カテゴリーアーカイブ IT情報

著者:ym

DMARC report の policy_evaluated

レポートを見ていると、auth_results については DKIM も SPF も pass となるのだが、policy_evaluated については adkim, aspf ともに fail となる症状。

Dmarc: Why do I have dkim=fail, spf=fail and result=pass

https://security.stackovernet.com/ja/q/38420

少しにた症状を見つけたけど、ちょっと違う様子。

内部から外部への送信の際は、2段階MTAを経由した後、外部とつながるMTAから送信となる為、外部とつながるMTAでDKIM署名をしている状況だけど、どうやら source_ip は一番末端の IP アドレスで検証している?レポートを見る限りそのような感じがするのだが、どの IP を見ているのだろうか。

adkim、 aspf パラメータは、いずれも relaxed mode を示す r か strict mode を示す s のいずれかの値を設定します。relaxed mode とは、DKIM あるいは SPF で認証したドメイン (認証識別子) と、ヘッダ上の送信者情報 (From:ヘッダ, RFC5322.From) との組織ドメインが同じであれば良い場合を示します。

https://www.naritai.jp/guidance_record.html

次に DKIM に要求されるアライメントは、以下の通りです。
strict(adkim=s)
署名ドメイン(d=) = ヘッダ From ドメイン 完全に一致
relaxed(adkim=r)
署名ドメイン(d=)の組織ドメイン = ヘッダ From の組織ドメイン 一致

そして、DMARC の認証が成功(dmarc=pass)となるには、
SPF の認証成功(spf=pass) & アライメント一致
または
DKIM の認証成功(dkim=pass) & アライメント一致
であることが必要です。

https://eng-blog.iij.ad.jp/archives/3273
  • この記事いいね! (0)
著者:ym

ドローンを使った兵器

既に現場でドローンを使った攻撃も確認できているのですね。サウジへの攻撃の記事をいくつか見ました。

どこまでがAI化というか自動化されているかはわかりませんが、センサーやGPSによる追尾は昔からある技術なので、今更というところなのだろうか。ドローンという事で、小型化されたことが脅威と思いますが、 この様な小型の兵器が追いかけてくるとは恐ろしい。 今後世界はどうなるのだろうか。

  • この記事いいね! (0)
著者:ym

いまさらnsupdate

今日は BIND 9.11.11 が出たので、冗長構成の半分を更新。ついでに nsupdate 設定です。

SSL 証明書の更新作業が増えてきたので、DV認証をどうするか悩んだ結果、やはり DNS + メールを自動処理するしかないとなりました。当初は PowerDNS でデータベース化して更新を行うことも検討しましたが、既存のシステムとの連動もあり難しそうです。

Web 認証については、.htaccess の書き方やコンテンツによっては失敗する可能性が大きい為使えません。

DNS で SSL の DV 認証する場合は、手動で記述するか、または allow-update で受け入れるかとなるわけですが、nsupdateで受け入れると BIND の jnl ファイルからの反映が嫌いなんだよね。

さていつ完成するのやら。

  • この記事いいね! (0)
著者:ym

32ビットアプリとVirtualStore

よく探す事があるので、メモ。

32bit アプリケーションで Program Files 等に保管しようとすると、いつの間にか権限の関係で C:\Users\username 配下に VirtualStore 機能でシームレスに保管されてます。

C:\Users\(username)\AppData\Local\VirtualStore

Windows Vista から搭載された機能ですが、いまいちヤヤコシイ。

  • この記事いいね! (0)
著者:ym

OpenVPN 2.4.5 以降と SSL バージョン

OpenVPN の 2.4.7 をインストールした所、昔から稼働している VPN サーバへの接続ができなくなってしまいました。

調査したところ、2.4.5 以降では古い脆弱な SSL 暗号鍵を使用している場合に接続が出来ない様です。

本来であれば、サーバ側、クライアント側、共にレガシーフリーになるのが良いのですが、やむを得ず 2.4.7 で回避策を選びました。

接続定義ファイル (*.ovpn) の最下部とかに以下の 1 行を追加します。

tls-cipher “DEFAULT:@SECLEVEL=0”

この指定によって接続自体はできる様になります。
しかし今や、脆弱な接続なのでご担当者の責任の元、注意して使用しましょう(w)

  • この記事いいね! (0)
著者:ym

40GbpsのUSB4とLAN

USB4 では Infiniband と同じ 40Gpbs の速度の規格になった形。
すごいですね USB 接続で構築できちゃうのか。

ところで家庭向け有線LANとしては2.5BASE-Tで、2.5Gbpsがようやく製品として出てきている感じです、USB側インタフェースは USB 3.1 かな。Wi-Fiだと Wi-Fi 6 (IEEE802.11ax) で 10Gbps と爆速。
USB4+WiFi 6 になるのだろうか。

家を建てるときに光ケーブル&メディコンと1Gbps時代なCAT6と迷ったけど、結果的には CAT6 ケーブル(コネクタはCAT5e) を這わせたけど、これだと規格上は 5Gbps 止まり。でも安いカッパー選んどいて良かった。CAT6 をだましつつ 10Gbps まで行ける時代。

物理的な所を最近触らなくなってしまいましたが、いつのまにか時代は進んでました。
社内LANもそうですが、4K、8K時代で家庭LANも整備しなくては。

  • この記事いいね! (0)
著者:ym

クレジットカード番号のマスク表示

最近不正なログインから脆弱性として取り上げられましたが、いろんなサービスでカード番号をマスクする場所が違う事で、合わせれば番号がわかってしまう案件。

三井住友カード「Vpass」アプリに1.6万件の不正ログインか

https://internet.watch.impress.co.jp/docs/news/1203094.html

PCIDSSに従っていれば上6桁下4桁以外をマスク、らしいのです。

複数カードの保有者としてはカード下3、4桁ていどあれば特定が出来ます。プロパー会社提携カード会社とかはわからなくても良いかな。 逆に下4桁マスクの利用明細とか有るのだろうか。

まあ、そんな数字がわかるだけで、カード決済できる事自体が安易すぎるけどね。 3 桁の CVV2/CVC2 コード、これはこれで、お店からすると購入面倒でやめる人いるとか言うけど、やっぱ利用者側からしても、いつか必須としてつけてほしいところ。

  • この記事いいね! (0)
著者:ym

Gmail の smart_label_root_name ラベルの削除

最近気がついたのですが、Gmail のラベルで “smart_label_root_name” というラベルが有ることに気が付きました。

このラベル、どうやっても削除出来ないのです。

・・・・

色々情報を探したところ見つかりました。

Gmailのラベル「smart_label_root_name」の削除
「簡易HTML表示」に切り替えた上で「ラベル管理」から削除する。

何じゃそりゃ。

以下 URL が、簡易HTML 表示用の URL です。

https://mail.google.com/mail/u/0/h/

 

無事削除できました。

  • この記事いいね! (0)
著者:ym

G Suite などのメールルーティング

レンタルサーバを使いつつ、外部のウィルスチェックサービスを経由させることがありますが、その場合送信ドメイン認証の問題にぶち当たります。

送信者 → DNS MX → G Suite (メールルーティング) → レンタルサーバ (元の MX)

こうすることで G Suite の膨大なデータに基づいたウィルス対策が使えるわけですが、DKIM や SPF など認証に失敗してしまいます。

そもそも G Suite 側で行うので、レンタルサーバ側では認証無視で良い筈ですが、レンタルサーバ側は共通なしくみで動いている為、あまり変更は出来ません。
対処はどの様にしたら良いのだろうか。

  • この記事いいね! (0)
著者:ym

Symantec と Broadcom

なんとブロードコムがシマンテックの企業部門を107億ドルで買収したとのこと。
しかもニコニコ現金払い!キャッシュですよ!かっこいい(笑)

ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル

法人向け製品では以前 Endpoint Security を使用していました。今ではスタッフ数も減った関係で仮定向けの Norton 製品へ切り替えてしまいました。個人製品は引き続きシマンテック社の様です。ウィルス検知エンジンなど、そもそも別なのでしょうか。なんだか先行き不安ですが。

  • この記事いいね! (0)