beroの日記: アカウント/PASSを入れるということ(mymail) 3
俺はとあるメールサーバの管理者をしてるのだが、
あるユーザから「メールが届かない」というクレームがあった。
詳しく聞くと「特定の人からのメールが届かない」ようだ。
ログを見ると、メールサーバには届いているものの、そのユーザが自分で削除している。
「迷惑メール扱いで自動削除とかの設定になってるんでは?」と聞いても「してない」と言い張る
さらに調べると、collector3.my.com というところ(ロシア)からアクセスされてる
すわアカウントが漏れたか、と思ったが
my.com てなんぞ? と調べたら
mymail というメールアプリ(android/iOS)を出してる会社だった。
で「これこれのアプリ入れてる?」と聞くと、
普段はPCでメールチェックしてるがスマホでも見ることがあり、「(PCでは)何もしていない」と言い張っていたのであった。
おそらく操作ミスかなんかで迷惑メール扱いにしてしまい、以後その人からのメールは届き次第、スマホアプリのローカルの迷惑メールフォルダに入り、同時にメールサーバから削除されていたため、PCからは「届かない」ように見えるのであった。
つまりこのメールアプリは、単なるメールクライアントではなく、
メールアカウント/PASSを会社に預け、
会社サーバが利用者の代理でメールサーバにアクセスする、
メールフィルターサービスのクライアントであった。
検索で引っかかる日本語の紹介ページでは「複数アカウントが使えて便利」「プッシュ通知が便利」と評価が高い。
アプリが全アカウントを定期的にメールチェックするより、会社サーバが代理でチェックして、メールが届いたときのみプッシュ通知する、
というのは利便性も高く電池も長持ちし通信料も減るといいことづくめだが、
一方で会社はメール内容を見放題ということでもある。
実際に見てるかどうか、プライバシーポリシーがどうなってるかは、俺は入れてないので不明。
gmailとかhotmail(今だとoutlook.com?) とかだと、サービス企業及び米政府は見放題、ということはある程度周知されてて利便性とプライバシーを天秤にかけて利用するだろうが、アプリを利用するときも同様である。
.. ということを Orario の件で思い出した
SMTP (スコア:2)
そもそもSMTPなのでメール見放題とか。
SMTPSならサーバ間も暗号化されるのかな。
クライアント-クライアントで暗号化されてない限り、
丸見えはしょうがないかも。
#PGPとかで暗号化したのを貼り付けて送る、否!
#SSHでチャット。
Re:俺はmaymailの情報リテラシーではなくてberoの情報リテラシーが不安だよ (スコア:1)
なんで俺に噛みつくんだろう
mymailを名指しで批判してるように読めたのだろうか
単位云々は俺は批判的なんだが
anonの読解力が不安
それはそれとして
安岡センセイは根拠となるのは、もちろん京都大学のセキュリティポリシー です。 [srad.jp]と明言してるので
> 法律で禁止されてるのと、管理者が禁止してるとか規約規定で禁止されてるとかの区別をちゃんと
付けてないのは外野の話だろう
最初の日記時点では書いてなかったので、「不正アクセス」という言葉を不用意に使うのはどうかと思うが(しょせん日記)