Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
Search
hmatsu47
PRO
June 23, 2023
Technology
0
150
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
hmatsu47
PRO
June 23, 2023
Tweet
Share
More Decks by hmatsu47
See All by hmatsu47
さいきんの MySQL との付き合い方 〜 MySQL 8.0 より後の世界へようこそ 〜
hmatsu47
PRO
0
11
ベクトルストア入門
hmatsu47
PRO
0
10
Aurora DSQL について
hmatsu47
PRO
0
8
DynamoDB Global Tables MRSC・pgvector 0.8.0・caching_sha2_password 関連アップデート
hmatsu47
PRO
0
9
10 年(+1 年)の振り返りと 2025 年の活動予定
hmatsu47
PRO
0
23
RDS/Aurora アップデート(2024 年版)
hmatsu47
PRO
0
27
Aurora DSQL と楽観的同時実行制御(OCC)
hmatsu47
PRO
0
42
Claude 3.5 で Haiku
hmatsu47
PRO
0
25
HeatWave on AWS の PrivateLink インバウンドレプリケーションで Aurora フェイルオーバーに追従する
hmatsu47
PRO
0
22
Other Decks in Technology
See All in Technology
What's new in Go 1.24?
ciarana
1
110
【内製開発Summit 2025】イオンスマートテクノロジーの内製化組織の作り方/In-house-development-summit-AST
aeonpeople
2
610
ディスプレイ広告(Yahoo!広告・LINE広告)におけるバックエンド開発
lycorptech_jp
PRO
0
340
日経のデータベース事業とElasticsearch
hinatades
PRO
0
230
Amazon Q Developerの無料利用枠を使い倒してHello worldを表示させよう!
nrinetcom
PRO
2
110
Active Directory攻防
cryptopeg
PRO
8
5.4k
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
組織におけるCCoEの役割とAWS活用事例
nrinetcom
PRO
4
130
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
2
270
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
8
3.6k
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
150
Iceberg Meetup Japan #1 : Iceberg and Databricks
databricksjapan
0
350
Featured
See All Featured
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
Testing 201, or: Great Expectations
jmmastey
42
7.2k
It's Worth the Effort
3n
184
28k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Building an army of robots
kneath
303
45k
Java REST API Framework Comparison - PWX 2021
mraible
29
8.4k
Typedesign – Prime Four
hannesfritz
40
2.5k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Six Lessons from altMBA
skipperchong
27
3.6k
Making Projects Easy
brettharned
116
6k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
640
Transcript
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会
2023#6 2023/6/23 まつひさ(hmatsu47)
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle
• 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2
OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…
3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。
そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25
は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪
Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5
よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6
曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して
TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7
なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)
制限解除していた ▪ それが「実績」に当たるのかは不明 8
というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪
セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9