SPFはメッセージの真正性(改ざん有無)を担保しないし、DKIMはメッセージがどのサーバから送られて来たか確認する方法に欠けている(組織の正当なMTAからの通信かは検べないので)って話だなぁ
Notices by もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech), page 60
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:23:16 JST
もちゃ(あと-4.00Kg)
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:17:33 JST
もちゃ(あと-4.00Kg)
全然言っとることちゃうやんけ
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:17:21 JST
もちゃ(あと-4.00Kg)
How to Use DKIM to Prevent Domain Spoofing - SendGrid https://sendgrid.com/blog/how-to-use-dkim-to-prevent-domain-spoofing/
Neither SPF or DKIM fully secure an email. Each is missing an important piece. SPF is missing message verification and DKIM is missing a way to verify where the message is coming from. Both are needed to be a secure email sender.
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:15:17 JST
もちゃ(あと-4.00Kg)
疲れてるから英語読む気にならん(真顔)
頑張れ明日の俺
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:14:26 JST
もちゃ(あと-4.00Kg)
結論 ちゃんと原文を読め
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:13:44 JST
もちゃ(あと-4.00Kg)
送信元(エンベロープ or ヘッダーFrom)を認証する機構だっつってるんだけど、多分このコンテキストでは『送信元(が攻撃者ではないこと)を認証しない』みたいなことを言っている気がする
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:11:12 JST
もちゃ(あと-4.00Kg)
その辺ふにゃふにゃしてるから謎の記事になってんだよな
-
らりお・ザ・何らかの🈗然㊌ソムリエ (lo48576@mastodon.cardina1.red)'s status on Monday, 30-May-2022 23:06:51 JST
らりお・ザ・何らかの🈗然㊌ソムリエ
件のページの某記述について言うなら、「正当性」という言葉が単にだいぶガバく使われているだけという感じはある。
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:10:38 JST
もちゃ(あと-4.00Kg)
ここもだいぶ、あやふやなことを言ってる気はするんだよな
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:10:22 JST
もちゃ(あと-4.00Kg)
DKIMとは? | SendGridブログ https://sendgrid.kke.co.jp/blog/?p=2044
"SPFとDKIMにはそれぞれ足りない部分があり、それ単体では完全な認証にはなりません。SPFはメッセージの内容を認証するものではないですし、DKIMはメッセージの送信元を認証するわけではありません。"
-
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:08:03 JST
もちゃ(あと-4.00Kg)
にゃるね
In conversation from mastodon.motcha.tech permalink -
unarist (unarist@mstdn.maud.io)'s status on Monday, 30-May-2022 23:05:47 JST
unarist
そもそもあの記述がなりすまし対策としての弱点について述べているわけではないと思っているよ
In conversation from mstdn.maud.io permalink Repeated by mot -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:04:07 JST
もちゃ(あと-4.00Kg)
ということは、結局なりすまし対策機能を使ってわかるのは、ヘッダーFromをなりすましてたら検知しますよってだけで…そこんとこは見間違えそうなそっくりクソドメインでSPF/DKIMバッチェの攻撃者が本物そっくりに送ってきたメールについて、どちらの技術もそこんとこは無力と
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:02:00 JST
もちゃ(あと-4.00Kg)
フーム
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:01:13 JST
もちゃ(あと-4.00Kg)
なんか、粒度が荒い気がするんだよな、理解の
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:00:41 JST
もちゃ(あと-4.00Kg)
なんか、違う気がするけど頭まわらん
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:00:28 JST
もちゃ(あと-4.00Kg)
ぬーん?
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 23:00:22 JST
もちゃ(あと-4.00Kg)
それを言い始めると、SPFでも…?
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 22:59:39 JST
もちゃ(あと-4.00Kg)
なるほど。なりすましてる名義と、スパマーが使っているドメインとの関係性はDKIMが担保することはないので、変なドメインのDKIMがバッチェ通ってても、それが本文内で名乗ってる組織と一致していることをシステム的に担保しないってことね
In conversation from mastodon.motcha.tech permalink -
もちゃ(あと-4.00Kg) (mot@mastodon.motcha.tech)'s status on Monday, 30-May-2022 22:58:11 JST
もちゃ(あと-4.00Kg)
あぁ、そういう…
In conversation from mastodon.motcha.tech permalink