昨今の電子メールについて思うこと

｜メールに電子署名
メーラーのS/MIME対応と、
ちゃんとしたクライアント証明書の維持費用/運用が課題ですかね。

電話もメールも，それぞれ番号とアドレスがわかってしまえば，誰でもかけられ送れますからね…。

仕方ないとは言え，結局悪さをしようとするグループの好きなようにされている現状が大変残念です。

電子署名に関しては「クライアントメーラーがサポートしないからダメ」でしょう。三菱UFJ銀行はS/MIMEですが、余計な添付ファイルがついている～というのが一般的な人の感じじゃないかと。

今、有望視されているのがまず「DMARC」ですが、運用が結構大変です。また、DMARCは似たようなドメインで通すことができるのでそこも問題かと。その先にBIMIがあるのですが、これも結構大変ですね。


>送信したメールを取り消せる

「郵便ポストに入れた手紙を取り消す」のって大変ですよ。なんで、Gmailのようにすぐに送信せず一呼吸待ってその間にキャンセルを押せばチャイ！というのが現実的な対応策ではないかと。

↓「5秒ルール」だと思っていたけど、最大30秒なのね
Gmailで送信メールをキャンセルする方法――最大30秒以内なら「送信取り消し」が可能
https://internet.watch.impress.co.jp/docs/column/gsuite_tips/1266572.html

迷惑メールに関しては「お金の絡む金融系(金融機関とクレジットカード)」だけ別メールアドレスで運用するのが一番だと思っています。迷惑メールの温床になりがちなキャンペーンは専用ゴミメールアドレスを作る、かな？

別メールアドレスからは本メールに自動転送するほかに、本メールが引き上げてくる手があります。私の場合はGmailをメイン運用し、必要なメールアドレスからの転送とGmailの「他のアカウントのメールを確認」を併用しています。

送ったメールを無かったことにしたいことってありますね😵
でも、もらった人は、見たメールが消えた！となりますから、無理っぽい。Gメールだと、一時的に送信保留にしているのだと思いますが、30秒までなら送信取り消しできるらしいです。今回の事例では無理ですね。

電子署名は費用の問題が大きいと思います。自分はメール送信は平文です🙂
騙されるのは情報に疎い人が多いので、何でもないメールに、このメールは電子署名されており安全です、なんて書いておいてもそう思う人多いんじゃないですかね？

インターネットのRFCを出してみたら良いかと思います😊

Outlookにはありますね
＃ただしサーバー内だけなのでクライアントPCが受け取る前までですが

一度、ミスッてメーリスに送っちゃった時に、操作方法がわからず周囲の人に聞きましたが、誰も知りませんでした
一人は絶対無いと強く否定してました(^^)
操作方法はグーグル先生に聞きました

>> pasorin さん

｜「DMARC」

受信側のサーバが、
　SPF + DMARC or DKIM + DMARC or SPF + DKIM + DMARC
に対応していれば、
　HeaderFrom と EnvlopeFrom
の一致チェック等ができるので(拒否)、簡単ななりすましは随分減らせると思いますね。
ただ、サーバ側での対応なので....

>> ひみつ77@👈👉ご安全に！ さん

代理店が送付とかで問題になるケースもあるので、「HeaderFrom と EnvlopeFrom」だけでは難しいところがあるのでは？
※実際、それで検疫食らった例を目にします

> 誤配信されたメールの内容が「My Starbucksで貯めているポイントが
> リセット（ゼロに）されました」というものであったため

私自身は「まあ、また間違えたんだろう(笑)」と思ってそのまま放置してました。

※去年のうちに次年度も Gold Star確定済みなので

こういうのはおかしいと思ったら公式対応の報告を待つようにするのが基本だと考えています。
→その時に右往左往して取り付け騒ぎのような対応はしない。

昔のことわざで「慌てるｘｘは貰いが少ない」というのもありますが、逆に考えると「そういう不安心理で様々右往左往する人間が発生することにより得をするもの」が暗躍するとか、そういう悪意は全くなくても「トラブル原因を作ることで様々な二次被害・三次被害を引き起こせる」と考えたら世の中はなかなかに根深いです。

>> ばななめろん さん

でも、最近メールミスでシステム過負荷で止まっちゃう事例多くありません？
※スタバは登録してあるカードどこ行っちゃったっけ状態なので華麗にスルーしてますが、ANA SFCからヒラになったとかメール来たら慌てると思う

またちょっと考えたのですが、四半世紀ほぼ進化の無い電子メールと比較して、進化の早い分野は「Googleやアップルが事実上強制するから」というのはありますね。
　最近の例：Google ChromeがTLS 1.0/1.1サイトは完全にブロック

>> ばななめろん さん

仰ることよく理解できます。
私も混乱に拍車をかけると思われることはぐっとこらえる努力をしています。（笑）

例：マスクやガソリンが不足したときも極力行列に加わらない

>> pasorin さん

取り敢えず、以下参照。
（「代理署名を防ぐ」の部分）
--
メールのセキュリティの鍵！ 「DMARC」に関する基礎知識
https://blastmail.jp/blog/spam/dmarc-mail

>> pasorin さん

> でも、最近メールミスでシステム過負荷で止まっちゃう事例多くありません？

まあ、めちゃくちゃ負荷が掛かることを予想してるシステムの場合は、あらかじめ手前に CDN噛ましておくとかするんですけどね。

※それなりお金あるところだと akamaiとか Amazon(AWS)使ったり、
　そこそこお金を節約したいところだったら CloudFlare使ったり。

定常的に一定の負荷で推移してるサイトだと CDN噛ましてないものが結構あります。
STARBUCKS REWARDSは CDN噛んでないんでしょうね。traceroute掛けると解るかもしれません。

※今私が設計＆構築してるサイトも CDN入れてません。
→許可した人間しか接続できないように FWなどで
　ガッツリぶった切ってる。(v_v)

>> A_Ryosuke さん

> 最近の例：Google ChromeがTLS 1.0/1.1サイトは完全にブロック

TLS 1.0は確か修正対応を諦めた脆弱性が残っていたように記憶しています。
なのでブラウザとして考えたら「安全確保のために TLS 1.0での接続は無効化してしまう」という選択もあるかと思います。
あとは http/2優先利用もありますね。最近のブラウザバージョンだと http/2を優先して利用するような動作を取っているようです。(最近その関係で色々と調査していたので)