。
日経BPこの記事で話題になっていますが,文部科学省が1991年から2001年まで1700億円かけている病院情報システムの中核とされているUMINですが,ORDBのってしまっています。"とのこと。

"UMINメールの設定ページをみるとpop before smtpが設定されているようですが,登録アカウントのみチェックして,登録されていないアカウントは素通しというアレゲな設定になっているようです。1700億のうち,このメールシステムにいくら使っているのでしょう?
UMINは各医療系学会のメーリングリストや学会の演題受付も無料でやっていて結構医療業界ではメジャーな存在で,学会会員全員をUMINに登録しろでなければ,その分の会員の会費を上げてもしょうがないなんてこといったり,信頼性と安定性にはかなり自信があるようなのですが,この程度の設定やっているところが日本の医療ネットワークの元締めやっているってこわいですね。ちなみにSSLなどの暗号化通信やVPNもやってますけど,認証局も自分で兼ねるというすばらしさ。(爆)

1700億の全部がメールを含むセキュリティ関係にかけられてるわけではないとはおもうが、実際その中のどのくらいがセキュリティ対策に費やされているのかがはなはだ疑問となる結果だ。ORDBだけでなく、ORBZにも登録されているが、大丈夫か?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • unim.ac.jp のメールは、受信拒否で突き返せばいいかと思います。でも「第三者中継を許している」と言っても、医者には理解できないだろうなぁ、、、そうだ、「出会い」などの spam 業者に「ここを使えは?」と教えてあげて、結果的に散々に顰蹙を買えば、「これではまずい」と理解しやすいかな。 (spam 業者が悪い、行政で取り締まれ、という理解に達するかもしれませんが)
  • by Anonymous Coward on 2002年03月05日 11時48分 (#68927)
    UMIN [umin.ac.jp]の Administrative Contact、Technical ContactでもあるT大病院医療情報部助教授K内氏の 方々の会議での発言。

    「もっと UMIN [umin.ac.jp] 使え。メーリングリスト使え,ホームページ作れ。 医療系のコンテンツは UMIN [umin.ac.jp] という 公共のスペース に置くのがふさわしい」

    あの~
    インターネット自体が 公共のスペースだと思うんですが。

  • by Anonymous Coward on 2002年03月05日 11時57分 (#68934)
    は2001/10/07だと。約半年も放置プレィなままかい。

    いったいpostmasterはナニをしてるんですかね。

  • by Anonymous Coward on 2002年03月05日 13時41分 (#68987)

    この "receiver@nowhere.foo"@nowhere.bar を中継する機能は どうしてあるのでしょうか。また、中継拒否するためには sendmail.cf をどう書き換えればよいのでしょう。 教えてください。

    % /usr/lib/sendmail -oQ/home/me/tmp -C/etc/sendmail.cf -bt
    Warning: .cf file is out of date: sendmail 8.9.1 supports version 8, .cf file is version 5
    ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
    Enter ruleset address
    > 0 "receiver@nowhere.foo"@nowhere.bar
    とかやっていろいろ試してみてはいるのですが。

    私の受信ログを検索してみたら、 Reply-To: "support@nowhere.co.foo"@mydomain.nowhere.bar となっている広告メールがありました。

    あるサイトを放置プレイしている本人なので 匿名で失礼します。

  • by Anonymous Coward on 2002年03月06日 5時00分 (#69247)
    以前管理しているマシンを手違いでopen relayに していたらORDBなどに登録されちゃったことが ありますが、登録してもメールをくれるところばかりでは ないんですよね……。

    そのときは幸い発見が早かったのでsyslogから 全部洗い出せましたが、問題は修正したけど それらの登録はされたまま、というのも 結構あるのではないかと思います。 そんなのはかえって使うとまずいわけで、 ここは信用できる、出来ない、というのをまとめたページが どこかにないですかね。

  • by Anonymous Coward on 2002年03月07日 8時18分 (#69674)
    nanet - 第三者中継調査 [nanet.co.jp]を使って調べると、まだ3rd party relayを受けつけるようですね。

    予算にメンテナンス費用は含まれていないのでしょうか。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...