6/2頃からスパムメールが届くようになった。
メールフィルタをすり抜けてくるのだ!そのメールには一つの共通点があった。
その共通点から割り出されたのは、auのメールフィルタの問題だった。
ここ数年、スパムメール業者も多くなりメールの拒否リストに登録すると言う方法はすでに過去の物となったと認識している。
現在は、一括指定受信設定でインターネット全体として拒否し、指定受信リスト設定で受信したいメールだけ登録する方法で無ければ、自動作成されるランダムなメールアドレスを拒否することが出来ない。
今回は、この指定受信リストをうまく使った抜け道が利用された。
ここで、まずメールアドレスについておさらいしておきたい。
メールアドレスは下記の用な構成になっている。
※auでは上記ローカル部をEメールネームと呼んでいる。
上記を押さえた上で、迷惑メールフィルタを考える。
たとえば、ピグライフのアメーバからのメールを受信したいとする。すると指定受信リストに@ameba.jpを登録する。するとアメーバからのメールは全て受信できるようになる。しかし、ここ以外からのメールは受信できない状態は維持される。
アメーバからはユーザーからユーザーへ友達申請のようなメールが届くことがある。スパム業者はこのメールを利用してユーザーを自分のサイトに誘導したいと考える。よって今回の抜け穴の登場となる。
auの指定受信リストは最初から何も考えていない、間抜けが作ったシステムである。最近になってドメイン指定とか言って@以降を登録させるような入力をさせるようになったが、それでも指定文字列を含むメールアドレスを許可/拒否である。そして、判定はメールアドレス全体で行われる。
ここがミソである。判定はメールアドレス全体であるので、上記メールアドレスのパーツのどこにあっても問題にはならないのである。簡単なメーラーでは自分のメールアドレスを書き換えることが出来ないが、それでも自分の表示名を付けることくらいは出来る。ここに、今回の指定受信リストに登録してあるような文言を付け加えるのである。
例を出して説明すると、
非常に簡単に、拒否している相手にメールを届けることが出来るのである。
するべきことは一つ、表示名に届きそうな人のメールアドレスを登録するだけ!ただそれだけなのである。
この問題は、すでにauには連絡済みである。修正依頼もしてあるので、いつ直すかはau次第である。それほど難しくも無いであろうから、やる気があればすぐ対応可能だと思う。
そろそろ、本腰を入れて迷惑メール対策を考えてほしいものである。
はっきり言って、個人レベルの迷惑メール対策よりかなり遅れていると言わざるをえない状況で10年以上運用している同社の方針がわからない。
2012/07/01 追記
今回のメールフィルタの内容は仕様であることが、本日19:30頃確定しました。
auお客様サポートから電話がかかってきて「EzWebへメール送信する際の注意事項」に誘導されお聞きしたのだが、仕様と言われたのでとりあえず届いたメールのアドレスを拒否リストに登録する際には狭義の意味のメールアドレスを抽出して登録するのに、メール受信の際の許可リストの判定はFromアドレス全体で判定するのは、整合性が無いと反論しておきました。
仕様と言うことなので、修正されるとしてもかなり時間がかかりそうだと思います。
コメント (0件)