Mail receivers will generally want to perform the authorization check at the border MTAs, specifically including all secondary MXs. This allows mail that fails to be rejected during the SMTP session rather than bounced. Internal MTAs then do not perform the authorization test. To perform the authorization test other than at the border, the host that first transferred the message to the organization must be determined, which can be difficult to extract from the message header. Testing other than at the border is not recommended.メール受信者は普通、特にすべてのセカンダリMXを含む、境界MTAでの権限検査の実行を望むだろう。境界MTAでの権限検査では、メールの失敗は宛先不明での返送ではなく、SMTPセッション中の拒否となる。この場合、内部MTAは権限テストを実行しない。境界以外で認証テストを実行するためには、最初にその組織にメッセージを転送したホストを決定しなければならないが、それをメッセージヘッダから抽出することは難しいことがある。境界以外でのテストは推奨されない。
10. Security Considerations
10.1. Processing Limits
As with most aspects of E-Mail, there are a number of ways that malicious parties could use the protocol as an avenue for a Denial-of-Service (DoS) attack. The processing limits outlined here are designed to prevent attacks such as the following:
10. セキュリティに関する考察
10.1. 処理制限
電子メールのほとんどの点と同様、悪意を持った者がサービス拒否(DoS)攻撃の抜け道としてこのプロトコルを利用することは可能である。ここで概略される処理制限は以下のような攻撃を防ぐために設計されている。
o A malicious party could create an SPF record with many references to a victim's domain and send many E-Mails to different SPF clients; those SPF clients would then create a DoS attack. In effect, the SPF clients are being used to amplify the attacker's bandwidth by using fewer bytes in the SMTP session than are used by the DNS queries. Using SPF clients also allows the attacker to hide the true source of the attack.
- 悪意を持った者が、被害者ドメインへの参照を多数含んだSPFレコードを作り、SPFクライアント群に多数の電子メールを送信するかもしれない。すると、それらのSPFクライアントはDoS攻撃を作り出すことになる。効果としてこれらのSPFクライアントは、DNS問い合わせで使われるよりも少ないSMTPセッションのバイト数を用いて、攻撃者の帯域幅を増幅するために利用されている。さらに、SPFクライアントを使うことで攻撃者は攻撃の真の始点を隠すことができる。
o Whereas implementations of check_host() are supposed to limit the number of DNS lookups, malicious domains could publish records that exceed these limits in an attempt to waste computation effort at their targets when they send them mail. Malicious domains could also design SPF records that cause particular implementations to use excessive memory or CPU usage, or to trigger bugs.
- check_host() 実装がDNS検索の数を制限しようとしているのに対し、悪意を持ったドメインはメールを送りつける際に、標的の計算資源を浪費させようとしてDNS検索数の制限を超えるようなレコードを公開するかもしれない。また、特定の実装にメモリやCPUを過剰に使わせたり、バグを誘発させるようなSPFレコードを設計することも可能だ。
o Malicious parties could send a large volume of mail purporting to come from the intended target to a wide variety of legitimate mail hosts. These legitimate machines would then present a DNS load on the target as they fetched the relevant records.
- 悪意を持った者は、標的から来たように見せかけた大量のメールを非常に多くの正当なメールホストに向けて送信するかもしれない。これらの正当な機器は、それを受けて関連レコードを取得する際に標的にDNS負荷をかけることになる。
Of these, the case of a third party referenced in the SPF record is the easiest for a DoS attack to effectively exploit. As a result, limits that may seem reasonable for an individual mail server can still allow an unreasonable amount of bandwidth amplification. Therefore, the processing limits need to be quite low.上記の中では、最初のSPFレコードで参照される第三者の例が、DoS攻撃にとって最も簡単に効果的に利用できる。結果として、個別のメールサーバに対しては適切に見える制限でさえ、過剰な量の帯域幅増大に利用できることになる。それゆえ、処理制限はかなり低くする必要がある。
SPF implementations MUST limit the number of mechanisms and modifiers that do DNS lookups to at most 10 per SPF check, including any lookups caused by the use of the "include" mechanism or the "redirect" modifier. If this number is exceeded during a check, a PermError MUST be returned. The "include", "a", "mx", "ptr", and "exists" mechanisms as well as the "redirect" modifier do count against this limit. The "all", "ip4", and "ip6" mechanisms do not require DNS lookups and therefore do not count against this limit. The "exp" modifier does not count against this limit because the DNS lookup to fetch the explanation string occurs after the SPF record has been evaluated.SPF実装は、DNS検索を行う機構および変更子の数を、“include”機構や“redirect”変更子の使用によって起こる検索を含め、SPF検査当たり最大10に制限しなければならない(MUST)。“all”、“ip4”、“ip6”の各機構はDNS検索を要求しないため、この制限の数には入らない。説明文を取得するDNS検索はSPFレコードが評価された後で行われるため、“exp”変更子もこの制限の数に入らない。
[Page 35]
《PREV》 |