Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
Search
hmatsu47
PRO
June 23, 2023
Technology
0
87
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
hmatsu47
PRO
June 23, 2023
Tweet
Share
More Decks by hmatsu47
See All by hmatsu47
Cloudflare Workes からMySQL 系 DB への接続事情(2024/4 現在)
hmatsu47
PRO
0
9
BuriKaigi2024 にボランティアスタッフとして参加した話
hmatsu47
PRO
0
56
Aurora MySQL と Redshift の zero-ETL 統合のフィルター機能を試してみた
hmatsu47
PRO
0
25
Aurora MySQL 3.06 の ML 機能で Bedrock アクセスを試してみた
hmatsu47
PRO
0
42
RDS Data API と Aurora zero-ETL 統合と BuriKaigi2024 の話
hmatsu47
PRO
0
17
RDS Data API のその後と Aurora zero-ETL 統合のデータ転送処理の話
hmatsu47
PRO
0
48
RDS_Aurora 関連アップデート 2023 版
hmatsu47
PRO
0
71
人工無能たいたん
hmatsu47
PRO
0
63
20 世紀末の地方税理士事務所で IT 導入の 1 → 10 を頑張った話
hmatsu47
PRO
0
39
Other Decks in Technology
See All in Technology
【リラン】AIの光と闇?失敗しないために知っておきたいAIリスクとその対応 ①政府の動き編
tkhresk
0
120
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
0
1.9k
成長をサポートするピープルマネジメントのやり方
sioncojp
9
1.5k
「知的単純作業」を自動化する、地に足の着いた大規模言語モデル (LLM) の活用
nrryuya
8
7.2k
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
200
本番環境で Cloudflareを 使ってみた話
miu_crescent
2
110
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
240
Amplify 🩷 Bedrock 〜生成AI入門〜
minorun365
PRO
10
1.2k
シンプルなHITL機械学習と様々なタスクにおけるHITL機械学習
naohachi89
0
260
Kaggleで学ぶ系列データのための深層学習モデリング
yu4u
7
1.5k
ハードウェアを動かすTypeScriptの世界
9wick
2
910
データベース03: 関係データモデル
trycycle
0
130
Featured
See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Optimizing for Happiness
mojombo
370
69k
Code Review Best Practice
trishagee
56
15k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Building Flexible Design Systems
yeseniaperezcruz
320
37k
How to train your dragon (web standard)
notwaldorf
75
5.2k
Six Lessons from altMBA
skipperchong
22
3k
Automating Front-end Workflow
addyosmani
1357
200k
GitHub's CSS Performance
jonrohan
1025
450k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
26
2.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k
Transcript
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会
2023#6 2023/6/23 まつひさ(hmatsu47)
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle
• 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2
OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…
3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。
そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25
は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪
Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5
よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6
曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して
TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7
なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)
制限解除していた ▪ それが「実績」に当たるのかは不明 8
というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪
セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9