Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
Search
hmatsu47
PRO
June 23, 2023
Technology
0
87
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話
JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
hmatsu47
PRO
June 23, 2023
Tweet
Share
More Decks by hmatsu47
See All by hmatsu47
Cloudflare Workes からMySQL 系 DB への接続事情(2024/4 現在)
hmatsu47
PRO
0
8
BuriKaigi2024 にボランティアスタッフとして参加した話
hmatsu47
PRO
0
56
Aurora MySQL と Redshift の zero-ETL 統合のフィルター機能を試してみた
hmatsu47
PRO
0
25
Aurora MySQL 3.06 の ML 機能で Bedrock アクセスを試してみた
hmatsu47
PRO
0
40
RDS Data API と Aurora zero-ETL 統合と BuriKaigi2024 の話
hmatsu47
PRO
0
16
RDS Data API のその後と Aurora zero-ETL 統合のデータ転送処理の話
hmatsu47
PRO
0
44
RDS_Aurora 関連アップデート 2023 版
hmatsu47
PRO
0
70
人工無能たいたん
hmatsu47
PRO
0
62
20 世紀末の地方税理士事務所で IT 導入の 1 → 10 を頑張った話
hmatsu47
PRO
0
38
Other Decks in Technology
See All in Technology
コードや知識を組み込む / Incorporate Code and knowledge
ks91
PRO
0
160
高専で制御を、大学でセンシングを学び、次は脳みそ
satoshirobatofujimoto
0
120
TiDBにおけるテーブル設計と最適化の事例
cygames
0
200
Amplify 🩷 Bedrock 〜生成AI入門〜
minorun365
PRO
10
1.1k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
990
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
120
Microsoft Intune 勉強会 第 2 回目
tamaiyutaro
2
510
生産性向上チームの紹介
cybozuinsideout
PRO
1
970
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
170
Building Dashboards as a Hobby
egmc
0
430
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
3.6k
Azureの基本的な権限管理の勉強会
yhana
1
2.2k
Featured
See All Featured
Embracing the Ebb and Flow
colly
80
4.2k
Designing the Hi-DPI Web
ddemaree
276
33k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
80
44k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Building Flexible Design Systems
yeseniaperezcruz
320
37k
Happy Clients
brianwarren
92
6.4k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
The Art of Programming - Codeland 2020
erikaheidi
43
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
The Mythical Team-Month
searls
217
42k
Transcript
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会
2023#6 2023/6/23 まつひさ(hmatsu47)
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) • TCP Port:25 のアウトバウンド通信:デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle
• 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2
OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…
3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。
そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25
は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪
Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ? 5
よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6
曰く • 一部の AWS アカウントでは OP25B(遮断)してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して
TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7
なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で)
制限解除していた ▪ それが「実績」に当たるのかは不明 8
というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効/無効確認をお勧めします ▪
セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9