Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

Avatar for hmatsu47 hmatsu47 PRO
June 23, 2023
Technology
0
330

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23

Avatar for hmatsu47

hmatsu47 PRO

June 23, 2023
Tweet

More Decks by hmatsu47

See All by hmatsu47
IPv6 VPC の実装パターンをいくつか
Avatar for hmatsu47 hmatsu47
PRO
0
20
光ファイバーと IPv6 絡みの話
Avatar for hmatsu47 hmatsu47
PRO
0
25
AWS で試して学ぶ IPv6
Avatar for hmatsu47 hmatsu47
PRO
0
21
今年の MySQL/HeatWave ネタ登壇振り返り
Avatar for hmatsu47 hmatsu47
PRO
0
20
今年の DB ネタ登壇振り返り
Avatar for hmatsu47 hmatsu47
PRO
0
16
RDS/Aurora アップデート 2025
Avatar for hmatsu47 hmatsu47
PRO
0
30
YAPC::Fukuoka 2025 現地ハイブリッド参加の旅
Avatar for hmatsu47 hmatsu47
PRO
0
13
今年の FESTA で初当日スタッフ+登壇してきました
Avatar for hmatsu47 hmatsu47
PRO
0
22
攻略!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
14

Other Decks in Technology

See All in Technology
顧客の言葉を、そのまま信じない勇気
Avatar for yamatai12 yamatai1212
1
360
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
Avatar for AEON aeonpeople
1
260
登壇駆動学習のすすめ — CfPのネタの見つけ方と書くときに意識していること
Avatar for おおいし bicstone
3
130
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
Avatar for ないとー bwkw
3
1k
ECS障害を例に学ぶ、インシデント対応に備えた AIエージェントの育て方 / How to develop AI agents for incident response with ECS outage
Avatar for iselegant iselegant
4
370
広告の効果検証を題材にした因果推論の精度検証について
Avatar for ZOZO Developers zozotech
PRO
0
210
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
Avatar for nihonbuson nihonbuson
PRO
2
330
Claude_CodeでSEOを最適化する_AI_Ops_Community_Vol.2__マーケティングx_AIはここまで進化した.pdf
Avatar for 小笠原理久 riku_423
2
610
今こそ学びたいKubernetesネットワーク ~CNIが繋ぐNWとプラットフォームの「フラッと」な対話
Avatar for Takuto Nagami logica0419
5
460
Bedrock PolicyでAmazon Bedrock Guardrails利用を強制してみた
Avatar for Yudai Jinno yuu551
0
260
Kiro IDEのドキュメントを全部読んだので地味だけどちょっと嬉しい機能を紹介する
Avatar for khmoryz khmoryz
0
210
モダンUIでフルサーバーレスなAIエージェントをAmplifyとCDKでサクッとデプロイしよう
Avatar for みのるん minorun365
4
220

Featured

See All Featured
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
180
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
74
5k
KATA
Avatar for Megan Lloyd mclloyd
PRO
34
15k
Claude Code のすすめ
Avatar for schroneko schroneko
67
210k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.6k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
300
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
3.9k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
280
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
130
How to make the Groovebox
Avatar for あそなす asonas
2
1.9k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
340

Transcript

  1. OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会

    2023#6 2023/6/23 まつひさ(hmatsu47)

  2. 本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle

    • 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2

  3. OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…

    3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。

  4. そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25

    は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4

  5. そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪

    Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5

  6. よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6

  7. 曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して

    TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7

  8. なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)

    制限解除していた ▪ それが「実績」に当たるのかは不明 8

  9. というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪

    セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9