Scribble at 2024-05-29 13:24:13 Last modified: unmodified
HTML メールの受信が、情報セキュリティから言って危険である理由は幾つかある。特に、弊社のように MX を Google に向けて GMail をフロント・エンドとして利用している企業では、GMail の脆弱性がそのままメールの運用環境のリスクとなる。よって、可能ならウェブ・メールとしてブラウザではアクセスしてもらいたくないし、社内でもメール・クライアントで OAuth2 を利用してアクセスしてもらいたいと推奨している。
ウェブ・メールだと、たとえば上のスクリーン・ショットは僕のアカウントにある「迷惑メール」のタグが付いているメールを表示した画面なのだが、大半のユーザはこの画面を見るだけだと第一種過誤(または偽陽性)として Google のサーバが不正でないメールを不正だと判定してしまっている可能性がないかどうか、これではなかなかわからない。右の、分かりにくいオプションから「メッセージのソースを表示」を選択し、まず最初に From: ヘッダーをプログラムで詐称していないかどうか確認し(プログラムで From: ヘッダーは好きなメール・アドレスに設定できる)、特に詐称がなくてもありえないところから送られているメールなら不正だと判断がつく。たとえば、上の事例だと送信元のドメインは「岐阜県高等学校PTA連合会」のものだが、ここのメール・サーバが不正に使われている可能性あろう。こういう場合、サーバの容量やアカウントの数が増えると疑われやすいので、不正に一個だけ追加で設定したアカウントへのエイリアスを増やし、追加したアカウントでは全ての受信メールを他のメール・アドレスに転送しているのかもしれない。