パスワードを忘れた? アカウント作成
15735808 story
インターネット

CLUB Panasonic、「+」を含むメールアドレスを不正な書式として無効化 76

ストーリー by nagazou
まだまだ見かける 部門より

CLUB Panasonicは7日、システム切替に伴い、一部の書式を含む登録メールアドレスを無効化する処置をおこなうと発表した。特定メールアドレスが無効化されるのは7月25日以降で、該当するユーザーは「ご登録情報変更」からメールアドレスの変更をおこなうよう求めている(CLUB Panasonicリリース)。システム切り替えはメールアドレスの国際基準に準拠するために実施するもので、RFC違反メールアドレスが無効化される。リリースでは無効化されるメールアドレスの具体例として、

(1)メールアドレスのローカル部の書式が不正な場合
 例:「@」より前に「.」が連続、もしくは先頭や末尾に「.」を含むなど

(2)メールアドレスのドメイン部の書式が不正な場合
 例:「@」より後に「.」が連続、もしくは先頭や末尾に「.」を含むなど

(3)その他、メールアドレスの書式が不正な場合
 例:メールアドレスに「+」を含むなど

を上げている。こうしたRFC違反メールアドレスは、国内では古いキャリアメール(docomoおよびau)利用者に多い傾向がある(RFC違反メールアドレスとは?なぜRFC違反が存在するのか?)。

  • by Anonymous Coward on 2022年07月20日 16時37分 (#4292971)

    皆がそういっているから正しいんだろう、と思い込む前にRFC原文を読んで下さい。

    まともに原文を読まないエセエンジニアが、「.」の連続がRFC違反だというガセを流して、それが真実だと信じるエンジニアが増えてしまいましたが、誤りです。
    (DNS"浸透"問題でも嘘が信じられていた時代もあったので、エンジニアの皆様もフェイク情報に惑わされやすいようです)

    "hoge."@example.com や "ho..ge"@example.com は RFC 準拠です。
    local partは、 クオーテーションマーク「"」のなかにスペースを含むいろんな文字が入ったquoted stringを含むことができる(廃止済みの RFC2822 3.2.5 → RFC 5322 3.2.4. に継承)とされています。
    ガラケーも本当の初期の数年以外は、外部(インターネット)とのやり取り時には、"で正しく括ったquoted stringに自動変換して処理していたので、扱えないMTAの方が問題なのに、何故か携帯電話会社にRFC違反だという冤罪を押し付けるエンジニアが多く、それをRFCも読めないエンジニアが信じてしまったのです。
    quoted stringが複雑怪奇で止めるべきだから冤罪を押し付けても良いと考える「確信犯」も中には大勢いたと思われますが、実装が面倒だからと排除が進んでしまうと、今回のようにエイリアス目的での「+」が弾かされるなどして、多くの人が不利益を被るようになってしまうのです。

    ちなみに、Gmail MTA は quoted string を含むメールアドレスへの送信を "The recipient address <メールアドレス> is not a valid RFC-5321" と嘘のメッセージを出して拒否するメールサービスの1つです。
    そういうこともあるので、Gmail の + によるエイリアスが他社で弾かれるのは「自業自得」であって個人的には同情しにくいという思いもあります。

    ここに返信
  • Gmail (スコア:2, 参考になる)

    by Anonymous Coward on 2022年07月20日 14時18分 (#4292852)

    Gmailではエイリアスとかで使えるよね。

    ZZZKKKSL@gmail.com ならば、
    ZZZKKKSL+abc@gmail.com
    ZZZKKKSL+def@gmail.coma
    とかも使える。

    これ使って、サイトで登録するときにサイトごとに登録アドレスを変えておき、漏洩したときにどこから漏洩したかわかるようにしている人もいるんじゃないかな。

    ここに返信
    • by Anonymous Coward on 2022年07月20日 15時26分 (#4292908)

      開発時の動作確認に便利なんだよ。

      システムで登録完了メールとか管理者向けの通知メールとか緊急対応用のエラー
      メールとかイロイロあって、それぞれ目的が違うから送り先も変更できるように
      作ってある。

      どこに送られたか動作確認するのに全部別のアドレスを設定するんだけど、
      開発やってるのは自分だから全部自分宛に送りたい。もちろん、いわゆる捨て
      アカウントを何個も用意してそこに送りつけてもいいんだけど、それだとどの
      アドレスを何のために使ってるか混乱するから、
      foo+user@gmail.com
      foo+admin@gmail.com
      foo+error@gmail.com
      みたいにして設定しておけば楽でしょ。

    • by Anonymous Coward

      てっきりRFCに沿った仕様だと思ってたけど、今回の話でGoogle様が勝手にやってたのか?と思って調べてみたら、ちゃんと使っていい文字として定められてるじゃん。

      なにこのCLUB Panasonicの勝手なRFC違反定義は。
      RFCに反してるのはCLUB Panasonicのほう。

      • by hinatan (24342) on 2022年07月20日 14時34分 (#4292862)

        CLUB Panasonic が"RFCに反している" ってどの辺が反しているんですか。

        • by Anonymous Coward

          (3)その他、メールアドレスの書式が不正な場合
           例:メールアドレスに「+」を含むなど

          をRFC規約として扱ってるとこじゃね
          知らんけど

          • by hinatan (24342) on 2022年07月20日 14時57分 (#4292882)

            親切にありがとうございます。

            誤った書式のメールを放流しているわけでもないのに反していると言われると論理的に「へ?」となる。

            使っても良いよ と言ってるのに使わないのはになるのかっていう。
            そもそも Panasonic は RFC という言葉を使っていない。

            • by Anonymous Coward on 2022年07月20日 15時24分 (#4292906)

              「メールアドレスに+を使うのはRFC違反ではない」というのはご理解いただいてるでしょうか?

              そもそも Panasonic は RFC という言葉を使っていない。

              CLUB Panasonicのリンク先には「メールアドレスの国際基準に準拠するために実施」とありますので、これがRFCのことではないかと。

            • by Anonymous Coward on 2022年07月20日 15時41分 (#4292925)

              RFCに反していないのに、そのメール(アドレスの登録)を拒否してる時点で違反。

              • by Anonymous Coward on 2022年07月20日 16時23分 (#4292962)

                RFCは便利にするための国際標準のための仕様書でしかないで、ある命名ルールに基づいて拒否しても別に違反ではない。
                そういう「拒否」が違反なら迷惑メールフィルタとかも違反。

                なんかいかにも国際基準に準拠するためとかにおわせる文章(「メールアドレスに「+」を含む」が国際基準に準拠してないとは
                言ってない。「だれか」にとって不正と判断したというだけ)で自己正当化してるのがなんかクソムーブよね

                ってだけ。

              • by Anonymous Coward on 2022年07月20日 16時58分 (#4292995)

                準拠するためにRFCに違反していないものも拒否しないといけないような国際基準ってのは、そもそもどれのことなのか?
                Panasonicは例しか挙げておらず、その基準を参照できないことにはどれがどう違反になるのか利用者からはわからない。

      • by Anonymous Coward on 2022年07月20日 15時11分 (#4292894)

        RFC関係なく一人が複数アカウント取得防止のために「+」を禁止しているシステムって結構見かける気がする
        ユーザー離れのリスクを背負って独自ルールを押し付けるのはサービス提供側の自由でしょうし

        • by Anonymous Coward on 2022年07月20日 16時50分 (#4292985)

          Gmailのアカウントに.を含めて登録してしまったせいで、返信したらメールアドレスが違いだの、.入りのはエラーになってるだの、散々だよ

        • by Anonymous Coward

          そりゃそこは自由にしてくれって感じなんだけど、自分の使ってるメールアドレスが「不正」とか言われると腹立つわ。
          一般的な話じゃなくて特定の都合だけなんだから。
          「サービス提供上認められない」とか素直に書けよ。

    • by Anonymous Coward

      どこから漏洩したか判ってもそこまで役に立つわけじゃないけど、
      別のサイトでも別のエイリアスを使っておけば漏洩したメールアドレスでのリスト型攻撃が通らなくなるので可能な限り別のエイリアスつけてる
      パスワードも別だからこれもさほど意味ないけどね

      • by Anonymous Coward

        あれかな
        スパム業者からおたくのリスト使ったらSQLインジェクションされたぞとクレームでも来たのかな
        誤動作の可能性あります?

        なんらかの社内監視システムで誤動作するからだめなのかしらん?
        作った人は抜けてて更改できる人もいないとか

    • by Anonymous Coward

      このために使ってたけど、iCloud+のメールを非公開ができたので新しいのは全部そっちにしちゃったなー。

    • by Anonymous Coward

      Gmailだけじゃなくてhotmail.com(outlook.com)でも使えますよ。

      Exchange Onlineでも使えるので会社のメールがそれなら既定で使える。
      使えないなら管理者がそのように設定しているということです。

  • by Anonymous Coward on 2022年07月20日 15時47分 (#4292934)

    さらっと『など』って書いてるけど、+以外に本来使える記号なのに不正に不正扱いされる
    記号どのくらいあるんでしょうね。
    もしRFC内で+とまとめて書かれてる
              $&'*+-/=?^_`{|}~
    が全部不正扱いで、お知らせではたまたま+を代表で書いただけとかだともっとひっかかる人増えるよね。

    あ、そういや俺のPCアドレスには-が入って、携帯アドレスには_が入ってるんだけど、
    たまにアドレス登録しようとして「正しいメールアドレスを入力してください」とか拒否られるんだよな。
    もしかしてそのへんをまとめてNG扱いしてるところすでにあるのでは。

    ここに返信
    • by Anonymous Coward

      ローカルパートがアルファベット1文字のメールアドレスを使ってますが、ときどきエラーになります。

  • by Anonymous Coward on 2022年07月21日 1時53分 (#4293256)

    https://www.asobou.co.jp/blog/web/mail-rfc#RFCRFC [asobou.co.jp]
    この記事、自分でリンクしてるRFC5231のAuthor's Address見てないのか?

    ここに返信
  • by Anonymous Coward on 2022年07月20日 14時01分 (#4292842)

    ダブルクオートで括ればそれらの記号や書式を含んでも良かったような。

    ここに返信
  • by Anonymous Coward on 2022年07月20日 14時25分 (#4292856)

    > ※本システム切替は、メールアドレスの国際基準に準拠するために実施するものであり、お客様の会員情報の削除ではありません。
    https://datatracker.ietf.org/doc/html/rfc5321 [ietf.org]
    https://datatracker.ietf.org/doc/html/rfc5322#section-3.4 [ietf.org]
    どこの国際基準に準拠しようとしてるの?
    どう見てもRFC5322でも5321でも+とかは使える記号だし何を言ってんだ?

    https://datatracker.ietf.org/doc/html/rfc5321#appendix-F.6 [ietf.org]
    是非とも+が不正だって言うならRFC5321のAuthorにメール送って直せって言ってこい
    既に+ついてるけど。

    ここに返信
  • by Anonymous Coward on 2022年07月20日 14時39分 (#4292866)

    調べてみたけどよーわからんな。

    バックエンドでのインジェクションを警戒して?
    拡張アドレスを抹殺したかった(なぜ)?

    メールアドレスに記号を許すことによるリスクはありますか?
    https://ja.stackoverflow.com/questions/60742/ [stackoverflow.com]

    ここに返信
  • by Anonymous Coward on 2022年07月20日 14時42分 (#4292868)

    実はこの先、1日に1文字ずつ使用できない文字が増えてゆくのだ。
    CLUB Panasonic から「a」が失われると CLUB Pnsonic になる。
    しだいに使用できる文字が減ってゆき……

    ここに返信
  • by Anonymous Coward on 2022年07月20日 15時06分 (#4292889)

    オフィシャルサイトのメールアドレスもプラスがないのです
    store@panasonic.jp

    # オレオレ解釈のRFCのコンサルかえらいひとからの鶴の一声なんだろうねぇ

    ここに返信
    • by Anonymous Coward

      「オフィシャルサイト」が「オシャレサイト」に見えて
      「今のPanasonicにオシャレとかありえんwwwwww」
      と思ったのは秘密だ

  • by Anonymous Coward on 2022年07月20日 15時15分 (#4292897)

    サイト構築業者のレベルが低いんだろうね。
    記号が入っていると副作用がありそうで怖いから無くしたいっていうのが本当の理由だろう。
    だいぶ前にも、おもちゃメーカのECサイトがリニューアルした際、パスワードが英数文字オンリーになって記号を使ってた人等がログインできなくなって問題になってたw

    ここに返信
    • by Anonymous Coward

      Gmailのエイリアスを使った大量複アカ登録対策もしたいのかも知れない。

      • by Anonymous Coward

        Gmailの場合、(ローカルパートの英数字数-1)^2だけの有効なメールアドレスが使えるのですでに意味が無いような

  • by Anonymous Coward on 2022年07月20日 15時44分 (#4292930)

    どの記号が使えるか調べるのが面倒なので、最初から英数字のみにしとけば、よけいなこと考えなくて済む

    ここに返信
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...