パスワードを忘れた? アカウント作成
15645988 story
Google

Google Workspace の SMTP リレーサービス、スパマーによる悪用が急増 24

ストーリー by headless
悪用 部門より
Google Workspace では Gmail 以外の電子メールを Google 経由で送信する SMTP リレーサービスを利用できるが、他の Gmail テナントになりすまし可能な問題があり、スパマーに悪用されているそうだ (Avanan のブログ記事BetaNews の記事)。

電子メールのなりすましを防ぐ仕組みの一つである SPF は組織に代わってメールを送信できるサーバーとドメインを指定する仕組みであり、Google の SMTP リレーサービスを利用する他のユーザーと区別できない。そのため、組織が Google Workspace の DMARC ポリシーを「reject」に設定していない場合は Google の SMTP リレーサービスを利用したなりすましメールが受信サーバーへ配信されてしまうという。

この仕組みを悪用したなりすましメールは 4 月に入って急増したそうだ。問題を発見した Avanan は 2 週間で 27,000 通以上を確認し、4 月 23 日に Google へ報告したとのこと。Google はこの問題について、以前からよく知られている問題であり、Avanan の調査結果は Google が DMARC の使用を推奨する理由を裏付けるものだなどと説明したとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年05月07日 18時18分 (#4245192)

    会員向け以外に送ってるメール以外は詐欺以外に存在し得ない状況だし、
    そろそろ不特定多数に送ること自体を違法化しても問題ないと思うんだけど。

    ECサイトや決済手段へのリンクから発信者の足は追えるので、見せしめに1%くらい
    検挙して巨額の罰金課せば、少なくとも日本語スパムは激減するよ。

    • by Anonymous Coward on 2022年05月07日 19時18分 (#4245214)

      以外ばかりで訳分からないことになってるな。
      会員向け以外に送ってるメール以外=会員向けメールだから
      会員向けメールは詐欺しかないということにしかならんのでは。
      当然間違っている意見なのだが。

      親コメント
    • by Anonymous Coward

      > ECサイトや決済手段へのリンクから発信者の足は追えるので

      ライバル騙ってメール送って検挙させればライバルが減っていい感じになる…ってコト!?

      • by Anonymous Coward

        捜索に踏み込まれる可能性まではあるけどやってなきゃ証拠が出てこないから検挙はできないだろ

    • by Anonymous Coward

      違法化しても、海外の送信者をどうこうできるわけじゃないから。

      • by Anonymous Coward

        メールサーバのレベルでフィルタを入れる根拠ぐらいにはなるんじゃない?

        • by Anonymous Coward

          それは法律なくてももうやってるから。

    • by Anonymous Coward

      もしかして、Emotetも使ってない?

    • by Anonymous Coward

      俺のところにくる迷惑メールは怪しい日本語ばっかりなんだが。
      国内法で規制したところでそいつらが減ると思うか?

      • by Anonymous Coward

        その手のReceivedヘッダに中国やらブラジルやら入ってる奴はほぼ確実にmeiwakuタグ付いて来るからたいした害がないよ。
        フィルタすり抜けるのは国内業者が送る奴なので、ここに規制が入ったら結構ありがたい。

  • by Anonymous Coward on 2022年05月07日 19時23分 (#4245215)

    という電話連絡が必要か

    • by Anonymous Coward

      送受信両者オンライン直通強要か
      登録済みの送受信対しか中継しないサーバー
      カナー
      もちろんドメイン縛りとかヌルいんじゃ無くメアド縛りで

    • by Anonymous Coward

      「これからメール送ります」(音響カプラを受話器に取り付けながら)

    • by Anonymous Coward

      逆に電話で話したいからこの時間は出れるようにしといてくれ、をメールで連絡するのと変わらん

    • by Anonymous Coward

      先月から、auに来たメールをGmailへ転送できなくなっているので、
      メールが来ているはずなのに来ていないという電話をしてしまった…

    • by Anonymous Coward

      念の為に、同じ内容のものをファクスでもお願いします。

    • by Anonymous Coward

      雑誌広告に

      「*Eメールでお申し込みの際は、お電話又はFAXにてEメール送付の旨お知らせください。」

      と注記している事業者は実在する。
      年配の創業者社長による個人事業主的な零細企業にはこういったところは結構ありそう。

      • by Anonymous Coward

        Eメールはリアルタイム性も到達性も保証されないから、リアルタイム性や到達性が保証される電話、FAX併用はおかしくないんだけどね。

      • by Anonymous Coward

        新しいアドレスからの受信は迷惑メールにフィルタされちゃうことがあったんだろうな。

        自分も正直必ず見て欲しいメールは別のチャンネルからの連絡が欲しい。勿論メールを使わないならそれでいい。

  • by Anonymous Coward on 2022年05月09日 0時44分 (#4245715)

    Google の SMTP リレーサービスを利用する組織になりすました、なりすましメールは SPF を PASS する。そうすると、DMARC ポリシーを「reject」に設定していても、DMARC は PASS し、受信サーバーへ配信されてしまうはず。

    • by Anonymous Coward

      リレーサーバから宛先サーバへの通信時じゃなくて、リレーサーバへの通信時の話なのでは?
      Googleのリレーサーバへ到着した時点では利用者と攻撃者の区別がおそらく出来るので、
      この時点でFromのドメインに対応するWorkspaceの設定が効くならここではたき落とせる。

      • by Anonymous Coward

        リレーサーバへの通信時の話だとして、https://support.google.com/a/answer/2956491?hl=ja によると、リレーサーバへの通信時の認証は、「指定した IP アドレスからのみメールを受信する」or「SMTP 認証を求める」のいずれかor両方 みたい。
        なりすましメールが送れているということは、この認証が通っているということなはず。
        この場合、Googleのリレーサーバは、DMARCで利用者と攻撃者の区別つくのだろうか?
        上記認証に加え SPF チェックしているとしたら、通常の利用者も利用しずらそう。

        • by Anonymous Coward

          Fromヘッダーのなりすましを、DMARCではじくことができます。
          SPFはエンベロープのチェックのみ、DMARCはアラインメントといってFromヘッダーのチェックも行います。

          • by Anonymous Coward

            まとめると以下ってことか?
            ・エンベロープFromも Fromヘッダーも、SMTPリレーサービスを利用する組織のドメインのメールは、DMARC reject でも届く
            ・エンベロープFrom はSMTPリレーサービスを利用する組織のドメイン、Fromヘッダーは別組織のメールは、DMARC reject で届かない。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...