2007/01/10(水)spam メール対策

2017/10/11 9:33 サーバ運営・管理
昨日・今日と spam メール対策に追われていました orz 
某所から、「あんたのとこのWebサーバから spam メールが発信されてると報告受けたから至急(撲滅の)対処するよーに」と業務命令が下ったからです。
一時はどうして良いものか見当がつかず、原因追及に雲を掴むような雰囲気が....

結局、左記のメールフォームが悪用されていたのでした。1999年頃に自作した CGIです。
これは、実際に悪用されていたメールフォーム。これが spam 発信の拠点になってしまう訳です。
直接このメールフォームから spam を発信しているわけでなく、HTTP プロトコルを直接操作して,本来であればこのメールフォームから起動される CGI を直接アクセスしているのだと思います。

親切機能で、誰もが閲覧できる部分にメールフォームを安易に設置するのは危険だという訳です。
某所のテクニカルサポートに聞いてみたら、この手の spam 発信は常套手段の一つのようです。なので、Webサイトを運営している全ての善良な運営者は、spam 発信基地にならないように意識を高めていか ないといけません。
ですが、全てのメールフォームが危険という訳ではありません。

左記のメールフォームのように入力項目が複数あるものが危険度が高いです。
入力項目が本文しかないようなものは、spam 発信の道具にはされますが、大量発信の道具にはなりにくいです。
#但し、集中攻撃を受ける可能性がある

電子メールは、最初の空行1行にてメールヘッダ部分と本文部分に区別され、メールヘッダが実際の配送記録や制御に使われます。
結果的にメールフォームから、メールヘッダに情報を埋め込む仕組みが備わっているものが危険です。
今回は、左記の「題名」の部分に、メールヘッダを埋め込まれたために、spam 発信の拠点になってしまった、
という状態でした。
今日(1/10) の AM 3:30頃にこのメールフォームは機能しないようにしました。


上記の例の場合、
-----
From: フォームで入力したメールアドレス
Subject: フォームで入力した題名

以下本文
-----

と電子メールデータを作成してメール送信処理していたため、Subject の部分にメールヘッダを埋め込めば
自由自在の場所に送ることが出来てしまいます。これが脆弱性だった訳です。
これは、
-----
From: CGI 固定のメールアドレス
Subject: CGI 固定の題名

以下本文
メールアドレス:フォームで入力したメールアドレス
題名:フォームで入力した題名
本文の続き
-----

のようにCGI の電子メールデータ生成処理をすることで、spam メール拠点になることが防止できた訳です。
つまり、メールヘッダ部分にフォームデータの内容をそのまま差し込まない が鉄則になります。
現在お使いのメールフォームがそのような脆弱性を有しているか否かは、CGI を見ないと判りません。
メールフォームCGI の作者に聞くか、実際に実験して確認するかしてみる事をお願いします。
コメント0件)

2006/12/29(金)FreeBSD 6.2 RC2

2017/10/11 9:34 サーバ運営・管理
12/27 にリリース。RC2 は「リリース候補その2」といったところ。
年内のリリースは絶望的と相成りました。
今までの工程眺めてると、RC1やRC2 からは、最低でも1週間(大抵は2週間)は期間を置きますので。

毎度のように、2ヶ月から3ヶ月遅れてのリリースになりそうです。
今回は、結構重篤なセキュリティアラートとか、LANカードインタフェース回りでいろいろあったようなので、そのあたりの対策なのかなと。
#勝手な予測なので、信用しないよーに > ALL
コメント0件)

2006/11/18(土)FreeBSD 6.2R

2017/10/11 9:35 サーバ運営・管理
2006/11/17 付けで FreeBSD 6.2RC1 (リリース候補1)がリリースされたようです。
順調にいけば、2週間後(2006/12/01)くらいに RC2、その後2週間くらいの期間を置いて 6.2R のリリース。

なので、ずべて順調に行っても 12/15あたり。
なにかあれば、順調にリリースは遅れるので、クリスマスあたりか、年を越して1月前半とかになる可能性もあります。
コメント0件)

2006/10/30(月)PLCに関して行政訴訟の動き

2017/10/11 9:36 注目の情報
こちら でも記事にしましたが、この訴訟は勝訴して欲しいので・・・

簡単に言うと、総務省に対して、「PLC(電力線データ通信)の認可を一切取り消せ」というものです。
PLCは、コンセントとLANを一緒にして、コンセントに電源コード挿すだけで、ネットワーク接続が出来るようにするという技術です。
何故、槍玉になるか、というと、一度、一般家庭に広く普及してしまうと、PLC機器が発生する凄まじい電磁的雑音によって、
短波帯の通信が壊滅状態になることがほぼ確実だから。

短波帯通信は、短波放送だけではなく、漁業無線、船舶無線、航空無線、国際警察通信、軍事通信、
などなど文明生活を維持するのになくてはならない存在になっており、
各方面から「そんなものやめれ」「外国でもPLCは社会的問題になって、事業縮小か撤退だぞ」的な指摘をずっと
開発メーカ(家電)に行って、一旦はお蔵入りかに思われたが、今度は開発メーカ側が政治力で総務省を利用する始末。

技術的解決が困難なので、政治的手法で今年の9月にごり押し認可されてしまい、
短波帯電波環境全体の危機感を募らせた有志が、原告団結成に動いているというわけです。

原告団の1人になりたいのは山々だが、裁判に係わる費用を出し合うことが必要で、
そういうところへの金銭的協力を行える状況には全くないので、指加えて見ている事しかできません(爆)

とはいえ、既に80人以上が集まっているようです。

ちなみにPLC普及に熱心なのは、三菱、NEC、松下、といったところ。
逆にPLCに明示的に関心を示さないのは、東芝、シャープ、といったところ。
あとのメーカ、日立、ソニー、といったところは様子見という感じですかね。
コメント0件)

2006/10/29(日)置き時計の修理

2017/10/11 9:37 電子工作
一昨日あたりから、突然リセットが掛かったり、設定時刻でもないのにアラームがなったりするので....



IC を 130個ほど使った、アホな電子回路の置き時計の中身が上の画像。
1994年頃に設計し、1997年頃に制作しました。2000年に中規模の改造をし、現在に至っています。
原因と言えるかどうか判らないですが、なんと、一部のICの電源配線を忘れていたことに気が付きましたorz
C-MOS IC なので、信号線が電源の代わりになり、見掛け上、正常に動作してしまうということが時々あります。

今回は、この電源配線を行い、様子見をしています。
今のところ、動作快調。あと24時間ほど様子見てどうかな、という状況です。
コメント0件)

2006/10/26(木)北海道のみなさんは、世界で一番でぇーす(ばき☆)

2017/10/11 9:38 地元(札幌)・北海道の話題
3回目です。
リーグ戦一位通過 → リーグ戦優勝 → 日本シリーズ優勝

ときて、去年とはえらい違いです(笑) 『シンジラレナァイ』(ばき☆)
ビールかけ、3回目だし ^^;

優勝セール、やってくれるのかな? ヾ(^^;
札幌ドーム周辺は、かなり騒がしいようです。
これから、ビールかけ始まるらしいです (^^) 〔2006/10/26 23:12 現在〕
コメント0件)

2006/10/24(火)大丈夫なの?

2017/10/11 9:39 一行放談
・SoftBank mobile (旧Vodafone) が同一キャリア間での通話料無料に踏み切る件について
 例のブツは → ここ
 Yahoo BB の二の舞にならんといいんだけどね。
 個人的には、サービス体制とか、通信設備の維持費とか、増設費用とかどうするの?
 というところに目が行くので、ちっとも凄いともすばらしいとも思いませんね。
 むしろ、サービスの品質低下を懸念しています。「大丈夫なの?なんだかなぁー」という感じです。
 3Gにしても、北海道ではサービスエリアが不充分だよ。せめてNTT DoCoMo のサービスエリアを凌駕してくれんとね。。
コメント0件)

2006/10/20(金)作為的なことが見え見え・・・ ― IIS 6 がシェアトップ?

2017/10/11 9:40 はんかくさい
 まぁ、まずは こちらの記事を → 米シェア調査でIIS 6がApacheを追い抜く 〔slashdot japan〕
 言いたいことは、この記事にコメントを付けている読者の言う通り(^^)
 調査の裾野をちょっと広げたら、途端に出てくるデータが逆転すると思いますね。

 M$ 社の、事業パートナーだし。作為が下手くそすぎ。
 このようなものをわざわざ発表する背景には「IIS はビジネス用途でも安全なWebサーバ」
 という意識を刷り込みたいんでしょう。

 更に「有償=安全」という間違った意識を無知なエンドユーザに同時に刷り込みたいのでしょう。
 実情は全く逆といっても過言ではない。 ← 『盲信』という向きもあるが、「はぁ?」です。

 実際、多くの大企業・中堅企業がこれに騙されている訳だが・・・
#M$ 社に金払っても、それに似合うサービスはまず受けられない

 まぁ、資金が潤沢なところは Windows Server + IIS でも運用の採算は取れるのでしょう。
 自分からみたら、これほど資金を浪費する構成を好んで選択する理由が全く理解できないが・・・

 資金的な問題で Windows Server 2003 に出来ずに Windows NT server 4.0 を未だ使ってるなんて
 ところも結構見かけるけれど、GUI 漬けになってしまってるのがそうさせているんだね。
 M$ 社は社会的責任果たすべきでは? #見込みは薄いが
コメント0件)

2006/10/15(日)昆布刈石展望台

2017/10/12 18:04 北海道の生活情報サイト連携
konbu-kariishi.jpg

 2006/ 9/23 撮影。
 アクセスが悪いため、隠れた景勝地になっています。
 近場に人家は全くありません。

 眼下は太平洋。遠くに見えるトンネルがある場所の道路は、旧国道38号線。
 1965(昭和40)年に山側にルートが切り替わるまでは、幹線道路だったわけです。

 この付近、眼下に見えるトンネルあたりを目指して、国道336号が延伸工事中。
 来年(2007年)には、延伸中の国道が開通する予定で、そうなると、
 おそらくこの展望台の横を通るダートの道は閉鎖になり、
 ここには来れなくなるかもしれません。
コメント0件)