パスワードを忘れた? アカウント作成
6572 story

VeriSignが乗っ取ったドメインでSMTPサーバを立ち上げ 62

ストーリー by yasu
今後はアドレスのtypoにも注意 部門より

brake-handle曰く、" Richard M. SmithがFull-Disclosureに宛てたメールによると、未使用の*.comおよび*.netを乗っ取った VeriSignが、今度は乗っ取ったドメイン向けにSMTPサーバを立ち上げ、乗っ取ったドメイン宛のメールを受信していたことが分かった。Richardの質問に対し、VeriSignはMTAによるqueryの増加を防ぐためと説明している。しかし、VeriSignが立ち上げたSMTPサーバは、SMTPのRCPT TO:コマンドに対して常にOKを返し、DATAコマンドをクライアントに発行させメール本文を受信してしまうとされている。Joshua Levitskyは、VeriSignは実際にはメールを収集し、現在使われているメールアドレスをspammerに横流しするのではないかと懸念している。"

"手元で試験してみたところ、少々SMTPサーバの挙動が変わっており、RCPT TO:に対しては宛先ドメインの存在に関わらず、常に以下のような応答が返るようになっていた。

550 : Client host rejected: The domain you are trying to send mail to does not exist.

しかし、MAIL FROM:に対しては常にOKを返してしまう。現在SMTPを定義しているRFC2821の3.3 Mail Transactionsでは、メールの送信は最初にMAIL FROM:、続いてRCPT TO:を送信しなければならない。ゆえに、VeriSignはRCPT TO:を弾いたところで、依然メールアドレスの収集が可能である。特に、MAIL FROM:で指定されたreverse-pathがPOP before SMTPやSMTP AUTHによって認証されたものであれば、それが存在するメールアドレスであるのは間違いない。その結果、ノイズの少ないメールアドレスの収集が可能になってしまう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • archive.org (スコア:5, 興味深い)

    by sketch (7027) on 2003年09月23日 20時31分 (#402606) 日記

    件の存在しないサイトのrobots.txtは

    User-agent: *
    Disallow: /

    となっているようですが、これのおかげで現在では消えてしまったサイトのwebarchive [archive.org]が参照できなくなってしまっています。
    #久しぶりに「雑文館」読みたかったのに…

  • 一方、ICANNは (スコア:3, 参考になる)

    by slash5234 (16218) on 2003年09月23日 13時08分 (#402401)
    • Re:一方、ICANNは (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2003年09月23日 19時45分 (#402583)
      なるほど、ICANNはいかんと言っているわけですな。
      親コメント
      • by Anonymous Coward
        何が面白いのか子一時間悩んでしまいました。
        あぁ、腹が痛い

        すみません、すみません、すみません
    • 一方、IETFは (スコア:3, 参考になる)

      by boardwalk (17039) on 2003年09月23日 13時53分 (#402434)
      Typo Wildcard Considered Harmful [ietf.org]というInternet-Draftが出ています(9/17に-00が出て、9/22に-01に改版; 日付は事情によりだいたい)。

      IAB (Internet Architecture Board) は IAB Commentary: Architectural Concerns on the use of DNS Wildcards [iab.org]という声明を出しています(9/19)。
      親コメント
      • by Anonymous Coward
        Typo Wildcard Considered Harmful というInternet-Draftが出ています

        IETFが出したわけではなかろう。

        # 何でもかんでも「参考になる」にするなよ。

        • Re:一方、IETFは (スコア:3, 参考になる)

          by boardwalk (17039) on 2003年09月23日 18時43分 (#402557)
          他の人も書いてますが、Internet-DraftはIETFが出すものなので、問題ないかと思います。
          まぁ、他の方も書かれていますが、「IETFは」、と書くとまるでIETFという主体性を持つ組織が出したようにみえてしまってよろしくないですが、それは親コメントのサブジェクトと合わせてみた私が悪かったかもしれません。IETFは興味を持った人々の集まったゆるやかな単なるコミュニティだということをわかっていただければ、そういう誤解は解けると思うのですが。

          IETFについてもっと知りたければ、
          RFC3160: The Tao of IETF [ietf.org]を読んでください。和訳は
          インターネットフォーラム [internetforum.gr.jp]が作ってくれていますが、あまりいい訳ではないです……(Wordで書いてPDFにしてあるというのが、全くIETF的でないすね :)。

          オフトピックでごめん。
          親コメント
        • by Anonymous Coward

          リンク先の冒頭に書いてある

          Internet-Drafts are working documents of the Internet Engineering Task Force (IETF), its areas, and its working groups. Note that other groups may also distribute working documents as Internet-Drafts.

          あたりを読むと、俺にはIETFのNetwork Woking Groupで作業中の文書としか読めないんだが。だから日々改訂も入ってる、と。つーか元々Internet-Draftってそーゆーもんじゃないの?

          別に元発言は「IETFが公式声明を出した」って言ってる訳じ

          • by Anonymous Coward
            別に元発言は「IETFが公式声明を出した」って言ってる訳じゃないんだから、別に間違ってないし

            だが、タイトルに「一方、IETFは」とあれば、IETFが主体的に何かアクションを起こしたと誤解する厨房もいるだろうね。

            # Internet-DraftがIETFのメカニズムから登場するのは常識。そんなことさえ知らない香具師にInternet-Draftは無用の長物。

  • 少々昔のニュースですが、「NSI,ドメイン登録者データの販売に本腰」 [zdnet.co.jp]といったことをやっており、なんでも金に換金するという体質があるようです。だから、そのようなことをやったとしても、まったく不思議ではないでしょう。

    > Network Solutions Inc.(NSI)がインターネットの電話帳ともいうべきドメイン登録者のデータベースを第三者に販売している。
     ~略~
    >NSIはそれらの登録者情報に加えて,そのサイトが現在稼働中か,電子商取引を行っているか,セキュリティ措置が取られているかなどの情報も販売する...
  • やってみた (スコア:3, 参考になる)

    by fuku (1936) on 2003年09月24日 6時32分 (#402830) 日記

    RCPT TO:を弾いたところで、依然メールアドレスの収集が可能である。
    1. *delegation-only が有効な bind で NXDOMAIN であることを確認する
    2. *delegation-only が無効な bind を使って 1 で確認したドメイン宛に 25 番で接続する。
    3. お話する。
    $ telnet aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.com 25
    Trying 64.94.110.11...
    Connected to 64.94.110.11.
    Escape character is '^]'.
    220 sitefinder.verisign.com VeriSign mail rejector (Postfix)
    helo aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.com
    250 OK
    mail from: who@aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.com
    250 Ok
    quit
    221 Bye
    Connection closed by foreign host.
    4. これって、SPAM ? ジャンクメール ?

    ちなみに、速く打たないとタイムアウトが早いので弾かれます。
    良い子は真似しないように。(まあ、一応)
    • by brake-handle (5065) on 2003年09月24日 10時23分 (#402879)

      しまった、私の実験ではHELO/EHLOをうち忘れてました。

      確かにdelegation-onlyでA RRを引くことは防げますが、そのうち[64.94.110.11]へいきなりつなぎに行くウイルスとかが出てきてもおかしくないですね。できればfirewallでIPごと落としてしまった方がいいのかも。

      親コメント
  • by Anonymous Coward on 2003年09月23日 15時37分 (#402480)
    *.com/*.net で存在しないドメインへのメールは全て VeriSign へ配送されるのだよね?

    存在しないドメインの偽アドレスをうまく業者のリストに載せてしまえば、spammer が VeriSign に対する大量のメール爆撃を行うという事になるんじゃないだろうか?業者の持つリストも、嘘のアドレスだらけになって有用度が減るし一石二鳥かも。

    uso@sonzaisinaizogorua.com のような嘘アドレスをスクリプトで大量生成してそれらを載せたウェブページを無料ホームページとかにおいといけば、spammer が拾ってくれるかもしれないな。

    そして、VeriSign はそのアドレスを業者に売り渡す可能性があるという事なら、うまくやれば、spammer の爆撃によって、さらに嘘のアドレスが増殖してという事もできるかも。
  • しかしまぁ、いろいろ考えてきますねぇ…。
    ところで、こういうのって経営側は(CTOとかはともかく)実現の可能性や手法を考えつけないから、配下の技術者に命じてやらせてるんでしょうけれど、こんな仕事を強制されててストレスたまらないのでしょうか。

    VeriSign実はあぶないんじゃないかと邪推してみたり。
  • POP before SMTP も SMTP-AUTH も関係ないと思うんですけど……。
    MUAのSMTPサーバの指定を書き間違えたにしてもPOP before SMTPしてるかどうかは別の話だし、EHLO しても AUTH 返さなかったし。

    収集できるメールアドレスの質は、宛先を間違えたメールが出された数/消えたドメインの宛先に出されたspamの数ってとこじゃないでしょうか。
    • 非公開のメーリングリストに投稿したつもりでも、そのリストに、存在しないドメインのメールアドレスが登録されていたら(残っていたら)、投稿者のアドレスはVeriSign社に知られてしまいますね。
      • まともなメーリングリストの場合,MAIL FROM はそのリストの owner や admin になりますから,投稿者のアドレスは知られません。MAIL/RCPT で弾かれたら,できの悪い spamtool 以外は DATA 送らないので,ヘッダが漏れることもありません。

        ... ML の admin に spam が増えるのか?(;´Д`)
        親コメント
  • by acute!! (6872) on 2003年09月23日 13時46分 (#402430)
    まず、これ [verisign.co.jp]を適用してほしい

    #すわ、マッチポンプ作戦か、やはり。
    • by ftw (7254) on 2003年09月23日 15時05分 (#402457)
      VeriSignにとってSiteFinderは守るべき資産のはずなので
      ISMS/BS7799等でこのシステムはすでに守られているのではないでしょうか。

      例)
      - SiteFinderによって得られた個人情報の扱いに対するポリシー
      - SiteFinderのシステム脆弱性に対するアセスメント
      親コメント
  • by SAY (54) on 2003年09月23日 18時10分 (#402543) 日記
    電話でメールアドレス教えてもらって、そこにメールを送信なんて場合などで間違ってメモしてしまった為に、存在しないドメインに送信する可能性はありますよね。
    それは私的活動だけじゃなく企業間でもあり得るわけで、重要度はともかく情報が筒抜けになりかねない。

    以前取引先から、取引先の社内ローカルドメインのアドレスを含むメールを貰った事が何度かあって、それが .com だったのでそうとは知らずに Reply で Cc に含めた事があったなぁ...。
    指摘してそのようなやり方をやめてもらったけど、今ならエラーメールも返ってこないから気付かないですね。
  • by Anonymous Coward on 2003年09月23日 22時07分 (#402651)
    今回のようにしておけば、みんな受け取ってもらえるし、
    実在するメールアドレスも収集できて効率がいい。
  • by Anonymous Coward on 2003年09月24日 0時41分 (#402739)
    ドメインの有効期限の、うっかり失効ってありますね。
    大きな企業でさえうっかり失効してしまうことがあります。
    また、ルートネームサーバの障害か、レジストリ・レジストラのミスなのか不明ですが、
    有効期限が切れていないのにルートネームサーバのデータベースから消えてしまう
    障害が稀に発生することがあります。

    存在しないドメインならまだしも、上記のような実在するドメインに関してもVerisignの
    サーバが返されることになります。
    そのため、SMTPで受信するようなサーバを立てられるとエラーにもならないため
    障害に気付きにくいし、送ったメールがVerisignに横取りされてしまうので
    問題が大きいでしょう。
    これはもはやメールを盗難していると言っても過言ではないと思います。
    違法行為として刑事告発もできそうな気もします。
  • これぞまさしく (スコア:0, オフトピック)

    by ken-w3m (14150) on 2003年09月23日 13時06分 (#402399) 日記
    ここ(=VeriSign)はひどいインターネットですね。

    呆れてものも言えません
  • by Anonymous Coward on 2003年09月23日 22時56分 (#402674)
    http://internet.watch.impress.co.jp/cda/special/2003/09/19/525.html
    の記事によると、
    「 実際には、このメールサーバの切断は、メールの本体を送っている最中に起こり、送信側のサーバーでエラーと検出されるので、メールが行方不明になることは通常はない。しかし、メールサーバーの実装によっては、メールを送ったことにしてしまう、あるいは延々と再送信の手順を踏んでしまい、エラーメールの発送が非常に遅くなる、という可能性も指摘されている。」

    通常、メールの受信中に切断するそうで...

    何がしたいのかまったくわからん。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...