09.23 au迷惑メールフィルタに欠陥が!?

迷惑メールフィルタに欠陥が見つかった様だ。
迷惑メールのフィルタではいろいろな設定が可能である。ケータイやパソコンからのメールを一括許可や禁止することが可能である。またなりすましメールの拒否なども指定可能である。

くろねこは、ケータイからのメールを受信許可にして、パソコンからのメールの受信を基本的に拒否にした上で、受信したいメールアドレスをドメイン指定で許可していた。
しかしながら、この「ドメイン指定が正しく動作していないのでは無いか」ということが分かってきた。

そもそも、キャリア側からはこの迷惑メールフィルタについて非常にざっくりした説明しか提供されておらず、詳細な仕様は誰も把握していない。いつも通りお客様センターであっても同様である。
お客様センターやauショップの店員と話をして一個ずつひもといていくと、Fromアドレスと「受信リスト」が登録と一致すると許可または拒否される。一致のさせ方は「完全一致」、「部分一致」、「ドメイン指定」の3つが選択可能である。このうちのドメイン指定が完全一致で無い可能性が出てきた。
auショップの店員が憶測で答えてくれたのは、@もドメイン指定の文字列に登録しないと部分一致なので指定ドメインの前に不特定の文字列をつけたアドレスが受信できてしまうのでは無いかと言うことだった。

例1)不正に受信できてしまう
 許可しているドメイン:example.com
不正に受信できてしまうドメイン:123example.com
 ※123が付いて別のドメインになっているのに受信が許可されてしまう。

お客様センターにこの部分を確認すると、@をつけてもつけなくても自動的にシステム側で@を除去した文字列になっている可能性があるとのこと。これでは迷惑メールを防げない。

お客様センターでの対策の回答としていつも言われるのは、拒否リストに登録してください、完全一致でメールアドレスを登録してください。と言うことなのだが、たかだか200アドレスしか登録できないシステムに収まる問題では無いし、現状に即していない。

次にショップの店員が考えてくれた対策が、「部分一致で@~登録しましょう」と提案してくれた。しかし、これについても「表示名の部分にフィルタの登録内容と同じ内容を文字列中に含むと一致してしまうので対策にならない」ことを指摘させていただいた。
一言で言うと、メールフィルタの仕組みが雑すぎて根本的対策が出来ないと言うことです。ドメイン指定は完全一致で勝つ表示名でない本来のメールアドレス部分のドメインと一致することと言う仕様が必要です。

例2)表示名にドメインを登録することで…
 許可しているドメイン:example.com
 不正に受信できてしまうメールアドレス:"foo@example.com"<foo@another.com>
 ※表示名の部分が許可ドメインとおなじなのでシステムが間違えて許可してしまう 

参考:メールアドレスのパーツ

コメント (0件)


くろねこ研究所
http://www.blackcatlab.com/article.php/20140923_trouble_mailaddress_filter