OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話

Transcript

1. OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会

   2023#6　2023/6/23 まつひさ（hmatsu47）

2. 本日のネタ（参加者を見ると自己紹介は不要ぽいので略） • TCP Port:25 のアウトバウンド通信：デフォルト遮断 ◦ 迷惑メール送信対策 ◦ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle

   • 送られるはずのないメールが送信された • 別の AWS アカウントでは再現したりしなかったり • 意味が分からなかったのでサポートに聞いてみた 2

3. OP25B とは 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html • AWS でもデフォルトで有効になっている ◦ 少なくとも表向きには…

   3 OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。

4. そんなある日 • Fargate から、送られるはずのないメールが送信された ◦ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ◦ でも、デフォルトの制限で TCP Port:25

   は遮断されるはず • 同じ AWS アカウントで再現テストしてみた ◦ やはり送信された ◦ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ▪ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4

5. そして • 同じ Organization の別 AWS アカウントで試してみた ◦ やはり送信された ▪

   Reachability Analyzer でも「到達可」 • 別の独立 AWS アカウントで再現テストしてみた ◦ 送信されず ▪ Reachability Analyzer では「到達可」 • なぜ？ 5

6. よく分からなかったので • サポートに聞いてみた ◦ すぐには回答なし • 後日、回答が届いた ◦ そこには、初耳の事実が 6

7. 曰く • 一部の AWS アカウントでは OP25B（遮断）してない ◦ ちょっと古めのアカウントが対象 ◦ 利用実績を考慮して

   TCP Port:25 をデフォルト遮断するか判断 ▪ 「利用実績」が何を指すのかは教えてもらえず • 申し出があれば遮断も可能 7

8. なお • メールが送信されてしまった AWS アカウントではないが ◦ そのアカウントに紐付くの別 AWS アカウントで（EIP 指定で）

   制限解除していた ▪ それが「実績」に当たるのかは不明 8

9. というわけで • 皆さんがお使いの AWS アカウントでも ◦ 一度 OP25B の有効／無効確認をお勧めします ▪

   セキュリティグループのアウトバウンドはうっかり解放しがち ▪ 知らないうちにメールが外部に送信されていると色々厄介なことも ◦ 意図せず OP25B が無効だった場合 ▪ TCP Port:25 解放が不要なら遮断してもらいましょう 9