Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

Avatar for hmatsu47 hmatsu47
PRO
June 23, 2023
Technology
0
230

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
Avatar for hmatsu47

hmatsu47
PRO

June 23, 2023
Tweet

More Decks by hmatsu47

See All by hmatsu47
ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
0
PostgreSQL+pgvector で GraphRAG に挑戦 & pgvectorscale 0.7.x アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
12
LlamaIndex の Property Graph Index を PostgreSQL 上に構築してデータ構造を見てみる
Avatar for hmatsu47 hmatsu47
PRO
0
12
PostgreSQL+pgvector で LlamaIndex の Property Graph Index を試す(序章)
Avatar for hmatsu47 hmatsu47
PRO
0
11
HeatWave on AWS という選択肢を検討してみる
Avatar for hmatsu47 hmatsu47
PRO
0
6
HeatWave on AWS のインバウンドレプリケーションで HeatWave エンジン有効時のレプリケーションラグを確認してみた!
Avatar for hmatsu47 hmatsu47
PRO
0
16
CloudWatch Database Insights 関連アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
32
さいきんの MySQL との付き合い方 〜 MySQL 8.0 より後の世界へようこそ 〜
Avatar for hmatsu47 hmatsu47
PRO
0
30
ベクトルストア入門
Avatar for hmatsu47 hmatsu47
PRO
0
25

Other Decks in Technology

See All in Technology
自律的なスケーリング手法FASTにおけるVPoEとしてのアカウンタビリティ / dev-productivity-con-2025
Avatar for Yoshiki Iida yoshikiiida
1
10k
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
3
940
Connect 100+を支える技術
Avatar for Yamakan kanyamaguc
0
170
ビズリーチが挑む メトリクスを活用した技術的負債の解消 / dev-productivity-con2025
Avatar for Visional Engineering & Design visional_engineering_and_design
2
4.6k
AI導入の理想と現実~コストと浸透〜
Avatar for oprst oprstchn
0
170
AI専用のリンターを作る #yumemi_patch
Avatar for 弁護士ドットコム bengo4com
5
3.5k
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
2
8.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
Avatar for yhana yhana
1
240
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
4
3.4k
生成AI開発案件におけるClineの業務活用事例とTips
Avatar for Shinya Masadome(東京AI祭) shinya337
0
200
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
160
使いたいMCPサーバーはWeb APIをラップして自分で作る #QiitaBash
Avatar for 弁護士ドットコム bengo4com
0
1.5k

Featured

See All Featured
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.7k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
8
680
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.8k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
500
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.5k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k

Transcript

  1. OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会

    2023#6 2023/6/23 まつひさ(hmatsu47)

  2. 本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle

    • 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2

  3. OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…

    3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。

  4. そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25

    は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4

  5. そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪

    Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5

  6. よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6

  7. 曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して

    TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7

  8. なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)

    制限解除していた ▪ それが「実績」に当たるのかは不明 8

  9. というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪

    セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9