Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
Search
hmatsu47
PRO
June 23, 2023
Technology
360
0
Share
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
hmatsu47
PRO
June 23, 2023
More Decks by hmatsu47
See All by hmatsu47
名古屋城とデータセンター
hmatsu47
PRO
0
9
IPv6 に関する話
hmatsu47
PRO
0
16
さいきんの光ファイバーの話
hmatsu47
PRO
0
36
低いほうのレイヤを見てみる話
hmatsu47
PRO
0
15
IPv6 VPC の実装パターンをいくつか
hmatsu47
PRO
0
33
光ファイバーと IPv6 絡みの話
hmatsu47
PRO
0
43
AWS で試して学ぶ IPv6
hmatsu47
PRO
0
40
今年の MySQL/HeatWave ネタ登壇振り返り
hmatsu47
PRO
0
37
今年の DB ネタ登壇振り返り
hmatsu47
PRO
0
30
Other Decks in Technology
See All in Technology
はじめての MagicPod生成AI機能 機能紹介から活用方法まで
magicpod
0
120
AndroidアプリとCopilot Studioの統合
nakasho
0
160
Anthropic「Long-running a gents」をGeminiで再現してみた
tkikuchi
0
450
運用システムにおけるデータ活用とPlatform
sansantech
PRO
0
130
UIライブラリに依存しすぎないReact Native設計を目指して
grandbig
0
140
AI駆動1on1〜AIに自分を育ててもらう〜
yoshiakiyasuda
0
150
扱える不確実性を増やしていく - スタートアップEMが考える「任せ方」
kadoppe
0
320
Rapid Start: Faster Internet Connections, with Ruby's Help
kazuho
2
790
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
kaz1437
0
150
Microsoft 365 / Microsoft 365 Copilot : 自分の状態を確認する「ラベル」について
taichinakamura
0
350
PicoRuby as a Multi-VM Operating System
kishima
1
210
VespaのParent Childを用いたフィードパフォーマンスの改善
taking
0
110
Featured
See All Featured
What does AI have to do with Human Rights?
axbom
PRO
1
2.1k
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.9k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.4k
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
530
How to make the Groovebox
asonas
2
2.1k
Docker and Python
trallard
47
3.8k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
New Earth Scene 8
popppiees
3
2.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
Transcript
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会
2023#6 2023/6/23 まつひさ(hmatsu47)
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle
• 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2
OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…
3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。
そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25
は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪
Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5
よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6
曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して
TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7
なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)
制限解除していた ▪ それが「実績」に当たるのかは不明 8
というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪
セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9
hmatsu47
magicpod
nakasho
tkikuchi
sansantech
grandbig
.png){kind=avatar}
yoshiakiyasuda
kadoppe
kazuho
kaz1437
taichinakamura
kishima
taking
axbom
addyosmani
sarafernandez
inesmontani
asonas
trallard
keithpitt
bermonpainter
popppiees
marcduiker
chriscoyier
yeseniaperezcruz
