サイトマップ | 連絡先 | IAjapan TOP
IAjapan 財団法人インターネット協会
有害情報対策ポータルサイト 迷惑メール対策編
  • 一般利用者の皆様へ
  • メール管理者の皆様へ
  • 関連情報
  • サイト紹介

page-41


Similarly, the text portion of the SMTP reply may be important to
consider. For example, when rejecting a message, revealing the
reason for the rejection might give an attacker enough information to
bypass those efforts on a later attempt, though it might also assist
a legitimate client to determine the source of some local issue that
caused the rejection.

同じように、SMTP応答のテキスト部分は、検討することが重要であると考えられる。例えば、メッセージを拒否する場合、拒否の理由を明らかにすることによって、攻撃者がその後の試行でメッセージを拒否する努力をすり抜けるのに十分な情報を与える可能性がある一方で、正規の顧客がメッセージの拒否を引き起こす顧客側の問題の原因を特定する助けになる可能もある。


In the latter case, when doing an SMTP rejection, providing a clear
hint can be useful in resolving issues. A receiver might indicate in
plain text the reason for the rejection by using the word “DMARC”
somewhere in the reply text. Many systems are able to scan the SMTP
reply text to determine the nature of the rejection. Thus, providing
a machine-detectable reason for rejection allows the problems causing
rejections to be properly addressed by automated systems. For
example:

後者の場合、SMTP拒否を行う際に、明確なヒントを与えることが問題の解決に有用となりうる。メール受信者は、応答テキスト内に「DMARC」の文言を使用して、プレーンテキストで拒否の理由を示してもよい。多くのシステムは、拒否の本質を得るためにSMTP応答テキストを詳しく調べることができる。したがって、マシンで検出可能な拒否理由を与えると、自動化システムによって、拒否を引き起こす問題を適切に処理することができる。以下に拒否理由の一例を示す。


       550 5.7.1 Email rejected per DMARC policy for example.com


If a Mail Receiver elects to defer delivery due to inability to
retrieve or apply DMARC policy, this is best done with a 4xy SMTP
reply code.

       550 5.7.1 Email rejected per DMARC policy for example.com

メール受信者が、DMARCポリシーの読み出しや適用ができないことを理由に配信遅延を選択する場合、4xy SMTP応答コードを用いるのが最善である。

10.4. Identifier Alignment Considerations


The DMARC mechanism allows both DKIM and SPF-authenticated
identifiers to authenticate email on behalf of a Domain Owner and,
possibly, on behalf of different subdomains. If malicious or unaware
users can gain control of the SPF record or DKIM selector records for
a subdomain, the subdomain can be used to generate DMARC-passing
email on behalf of the Organizational Domain.

10.4. 識別子アライメントに対する検討事項

DMARCのメカニズムでは、DKIM認証識別子およびSPF認証識別子によってドメイン所有者の代わりに、あるいは、異なるサブドメインの代わりに電子メールを認証することができる。悪意のある、あるいは不注意なユーザーが、サブドメインに関するSPFレコードまたはDKIMセレクタレコードの制御を得ることができるなら、サブドメインは、組織ドメインの代わりDMARC判定に成功する電子メールを生成するために使用することができる。


For example, an attacker who controls the SPF record for
“evil.example.com” can send mail with an RFC5322.From field
containing “foo@example.com” that can pass both authentication and
the DMARC check against “example.com”.

例えば、「evil.example.com」のSPFレコードを制御する攻撃者は、「example.com」に対して認証およびDMARC判定の両方に成功することが可能な「foo@example.com」をRFC5322.Fromフィールドに含むメールを送ることができる。


The Organizational Domain administrator should be careful not to
delegate control of subdomains if this is an issue, and to consider
using the “strict” Identifier Alignment option if appropriate.

組織ドメイン運用者は、これが問題である場合、サブドメインの制御を代理者に行わせないように、さらには、必要に応じて識別子アライメントの「strict」オプションの使用を検討するように慎重になるべきである。

10.5. Interoperability Issues


DMARC limits which end-to-end scenarios can achieve a “pass” result.


Because DMARC relies on [SPF] and/or [DKIM] to achieve a “pass”,
their limitations also apply.

10.5. 相互運用性の問題

DMARCは、結果が「成功」となるエンドツーエンドのシナリオを制限する。

DMARCは、その結果が「成功」となるかどうかは[SPF]および/または[DKIM]に依存しているので、[SPF]や[DKIM]の制限を受けることになる。

[Page 41]

《PREV》
1  2  3  5  7  12  15  16  28  39  42  46  49  52  56  60  73

 
リンク・転載・引用・ロゴ使用について | プライバシーポリシー | IAjapanについて | 連絡先