Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
TL;DR 基本的には二重での暗号は不要 ただし、転送後も暗号化したまま使うなら、転送前から暗号化するのは良い ルールXを無邪気に追加して不整合のあるセキュリティルールを作ってはいけない はじめに 社内のセキュリティルールやスタンダードを決めるときに、HTTPSなのにVPN必須になってたりファイル暗号も必須になってたりするケースたまに見ます。今回は、それは実際に必要なことなのか? セキュリティ的に有効なのか? という点で考察をしていきたいと思います。 背景 二重三重に暗号化しても性能ペナルティが無いなら「なんとなく安全そうだから」でOKにしてしまいがちなのですが、これはよく考える必要があります。 というのも 「ルールXを追加することで既存のルールAと不整合が出る」 ってことは割とよくあるからです。具体的には「SCPのファイル転送は(SCPのセキュリティに不備があった時の)安全性のためにファ
なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。 ショップオーナー向けに掲載していたお知らせの内容 背景 全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まった ことの発端は、iOS14.5以降からIDFA(端末ごとに持つ固有識別子)の取得に端末所有者の許可が必要になったことでした。 この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。 一方で、広告出稿側から見た場合は拒否をしたユーザーの
中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い(そんな状況あるのか?)という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない! ちょっとそこのハ○キルーペ貸してくれーw
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
メール診断ツール「mail-tester」でGmailに届かない神奈川県立高校の出願システムのメールを診断してみた | DevelopersIO
迷惑メール判定サービスの mail-tester を利用して神奈川高校入試出願サイトのメールを診断。 SPF、DKIM、DMARCなど送信者ドメイン認証や、SPAM判定される要素が無い満点の診断結果であっても、Gmailにメールが届かない原因を推察してみました。 神奈川県立高校の入試出願システムで、Gmailへメールが届かない問題が再発しました。 令和6年1月24日14時掲載(第1報(新)) 本日より募集期間となりましたが、@gmail.comのメールアドレスのみを登録している志願者に、出願システムからのメールが遅延している、あるいは届かない不具合が発生しています 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について 以前、出願システムから送信されるメールにYahooメール、Gmailに届いたメールより、送信者ドメイン認証などは正しい事を確認できていました。 Gmai
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の内容と一部重複しますが、できるだ
Gmailに届かない神奈川県立高校入試のインターネット出願システムのメールを調べてみた | DevelopersIO
Gmailに届かないと報告されている2024年神奈川県立高校入試の出願システム自動返信メール、 2024年1月15日にYahooメールに届いたメールヘッダー情報などから、送信ドメイン認証(SPF、DKIM、DMARC)の確認を試みました。 2024年2月の神奈川県立高校の受験を予定している家族から、 "インターネット出願システムの登録を試みたが、システムからの返信メールがGmailのアドレスが届かないため、代わりにYahooメールを利用した。" との報告を受けました。 今回、2024年1月15日にYahooメールで受信したインターネット出願システムのメールを調査する機会がありましたので、紹介させて頂きます。 2024年1月19日 追記 ネット出願システムの不具合解消後のメールの調査結果を公開しました。 2024年1月18日 追記 ネット出願システムのメールサーバ側の問題について調査結果を公
Amazon SES でメール送信するときのベストプラクティスまとめ(2020年10月) | DevelopersIO
Amazon SES API についての補足の説明です。 From, To, Subject, Body のみ指定すれば、残りはすべて AmazonSES が適切にフォーマットした Eメールメッセージで簡単にメール送信できるのが SendEmail API です。 添付ファイルを使うなど、独自に細かく制御したフォーマットにカスタマイズしてメール送信をしたい場合は SendRawEmail API を利用します。 基本となるテンプレートメールを作成して、テンプレート内の変数に対してパーソナライズされた値に置換した内容で Eメールメッセージを送信できるのが SendTemplatedEmail および SendBulkTemplatedEmail のAPIです。 詳細については、AmazonSESのEメール送信方法 を確認下さい。 SESのSMTPエンドポイントを使ったメール送信例は下記ブログ
Gmailと米国Yahoo!のあれ(2024年2月) - /var/lib/azumakuniyuki
メールシステム担当の人はもちろん、インフラ担当の人もDNSの設定とかで既に知ってはると思いますが、 10月にGoogleが発表した2024年2月から始まるGmailとYahoo!(米国)におけるスパム対策強化のあれです。 海外では数年前から"No Auth, No Entry"って「代表なくして課税なし」みたいな感じで言われているアレです。 識者の方々がいろんなところで記事にしてはりますので、他のところであんまり書かれていない気がするとこだけ記します。 まずは公式情報 Google Googleについては以下の二ヶ所を読んで理解して実践しておけば大丈夫そうです、たぶん。 パラメーターのhl=enをhl=jaに変えると日本語版になりますが、更新されるのが遅いので最初に英語版を見ておくのが良いです。 Email Sender Guidelines(81126) Email Sender Gui
コンテナフレンドリーではなかったRailsアプリケーションをDocker(ECS)に移行するまでの戦い - クラウドワークス エンジニアブログ
はじめに SREチームの @minamijoyo です。 先日 CrowdWorks (crowdworks.jp) の本番環境のRailsアプリケーションを Docker (AWS ECS: Elastic Container Service) に移行しました。 CrowdWorksは2012年にサービスを開始し、2019年10月現在、ユーザ数は300万人、月間で数億円規模のお仕事がやりとりされる、国内最大級のクラウドソーシングプラットフォームにまで成長しました。 サービスの規模拡大に合わせて、ソースコードも数十万行規模に成長し、 決して小さくはない規模のRailsアプリケーションに成長しました。 CrowdWorksの開発環境にDockerが導入されたのはもうかれこれ3年半前の2016年の4月頃、2017年1月頃にはCrowdWorks本体から切り出された一部の機能で本番環境に投入され
こんにちは、IT基盤部の中村です。 主に社内システムのインフラを担当しています。 現在の業務内容とは少しずれてしまいますが、最近までメール系のインフラには深く携わっていたこともあり、今回はメールシステムについてお話します。 今どきSMTPなどレガシーな話かもしれませんね。しかしながら良くも悪くも枯れたSMTPはインターネット基盤の根底に位置する息の長い技術でもあります。 きっとみんなまだ使ってるはずなのに、あまりノウハウが出回っていないのが辛いと感じているそこの担当者の方、よろしければ少しの間お付き合いください。 サービスでのメールの利用用途 我々がサービスとしてメールを取り扱うとき、その主だった利用用途は下記の2つです。 メールマガジンなどの情報発信 入会・ユーザ登録時などのユーザ存在確認 メールマガジンはユーザーに情報を新たに届けたり、あらたに弊社の別のサービスに触れて頂く機会を提供す
AWS SESで信頼性の高いメール送信(SPF, DKIM, DMARC) with Terraform - 電気ひつじ牧場
メール認証の仕組みと、SESでのTerraformを使った設定方法について紹介します。 メール認証の種類 メールメッセージ MAIL FROM FROM SPF(Sender Policy Framework) DKIM(DomainKeys Identified Mail) DMARC SESの設定 SESで利用するドメイン認証 DKIM設定 DMARC with DKIM DMARC with SPF 参考 メール認証の種類 メールでは送信元のなりすましを検出するための認証の仕組みとして、主に以下の3つがあります。それぞれRFCで定められています。 SPF(Sender Policy Framework) DKIM(DomainKeys Identified Mail) DMARC(Domain-based Message Authentication, Reporting, and
はじめに Twitterの動乱に巻き込まれている皆様、いかがお過ごしでしょうか。 私も例外なく巻き込まれており、特にAPI利用していたアプリケーションを停止することになって非常に残念です。 そこでTwitter代替サービスを探すわけですが Mastodon Misskey とActivityPub系が来て、何か新たに面白そうなものが現れました。 Damus、そしてそのプロトコルのNostrです。 今回、こちらをちょっと触ってみたので紹介します。 とりあえず触ってみたい人はこちら AT Protocolも書きました。こちら 注意 Nostr Assets ProtocolおよびNostrトークンは、Nostrの名前を勝手に使用している無関係の(おそらく詐欺)通貨です。混同しないようにご注意ください。 最近の動向含めた最新情報(2023/12) こちらの記事が参考になります ▽それ、1個のアカ
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス 丸善ジュンク堂書店 ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的
書店員との対話で、メール技術書の不足に気づく 増井氏は技術士として関連知識の教育を提供するとともに、プログラマーとしても活躍している。ネットワークや情報セキュリティの分野でテクニカルエンジニアとしての役割を果たし、情報処理技術者試験やビジネス数学検定1級などの資格試験にも多数合格。ソフトウェア開発では、ビジネス、数学、ITを融合させ、コンピュータの効率的かつ正確な使用法を支援している。 教育の一つとして本を執筆する活動もしており、『Obsidianで“育てる”最強ノート術』(技術評論社刊)『1週間でシステム開発の基礎が学べる本』(インプレス刊)『「技術書」の読書術』『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』(翔泳社刊)など多数の書籍を執筆。個人でも同人誌づくりをしたり、シェア型のリアル書店で自身の書籍を販売したりするなどの活動も行っている。 増井氏は
Twitter は数多の星の一つとなった|うるし
マイクロブログの覇権戦争は切って落とされた 昨日 Facebook、Instagram を擁する Meta 社から、Threads という新しいマイクロブログがリリースされました。リリースからわずか 1 日で 3000 万ユーザーを獲得するなど、過去に前例をみない華々しいデビューを飾る一方で、それ以前から様々な新興マイクロブログサービスが乱立しており、ポスト Twitter を巡る激しい開発・ユーザー獲得争いが行われています。この note では、それらマイクロブログ SNS の覇権争いに目を向け、それら SNS にどのような特徴があり、どのように運営していて、どのようなユーザー獲得を行っているのかを見ていきます。 自己紹介 先に少し自己紹介をします。私はうるし (@uakihir0) といいます。自分は長らく Twitter のクライアントアプリを開発していました。(TheWorld)
まえがき こんにちは。Owners Experience Backend Group の杉浦です。主にサーバーサイドのアプリケーションの実装をしています。 エンジニアとして働いていると、当然、技術的なことには意識を向けるのですが、ROI(Return of Investment = 投資利益率)を意識することはあまりないと感じたので、この観点でエンジニアリングを考察しました。 想定する読者としては、下記を意識しています。 エンジニアの方で、ROIというビジネスの概念を知りたい方 エンジニアではない方で、ROIの観点でエンジニアリングの理解を深めたい方 このため、テックブログではあるものの、エンジニアではない方にも趣旨を理解いただけるように、技術に関しては少々噛み砕いて書いています。普段、コードには触れないビジネスパーソンの方にとっても、エンジニアリングを理解する一助になりましたら幸いです。
Google, Yahoo の Sender Guidelines について | IIJ Engineers Blog
2015 年新卒入社。途中、2年ほど IIJ Europe に出向経験もあるが SMX の中の人として長年スパムメールと奮闘中。M3AAWG, JPAAWG にも参加し始め、メッセージングエンジニアとして頑張ってます。最近の趣味はぶらり都バス旅。 メール送信者のガイドライン – Google More Secure, Less Spam: Enforcing Email Standards for a Better Experience – Yahoo! 2023年10月初旬、Google と米国 Yahoo! からとある衝撃的な発表があった。 要約すると、送信ドメイン認証に対応していないメールは受け取らない という内容である。 送信ドメイン認証(SPF, DKIM, DMARC) の普及や活用については世界各国で議論がされており、特に DMARC については RFC 公開されて今年で 8
送信ドメイン認証の現状
2019/09/07 DNS温泉6 in 下呂 で利用したスライドです。 内容的にマズい部分は改変してあります。 時間的に古いものですので、現在と相違がある部分もあります。
米Googleは2月から、Gmailアカウントに1日5000通を超えるメールを送信するユーザーに対して、ドメイン認証などの対策を義務づけた。これにより、警視庁の防犯情報メール「メールけいしちょう」が一時的にGmailへの配信を停止したり、一部の企業からGmailにメールが届かなくなったりするなどの影響が出ている。 Googleの施策は、迷惑メールやスパム対策が目的。大量送信者に対し、 送信メール認証や、受信者がメールの配信登録を簡単に解除できるようにすることなどを義務づけている。24年2月1日から施行することを2023年10月から予告していた。 メールけいしちょうは2月1日時点で「システム保守のためGmailへの配信を一時的に停止している」と発表。島根県が配信している県民向け防災情報「しまね防災メール」も、2月1日から一時的に受信できない可能性があると告知していたが、5日に「問題が解決した
実務で使える メール技術の教科書 基本のしくみからプロトコル・サーバー構築・送信ドメイン認証・添付ファイル・暗号化・セキュリティ対策まで | 翔泳社
システム管理者・開発者が知っておきたいメール技術のすべて 【本書の特徴】 ・豊富な図解で、わかりづらい仕組みもよくわかる ・メール技術を軸に学ぶことで、「サーバー構築」「DNS」「セキュリティ」の仕組みが腑に落ちる ・システム開発・運用の実務で「使える」知識を網羅。1冊あれば安心! 【本書の内容】 SNSやメッセージアプリに押されている印象のメール。 しかし、ほとんどのSNSやWebサービスのアカウント作成にはメールが必要です。ビジネスシーンでは、メールで連絡をする人がまだまだたくさんいます。 つまり、システムやサービスの開発・運営において、メールはいまでも不可欠なインフラなのです。 ところが、メール技術全般について体系立てて説明された情報源は、いつの間にかほとんどなくなってしまいました。結果として実務の現場は、必要な知識だけをインターネットで調べたり、先輩に聞いたりして、「その場をしのぐ
【Nostr】これはTwitterを代替できるのでは?みたいなUIでリリースされたiOSアプリを試して今のところ分かっていること【Damus】 - ネタフル
日本時間の2023年2月2日未明のことだったと記憶しているのですが @mehori からTwitter創業者であり元CEOのジャック・ドーシーが関係する新しいアプリがリリースされたと聞き、どんなアプリかも知らずにダウンロードしたのが「Damus」でした。 公開鍵や秘密鍵のような情報が出てきて、ユーザー登録からして難解に感じてしまったのですが、とりあえず始めてしまえばサービスとして難しいことは‥‥まあ、なくはないかな? でもすぐに慣れます。 暗号鍵ペアに基づく分散型ネットワークの「Nostr」というプロトコルがあり、そこでやり取りするメッセージをいくつかのアプリやサービスが取り扱っているのですが、その中の1つとしてTwitter風のUIを被せているのが「Damus」という理解をしています。 ジャック・ドーシーは開発資金を提供する形で「Nostr」に関わっているそうです。またビットコインの投げ
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
Let's Encryptはドメイン認証証明書を無料で発行してくれるたいへん素晴らしいサービスです。ウェブサイトをHTTPSで提供するためには証明書が必要ですが、Let's Encryptの登場以前は認証局から有料で証明書を発行してもらうのが主流でした。それを無料で発行してもらえるのは大変ありがたいことです。また、発行プロセスは自動化されておりとても簡単です。筆者も個人のウェブサイトは全てLet's Encryptで証明書を取得しています。 ところが、Let's Encryptが発行する無料の証明書なんて信頼できないという教義を信奉するタイプの人々も存在するようです。筆者は最近Twitterで見かけました。ということで、そのような思想を持つ方も安心してインターネットを利用できるように、Let's Encryptによって発行された証明書を使用しているウェブサイトのみブロックするプロキシサーバ
Yahoo/Gmail におけるメールの一括送信者に求められる要件の変更について | Amazon Web Services
Amazon Web Services ブログ Yahoo/Gmail におけるメールの一括送信者に求められる要件の変更について この記事は An Overview of Bulk Sender Changes at Yahoo/Gmail (記事公開日: 2024 年 1 月 12 日) を翻訳したものです。 Gmail と Yahoo Mail は、ユーザーの受信トレイを保護するための取り組みとして、2024 年 2 月から送信者に関する新たな要件を発表しました。これらの要件を満たすために Amazon Simple Email Service (Amazon SES) を利用するお客様が具体的に何をすべきかを詳しく見ていきましょう。 新しいメール送信者の要件は何ですか? 新しい要件には、メールボックスプロバイダーへの良好な配信を実現するために、すべてのメール送信者が従うべき長年培われ
また、IIJより社外の方へパスワード付きファイルを添付し送信する場合においても、今後順次別の手段へ変更いたします。 上記の変更にともない、ファイルを共有するための別の手段を用意し、移行いたします。その利用につきましては、お客様、お取引先様に、個別にご連絡を差し上げます。 変更に至った背景 メールにパスワード付きのzipファイルを添付して送信し、そのパスワードを後送する「PPAP」は、日本において多く見られる情報セキュリティ対策の一つですが、効果が薄いだけでなく、ウィルススキャンをすり抜けてしまうことから、米国のサイバーセキュリティ・インフラセキュリティ庁においてもブロックすることが推奨されています。 この仕組みを悪用したマルウェアは今後も発生することが予想されることから、当社だけでなく、お客様、お取引先様よりお預かりする情報を守るためにも、対応が必要との考えに至りました。 当社のお客様、お
はじめに SoftwareDesign 8月号のDNS特集にて記事を書かせていただきました。みんな買ってね。 で、実は最初に書いてた原稿はもっと長かったんですけど、紙幅の都合で一部の内容については掲載を見送りました。せっかく書いたのに捨てるのはもったいないので、先日おこなわれたDNS Summer Day 2022で発表しようかと準備してたんですが、途中で気が変わって違う内容になりました。そんなわけで、最終的にエンジニアブログにて供養します。加筆修正しまくっているので元の原稿の気配はもはや残り香程度に漂うだけですが。 ACMEでdns-01チャレンジ サーバ証明書を無料かつ自動で取得できるサービスとして有名なものにLet’s Encryptがありますが、Let’s Encryptの仕組みはLet’s Encrypt独自のものではありません。ACME (RFC8555)として標準化されていて
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。メッセージング技術領域における第11代黒帯(ヤフーでのスキル任命制度)の中村成陽と申します。エンジニアとしてYahoo!メールを担当しております。 今回の記事では、メールの比較的新しい認証規格である BIMI についてのご紹介、そしてその BIMI を Yahoo! JAPAN が導入することになりましたので、それまでの過程や実際の対応内容などについてご説明します。さらに、BIMI における今後の展望に関しても触れられればと思います。 フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入(プレスリリース) BIMI とは? BIMI (Brand Indi
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説 実在するメールアドレスを悪用して、マルウェアに感染させたり、ID/パスワードなどの重要情報を騙し取る「なりすましメール」の被害が後を絶ちません。偽の口座に直接金銭を振り込ませるなどの実害も発生しています。なりすましメールは実在の人物を騙り、ビジネスメールのような内容で送られてくるので、人が見分けるのは非常に困難です。この対策に有効な手法が「送信ドメイン認証」です。人では判別が難しいなりすましメールを識別し、被害を未然に防ぎます。その仕組みと効果的な活用法を詳しく紹介しましょう。 (関連記事)新潮流になるか?GoogleとYahooが発表した「今後は受信しないメール」の条件 2024年6月1日以降、Googleの新ガイドラインに未対応の場合、Gmail宛のメールが届かなくなる場合があ
![送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a8875d174039686c2e8efce10da0e4cd0d7a7650/height=288;version=1;width=512/https%3A%2F%2Fent.iij.ad.jp%2Fwp-content%2Fuploads%2F2019%2F06%2Fe-security-300x141.png)
DMARCとは DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、なりすましメール対策の技術で、電子メールの送信元のドメインを認証する技術の一つです。 Yahoo!メールでは以前からSPF(※1)、DKIM(※2)というなりすましメール対策技術を導入しています。 これらがYahoo!メール側でなりすましを判断する技術であるのに対して、2020年3月より順次導入されるDMARCは「なりすまされたメールの扱い(ブロック、迷惑メール判定など)を設定」することで、ユーザーの皆様になりすまされたメールが届かないようにするための技術となります。 これによって今まで以上になりすましメール対策が強化され、より安心・安全なメールとしてお使いいただけるようになります。 ※1 SPF (Sender Policy F
はじめに いまやWebサイトはすっかりHTTPSが常識になりました。ほんの数年ほど前は「常時SSL」というキーワードをよく目にしましたが、それが実現した今となってはまったく見なくなりました。 平文のHTTPが安全でないのはわかるとして、HTTPSならばほんとうに安全なのでしょうか。 事例1: MyEtherWallet 2018年4月、MyEtherWalletという仮想通貨事業者の権威DNSサーバへの経路がBGPハイジャックされました。myetherwallet.comのDNS問い合わせに対して、偽の権威DNSサーバが偽のWebサーバにアクセスさせるような応答を返し、結果として、偽MyEtherWalletにアクセスすることになったユーザから15万ドル相当の仮想通貨が奪われました。 The Registerの記事 Oracleによる解説 ユーザが誘導された偽のWebサイトはHTTPSで動
神奈川県教育委員会が2024年1月9日に開始した公立高校の出願システムでトラブルが生じている。利用者が米Google(グーグル)のメールサービス「Gmail」のアドレスを登録しても、手続きに必要なメールが届かないというものだ。神奈川県公立高校の募集案内によれば、出願期限は1月末。1月末までにトラブルは解消されず、県教育委員会はGmail以外のアドレスを使うよう呼びかけたり、メールアドレスを貸し出したりしている。手続きができなかったり、完了通知などのメールが届かなかったりした受験者やその家族は、気が気でないだろう。 筆者がこのトラブルを知ったとき、「まだ1月なのに」という疑問が頭をかすめた。グーグルは2024年2月に、メール送信者向けのガイドラインを適用する予定だったからだ。メール送信者のガイドラインとは、グーグルが2023年10月に発表した、Gmailの個人利用者に届く迷惑メールを減らすた
AWSの無料SSL証明書サービス”Certificate Manager”をELBに設定して『https』になるか確認してみる | DevelopersIO
こんにちは、初心者向けシリーズです。 今回はAWSの無料SSL証明書サービス”Certificate Manager”をELBに設定してみようと思います! そもそもSSL証明書とは? SSLとは、ブラウザとウェブサーバ間でデータの暗号化をする仕組みのことです。 インターネット上で送受信される個人情報や、クレジットカード情報等を暗号化して通信を行うことで、盗聴や情報改ざんを防ぐ役割を持っています。 SSL証明書が適用されてるサイトはHTTPSで通信されることになり、URLの頭に「https://~」と、鍵マークが表示されます。 認証レベル(方式)により、3タイプに分かれます。 ドメイン認証 個人・法人で発行可能。問い合わせフォーム等の各種フォームやイントラネット等で利用がおすすめ。 企業認証 法人のみ発行可能。個人情報やクレジットカード等の入力が必要なサイトにおすすめ。 EV認証 法人のみ発
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
※この投稿について 前半でIPレピュテーションとは何か?という説明をしていますので、未読の方は一読することをお勧めします。 メールというインターネットの闇とIPレピュテーション(だけど重要)(前編) https://qiita.com/nfujita55a/items/5848fcfbbe6cbf7d98c3 この後半では、IPレピュテーションをよくしてメールを滞りなく送りたいときの光要素と闇要素を、光→闇の順に書いています。 メールを円滑に送るためIPレピュテーションを高めたい、何ができるの(光要素) まずは、IPレピュテーションを含めて、メール送信を円滑に行うためにすることが大別して3つくらいあると思います。 送信ドメイン認証する いわゆるSPFやDKIMです(最近はこれにDMARCが加わる)。SPFなら送信側が「DNSを使ってこのEnvelope-FromのメールはこのIPアドレス帯
実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと(1/2 ページ) 先日、神奈川県の高校出願システムでGmailドメインのアドレスにメールが届けられず、受験生による登録や出願に影響が出る問題が発生しました。ネットを大きく騒がせたこの問題、実はメールに関する比較的新しいルール変更が原因と考えられています。 神奈川県個別の問題についてはすでに掲載しているインタビューに譲りますが、この問題は他の事業者にとっても他人事ではありません。一体、いまGmailを巡って何が起こっているのか、簡単に解説します。 Gmailのガイドライン変更、詳細は そもそも電子メールの歴史は非常に古く、その原型は1970年代に遡るといわれています。一方でその仕組みは今も大きく変化はしておらず、悪意の混入が当たり前の現代インターネットには合わない部分も増えてきました。
本記事で紹介する方法は、企業や組織のセキュリティポリシーで禁止されていることがあります。利用前に必ず組織の管理者にご確認ください。技術的に利用可能だったとしてもルールで禁止されている場合があります。 本記事の内容は便宜のために公開しており、無保証・非サポートです。IIJ のお客様でも、Gmail についてのサポート窓口へのお問い合わせはご遠慮ください。 正確な内容になるよう努めていますが、Google 社の仕様変更やポリシー変更等によって不正確になることもあります。各自の責任においてご利用ください。 以前、当エンジニアブログでも記事になっている通り、2024年 2月から Gmail 宛(※1)のメールは、なりすまし対策として有効な 送信ドメイン認証の対応が必須 となることが告知されています。(→Google, Yahoo の Sender Guidelines について) したがって Gm
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
え、HTTPSの転送なのにファイルも暗号化するんですか???
冴えないAWS環境の育てかた α | DevelopersIO
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
メールを送信する話 | BLOG - DeNA Engineering
Nostrプロトコル(damus)を触ってみた - Qiita
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
きちんと届くメールを実現するには? 『メール技術の教科書』著者に聞く、古くて新しいメールの世界
ROI(投資利益率)を意識したエンジニアリング - BASEプロダクトチームブログ
Gmailへの一括送信、2月から厳格化 「メールけいしちょう」一時停止など多方面に影響
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
Let's Encryptを使用しているウェブページをブロックするプロキシサーバー - Qiita
PPAPに対する当社運用の変更について | インターネットイニシアティブ(IIJ)
Let’s Encryptでワイルドカード証明書を取得する話 | IIJ Engineers Blog
Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話
ドメイン認証技術「DMARC」について - Yahoo!メール
その証明書、安全ですか? | IIJ Engineers Blog
波紋広がるGmailガイドライン、国内企業から相次ぐ利用者への「お願い」に感じる不安
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
メールというインターネットの闇とIPレピュテーション(だけど重要)(後編) - Qiita
実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと
Gmail への転送エラーを回避する方法 | IIJ Engineers Blog