2.3K Views
June 22, 23
スライド概要
JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23
このスライドでは、AWSアカウントを使用しているにもかかわらずOP25Bでなかった場合のトラブルについてのお話です。OP25Bは、外向きポート制限により、外部ネットワークへのTCP 25番ポートの通信を遮断することによって、迷惑メールやウイルスメールの送信を制御しようとする技術です。AWSアカウントで再現性のあるメール送信トラブルが発生したため、デフォルトで有効化されているはずのOP25Bについて調べました。企業ごとに有効化されているかどうか異なるため、AWSアカウントの有効化確認を勧めます。
おすすめタグ:AWS,OP25B,TCP Port,セキュリティグループ,遮断
Qiita や Zenn でいろいろ書いてます。 https://qiita.com/hmatsu47 https://zenn.dev/hmatsu47 MySQL 8.0 の薄い本 : https://github.com/hmatsu47/mysql80_no_usui_hon Aurora MySQL v1 → v3 移行計画 : https://zenn.dev/hmatsu47/books/aurora-mysql3-plan-book https://speakerdeck.com/hmatsu47
OP25B だと思って AWS アカウントを使っていたら OP25B じゃなかった話 JAWS-UG 浜松 AWS 勉強会 2023#6 2023/6/23 まつひさ(hmatsu47)
本日のネタ(参加者を見ると自己紹介は不要ぽいので略) ● TCP Port:25 のアウトバウンド通信:デフォルト遮断 ○ 迷惑メール送信対策 ○ 制限解除申請が必要 https://repost.aws/ja/knowledge-center/ec2-port-25-throttle ● 送られるはずのないメールが送信された ● 別の AWS アカウントでは再現したりしなかったり ● 意味が分からなかったのでサポートに聞いてみた 2
OP25B とは OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しよう とする技術です。 出典 : https://www.nic.ad.jp/ja/basics/terms/OP25B.html ● AWS でもデフォルトで有効になっている ○ 少なくとも表向きには… 3
そんなある日 ● Fargate から、送られるはずのないメールが送信された ○ 確かにセキュリティグループでアウトバウンドの制限は漏れてた ○ でも、デフォルトの制限で TCP Port:25 は遮断されるはず ● 同じ AWS アカウントで再現テストしてみた ○ やはり送信された ○ ただし SPF / DKIM / DMARC 未設定なので受信側評価は低め ■ なので、普通に受信できる場合と迷惑メールに入る場合、捨てられる場合が 4
そして ● 同じ Organization の別 AWS アカウントで試してみた ○ やはり送信された Reachability Analyzer でも「到達可」 ■ ● 別の独立 AWS アカウントで再現テストしてみた ○ 送信されず Reachability Analyzer では「到達可」 ■ ● なぜ? 5
よく分からなかったので ● サポートに聞いてみた ○ すぐには回答なし ● 後日、回答が届いた ○ そこには、初耳の事実が 6
曰く ● 一部の AWS アカウントでは OP25B(遮断)してない ○ ちょっと古めのアカウントが対象 ○ 利用実績を考慮して TCP Port:25 をデフォルト遮断するか判断 ■ 「利用実績」が何を指すのかは教えてもらえず ● 申し出があれば遮断も可能 7
なお ● メールが送信されてしまった AWS アカウントではないが ○ そのアカウントに紐付くの別 AWS アカウントで(EIP 指定で) 制限解除していた ■ それが「実績」に当たるのかは不明 8
というわけで ● 皆さんがお使いの AWS アカウントでも ○ 一度 OP25B の有効/無効確認をお勧めします ■ セキュリティグループのアウトバウンドはうっかり解放しがち ■ 知らないうちにメールが外部に送信されていると色々厄介なことも ○ 意図せず OP25B が無効だった場合 ■ TCP Port:25 解放が不要なら遮断してもらいましょう 9