• はてなブックマーク
  • テクノロジー
  • 鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した
  • Twitterでシェア
  • Facebookでシェア

鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
271 usersがブックマーク コメント38

    記事へのコメント38

    • 注目コメント
    • 新着コメント
    tohokuaiki
    tohokuaiki あぁ、そりゃそうだな。手元のさくらレンサバで試したら登録できた。DNSがこっち向いてないから登録できないってしたら本当に移管する時にメールロスト発生するからダメだし。あー、これ意外と難しいね。

    2019/04/29 リンク

    その他
    prograti
    prograti ホスティング事業者側でTXTレコードとか使ってドメイン所有者かどうか確認出来ないのかな?

    2019/04/29 リンク

    その他
    misomico
    misomico gmail.com登録したらいっぱい釣れるのかな

    2019/04/29 リンク

    その他
    n314
    n314 サーバー転出後にドメインオフにしてなくて中からのメール届かない(移転前のサーバーに届く)運用ミス何度かやったな…。新規設定でもできるのか。

    2019/04/29 リンク

    その他
    ockeghem
    ockeghem 日記書いた #ssmjp

    2019/04/29 リンク

    その他
    mkusunok
    mkusunok SMTPサーバーが十分に分散している前提で設計されてるのに、昨今のメガクラウド集中はツラたん?

    2019/04/29 リンク

    その他
    napsucks
    napsucks 狙って同居するのは困難だし被害も限定的だけど、本気で狙われたらかなり対策が難しいな。当該MTA発のメールをこっそり盗まれうる。

    2019/04/30 リンク

    その他
    cocoyutaka
    cocoyutaka ん? これって奪った側のメールサーバに同じアカウント名(@の前の部分)が無かったら、user unknownでエラーで戻っちゃいそうですが。存在しないアカウント名のメールも受け取る設定あるのかな??

    2019/04/30 リンク

    その他
    Adeptus
    Adeptus 「外のSMTP」がすでに信用できないからIPアドレスで行くしかない

    2019/04/30 リンク

    その他
    uunfo
    uunfo gmail.comとかyahoo.co.jpとかdocomo.ne.jpとかを登録されるとしんどいな/そろそろSMTPサーバーに丸投げするんじゃなくてMUAがMXレコード見て直接配送するのでいいと思う

    2019/04/29 リンク

    その他
    zakinco
    zakinco ヤバい話。レンタルサーバからメールを送らないことでしか対応できない。

    2023/02/15 リンク

    その他
    deep_one
    deep_one 昔、「レンタルサーバー内の別ユーザーが持ってるドメインのサブドメインを勝手に登録できる脆弱性」とかあったが、そういう話か。/ドメイン移行の時にあらかじめ登録したりするから勝手に登録できるのは知ってた。

    2019/05/08 リンク

    その他
    naglfar
    naglfar 難しい……。

    2019/05/07 リンク

    その他
    pmakino
    pmakino これ基本的に共用レンサバの設計上の脆弱性なのでレンサバ屋が正すしかないと思うけど、そういうよくない実装のレンサバが一体どのぐらいあるのか…

    2019/05/04 リンク

    その他
    motokix
    motokix 移動前にメールクライアント設定先取りさせておくクライアントもあるんでメールアカウント登録だけはさせて

    2019/05/01 リンク

    その他
    rryu
    rryu これは共有のメールサーバの設定を変更できるという権限昇格の脆弱性なのではないだろうか。

    2019/04/30 リンク

    その他
    wasai
    wasai 鈴木先生の講演のまとめですか。これは聞きたかったなあ

    2019/04/30 リンク

    その他
    Falky
    Falky マジで電子メールってものは一回消滅させた方がよいのでは?

    2019/04/30 リンク

    その他
    nmcli
    nmcli めちゃくそヤバいやつやな。ドメインの移管申請を自分で完結できたりするもんな。これ物理の郵便と同じように、隣近所にハガキ出す時もまずポストに投函しようっていうルールを徹底しないといけないよな。

    2019/04/30 リンク

    その他
    wittro
    wittro あーローカル配送が優先されちゃう仕様だから脆弱だよね。メールの実在性確認は受取手の作りによるし。

    2019/04/30 リンク

    その他
    ngsw
    ngsw 忘れかけてしまった記憶で言えば、たしかにそうなると思う。nsswitch.confがデフォでhostsを見る設定になっているような感じで、MTAローカル配送先解決はDNSを利用しない。なのでそこに配送先に一致するものがあれば配送する

    2019/04/30 リンク

    その他
    gabill
    gabill もうメールという仕組みは限界では...。

    2019/04/30 リンク

    その他
    ya--mada
    ya--mada レンタルサーバーって、いにしえのアレですか?

    2019/04/30 リンク

    その他
    Adeptus
    Adeptus 「外のSMTP」がすでに信用できないからIPアドレスで行くしかない

    2019/04/30 リンク

    その他
    t-murachi
    t-murachi 有名どころならまだ防ぎようもあるだろうけど、零細ドメイン取得者にとっては驚異以外の何者でもない罠(´・ω・`)

    2019/04/30 リンク

    その他
    fashi
    fashi ドメイン認証はなりすましの確認しかできないし暗号化は受信側の対策要るし、SMTPサーバはIPでアクセスできる外部の専用サーバを利用する位しか思いつかないな…

    2019/04/30 リンク

    その他
    makou
    makou 盗み見でなく窃盗/横取りか。

    2019/04/30 リンク

    その他
    d6rkaiz
    d6rkaiz ローカル配送使わず外のSMTPへ繋いで送信するようにすればいいだけでは?(その繋いだ先が共用のレンタルだったら同じ問題おきるけど、今時 g suite とかだろうし)

    2019/04/30 リンク

    その他
    napsucks
    napsucks 狙って同居するのは困難だし被害も限定的だけど、本気で狙われたらかなり対策が難しいな。当該MTA発のメールをこっそり盗まれうる。

    2019/04/30 リンク

    その他
    wata88
    wata88 サイバーご近所トラブルだ

    2019/04/30 リンク

    その他
    cocoyutaka
    cocoyutaka ん? これって奪った側のメールサーバに同じアカウント名(@の前の部分)が無かったら、user unknownでエラーで戻っちゃいそうですが。存在しないアカウント名のメールも受け取る設定あるのかな??

    2019/04/30 リンク

    その他
    itochan
    itochan PGPは? > Q4: メール送信者(レンタルサーバー利用者)ができる対策はあるか? / MITMの一種になるのかな、毒入り(仕様)なのかな、分類というか名前を知りたい

    2019/04/30 リンク

    その他
    UhoNiceGuy
    UhoNiceGuy VPSなら大丈夫かな?これ、絶対に外のDNSを(そのドメイン宛てのメールを受け取る設定になっていても)引いてそこ宛に配送するシステムにすることはできないのかな?

    2019/04/29 リンク

    その他
    misomico
    misomico gmail.com登録したらいっぱい釣れるのかな

    2019/04/29 リンク

    その他
    uunfo
    uunfo gmail.comとかyahoo.co.jpとかdocomo.ne.jpとかを登録されるとしんどいな/そろそろSMTPサーバーに丸投げするんじゃなくてMUAがMXレコード見て直接配送するのでいいと思う

    2019/04/29 リンク

    その他
    style_blue
    style_blue 事ほど左様にインターネットを支えるテクノロジーは不特定多数のしかも悪意のあるユーザーと共用する様には設計されていないのであった。らSMTPを全て外に飛ばすって訳にもいかないんだろうしね。

    2019/04/29 リンク

    その他
    bottomzlife
    bottomzlife うーん、ローカル配送エージェントで配信先解決するのって、たとえばsmtp027.lolipop.jpに同居しているドメインってだけだよね?狙って同居するのは難しいだろうなあ/id:cocoyutaka 主要なMTAはどれもcatch allの設定ができるね

    2019/04/29 リンク

    その他
    nikoli
    nikoli DNSもだけど、新規登録時の所有者確認は真面目に考えると難しいよなあ

    2019/04/29 リンク

    その他
    Cherenkov
    Cherenkov email

    2019/04/29 リンク

    その他
    tohokuaiki
    tohokuaiki あぁ、そりゃそうだな。手元のさくらレンサバで試したら登録できた。DNSがこっち向いてないから登録できないってしたら本当に移管する時にメールロスト発生するからダメだし。あー、これ意外と難しいね。

    2019/04/29 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した

    4月23日(火)に開催された 「#ssmjp 2019/04 ~DNSの話を聞く会~」に「Outputなら任せてください枠」...

    ブックマークしたユーザー

    • techtech05212024/03/02 techtech0521
    • zakinco2023/02/15 zakinco
    • N_T2019/05/17 N_T
    • sagar2019/05/08 sagar
    • deep_one2019/05/08 deep_one
    • mjtai2019/05/08 mjtai
    • naglfar2019/05/07 naglfar
    • wushi2019/05/05 wushi
    • pmakino2019/05/04 pmakino
    • www_taca2019/05/02 www_taca
    • motokix2019/05/01 motokix
    • shirokurostone2019/05/01 shirokurostone
    • gurutakezawa2019/05/01 gurutakezawa
    • nhayato2019/04/30 nhayato
    • TakayukiN6272019/04/30 TakayukiN627
    • sakef2019/04/30 sakef
    • lEDfm4UE2019/04/30 lEDfm4UE
    • and_hyphen2019/04/30 and_hyphen
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.