Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

Avatar for hmatsu47 hmatsu47 PRO
June 23, 2023
Technology
0
280

OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23

Avatar for hmatsu47

hmatsu47 PRO

June 23, 2023
Tweet

More Decks by hmatsu47

See All by hmatsu47
今年の FESTA で初当日スタッフ+登壇してきました
Avatar for hmatsu47 hmatsu47
PRO
0
6
攻略!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
4
PostgreSQL でもできる!GraphRAG
Avatar for hmatsu47 hmatsu47
PRO
0
3
Aurora DSQL のトランザクション(スナップショット分離と OCC)
Avatar for hmatsu47 hmatsu47
PRO
0
9
いろんなところに居る Amazon Q(Developer)を使い分けてみた
Avatar for hmatsu47 hmatsu47
PRO
0
26
「ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)」の結果ログから Aurora DSQL の動作を考察する
Avatar for hmatsu47 hmatsu47
PRO
0
2
ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
34
PostgreSQL+pgvector で GraphRAG に挑戦 & pgvectorscale 0.7.x アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
50
LlamaIndex の Property Graph Index を PostgreSQL 上に構築してデータ構造を見てみる
Avatar for hmatsu47 hmatsu47
PRO
0
17

Other Decks in Technology

See All in Technology
AWS re:Invent 2025事前勉強会資料 / AWS re:Invent 2025 pre study meetup
Avatar for Masanori Yamaguchi kinunori
0
950
マルチエージェントのチームビルディング_2025-10-25
Avatar for shino shinoyamada
0
230
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
Avatar for did0es shuta13
3
240
初海外がre:Inventだった人間の感じたこと
Avatar for tommy tommy0124
1
150
AI時代の発信活動 ~技術者として認知してもらうための発信法~ / 20251028 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
130
Open Table Format (OTF) が必要になった背景とその機能 (2025.10.28)
Avatar for Akira Shimosako simosako
3
570
ヘンリー会社紹介資料(エンジニア向け) / company deck for engineer
Avatar for Henry, Inc. henryofficial
0
440
IBC 2025 動画技術関連レポート / IBC 2025 Report
Avatar for CyberAgent cyberagentdevelopers
PRO
2
230
戦えるAIエージェントの作り方
Avatar for Takuya Akiba iwiwi
18
8k
JAWS UG AI/ML #32 Amazon BedrockモデルのライフサイクルとEOL対応/How Amazon Bedrock Model Lifecycle Works
Avatar for quiver quiver
1
500
Azure Well-Architected Framework入門
Avatar for tomokusaba tomokusaba
1
150
RemoteFunctionを使ったコロケーション
Avatar for Matsumoto Kazutaka mkazutaka
1
170

Featured

See All Featured
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
658
61k
Fireside Chat
Avatar for paigeccino paigeccino
41
3.7k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.6k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
2.9k

Transcript

  1. OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会

    2023#6 2023/6/23 まつひさ(hmatsu47)

  2. 本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle

    • 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2

  3. OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…

    3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。

  4. そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25

    は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4

  5. そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪

    Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5

  6. よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6

  7. 曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して

    TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7

  8. なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)

    制限解除していた ▪ それが「実績」に当たるのかは不明 8

  9. というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪

    セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9