OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
by
hmatsu47
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23 まつひさ(hmatsu47)
Slide 2
Slide 2 text
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) ● TCP Port:25 のアウトバウンド通信:デフォルト遮断 ○ 迷惑メール送信対策 ○ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle ● 送られるはずのないメールが送信された ● 別の AWS アカウントでは再現したりしなかったり ● 意味が分からなかったのでサポートに聞いてみた 2
Slide 3
Slide 3 text
OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html ● AWS でもデフォルトで有効になっている ○ 少なくとも表向きには… 3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。
Slide 4
Slide 4 text
そんなある日 ● Fargate から、送られるはずのないメールが送信された ○ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ○ でも、デフォルトの制限で TCP Port:25 は遮断されるはず ● 同じ AWS アカウントで再現テストしてみた ○ やはり送信された ○ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ■ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
Slide 5
Slide 5 text
そして ● 同じ Organization の別 AWS アカウントで試してみた ○ やはり送信された ■ Reachability Analyzer でも「到達可」 ● 別の独立 AWS アカウントで再現テストしてみた ○ 送信されず ■ Reachability Analyzer では「到達可」 ● なぜ? 5
Slide 6
Slide 6 text
よく分からなかったので ● サポートに聞いてみた ○ すぐには回答なし ● 後日、回答が届いた ○ そこには、初耳の事実が 6
Slide 7
Slide 7 text
曰く ● 一部の AWS アカウントでは OP25B(遮断)してない ○ ちょっと古めのアカウントが対象 ○ 利用実績を考慮して TCP Port:25 をデフォルト遮断するか判断 ■ 「利用実績」が何を指すのかは教えてもらえず ● 申し出があれば遮断も可能 7
Slide 8
Slide 8 text
なお ● メールが送信されてしまった AWS アカウントではないが ○ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で) 制限解除していた ■ それが「実績」に当たるのかは不明 8
Slide 9
Slide 9 text
というわけで ● 皆さんがお使いの AWS アカウントでも ○ 一度 OP25B の有効/無効確認をお勧めします ■ セキュリティグループのアウトバウンドはうっかり解放しがち ■ 知らないうちにメールが外部に送信されていると色々厄介なことも ○ 意図せず OP25B が無効だった場合 ■ TCP Port:25 解放が不要なら遮断してもらいましょう 9