  |
はてなキーワード: dnsとは
https://b.hatena.ne.jp/entry/s/www.ktv.jp/news/articles/?id=16655
この記事のブコメが余りに酷かったので、はてブのパソコンの大先生方にマイナ保険証(オンライン資格確認)のシステム周りを教えてやろう。
まず、マイナ保険証のシステムがどこに構築されているか、知ってるか?普通にブラウザにURL打ち込んだら、マイナポータルみたいなサイトに行けると思った?残念、何とシステムはNTTのフレッツIPv6閉域網の中にある。なので、IPv4ではそもそもアクセスできないし、IPv6でもフレッツ回線以外からは基本アクセスできない(例えばauひかりは無理)。
※一応IPv4からVPNでアクセスする方法もあるが、それもベンダーと専用ソフトを契約する必要がある
というわけで、クリニックにIPv6オプション付きのフレッツ契約がないところは、ネット回線の契約変更からスタートだ。あ、もちろんONUやルーターが対応してなかったらもちろん交換な。古いルーターはv6パケット通さなかったりするから気をつけろ。プロバイダーもだぞ。え、クリニックでIPv4のひかり電話を使ってる?…最悪それも全取っかえだ。
で、無事にIPv6オプション付きフレッツ回線が引けたとしよう。次は、マイナ保険証顔認証付きカードリーダとオンライン資格確認用端末だ。こいつもそこらへんのヨドバシで売ってるのではなく、対応機種を買わないといけない。めちゃくちゃメーカーと癒着の臭いがするな!ちなみに端末にもOSのDNSの設定やら電子証明書のインストールなど、いろいろあるぞ。
さらに、電子カルテやレセコンのネットワークとマイナ保険証端末のネットワークは、セキュリティの都合上ネットワークを分離せよという仕様になっている。何しろ、マイナンバー周りはセキュリティがガチのガチでガチガチなのだ。というわけで、クリニックの既存のネットワークにルーター増設も必須だ。既存のネットワーク、誰がいつ引いたんだろうな…?
ここまでで、マイナ保険証の導入とは、そこらへんのパソコンにソフトをインストールして終わりとかいう甘っちょろいものではなく、クリニックのネットワーク工事すら必要となる大規模なものであることが分かってもらえたかと思う。しかもこれは、マイナ保険証の導入にあたって、本当に最低限レベルで必要な話に過ぎない。ここまでで可能になるのは、保険証が有効かどうかの確認のみ。クリニックで使っている電子カルテなどとの連携は、もちろん別だ。
当たり前だが、ここまでの作業を個人で完遂できるのは、ITプロ級のお医者さんに限られるので、多くのクリニックはベンダーに丸投げとなる。システム導入には国から補助金が出るから、多くのベンダーが参入しており、これまた利権と癒着の臭いがする。
勉強不足だのなんだの言ってたブクマカどもよ。70歳近い一般人に、IPv6やらフレッツ閉域網やら、ルーターやら電子証明書やら、説明してちゃんと理解してもらえる自信あるか?正直、IT専門職でも厳しいのではないか?と思う。
で、くだんの記事に戻ると、高齢医師のクリニックは、あと数年で廃業予定のところも多い。そして、マイナ保険証の利用率は全国で1割に過ぎない。お年寄り患者中心の個人クリニックでは恐らくもっと低く、正直、マイナ保険証の必要性を感じていない所も多いと思う。手間だけかかって、システム導入に持ち出しすら発生するなら、いっそ早めに廃業しようというのも十分あり得る話だ。
他にもシステムの細かい話は色々あるのだが、長くなるので割愛する。興味のある人は、電子カルテの開発をしている歯科医の先生が奮闘しているブログが大変面白いので、読んでみてほしい。
https://karte-m.cocolog-nifty.com/free/2020/11/post-1f68ea.html
ワイはRethinkDNSを使ってるやで。
アプリ単位でブロックするドメインを変えられるから、特定アプリでは動かすために仕方なく広告系ドメインにアクセスさせたとしても、他のアプリではブロックしたまま使えるぞ。
システム全体で共有されてるDNSひとつでブロック設定するのは限界あるだろ。
まあ、iPhoneだとRethinkDNSみたいなことはできないからAndroidであるだけでかなり恵まれてるがな。
あと、RethinkDNSはMozilla Builders MVP programというMozillaに認定されてファンディングされてるOSSプロジェクトなので、プロジェクトとしても信頼性が高い。
他のRethinkDNSみたいな優れたプライバシーツールを知りたいなら、Privacy Guidesをチェックするのは基本やぞ。
Privacy Guidesはそれ自体がコミュニティーによってオープンソースで管理されて、一貫した基準に則って選定されているから信頼性が高いんや。
なんでAndroid限定かって言うとiOSでは280blockerで既に全て消えてるはずだから
「Twitterがモザイクかけたエロ動画を『広告』として流してきてキモすぎる」という声が多く見られたから書く
旧来の広告システム悪用してゾンビがねじ込んできてるのは消えないから手で報告とブロックしろ
1. 「設定」アプリを開く
このリストの中に「正解」が紛れてるからどれが効くかはトラバで聞け
俺は知らん
https://adguard-dns.io/kb/ja/general/dns-providers/ から抽出した
なおこのままだと思想が曲がったDNSははてなやNHKなど無害なサイトまでブロックしていて実用性が無い場合があるためブラウザだけDoHを使う
1. chrome://geckoview/content/config.xhtml を開く
2. 🔎に network.trr.modeと打ち込む
3. network.trr.mode を 半角で「2」か「3」に設定する
私は長い間、Google Chromeのユーザであった。
君はとても素晴らしいブラウザであった。
どんなウェブサイトでも、瞬時に正しく表示してくれた。君が表示できないのであれば、それはWebサイトが間違っているか、あるいは世界中の誰にもできないことなのだと諦められた。
数年前までは。
この数年で急に何かが起こったわけではない。少しずつ、私が広告から距離を取る方法に慣れてきたのだ。
最初はブラウザの拡張で広告をブロックするところから始まった。
ブラウザの拡張で広告をブロックする方法は、たびたびウェブサイトのレイアウトを破壊した。無理もないことだ。
Webサイトのオーナーにとってみれば、あるはずのものがなくなっているのだから。
そのため、ウェブサイトの閲覧中にそういう気配を察して、ブラウザの拡張をオフにすることもよくあることだった。
その気配を読めずに、このサイトぶっ壊れてる、と誤解してしまうことも本当によくあった。
安心して使えないと言えば、ブラウザの拡張を使うと、ブラウザに尿辞されている全てのコンテンツを見られてしまうことになるので、センシティブなサイトを見るときには止めるのが常識だった。
センシティブなサイトというのは、まあ色々だ。特にログイン画面を開いて、パスワードを入力した後、拡張を有効にしたままだったことに気づいてドキドキしたこともあった。
それからしばらく経ち、広告をブロックするために DNS を使うようになった。
専用の DNS リゾルバーを設定することで、広告関連のドメイン名を解決できなくする仕組みだ。私はこれに感動した。
これによってブロックできる広告の種類が増えた。今まではブラウザの拡張を使っていた時は、ブロックできるのは基本的にはPCのブラウザの広告だけだった。
DNSを使った仕組みを使えば、スマホのブラウザに表示される広告はもちろん、アプリ内に表示される広告もブロックできるのだ。
導入した当初の感動は、今でも覚えている。
広告がブロックされるとそのスペースにグレー(グレーでなかったかもしれない。忘れてしまった)の四角が代わりに表示されるのだが、スマホのブラウザでウェブサイトを見ると、三分の一ぐらいがグレーだった。
それからまたしばらく経ち、Microsoft Edge に乗り換えた。スマホ版の Edge はデフォルトの機能として広告のブロックができる。
今はそれを有効にして使っている。引き続きDNSを使った広告のブロックも併用している。
これでほとんどの広告はブロックできているし、広告の跡地にグレーの四角が表示されることも無くなった。
非常に快適なだけでなく、一周回って、古き良きインターネット、という感覚を味わえるので、特にインターネット中高年にはおすすめだ。
そういうわけで、もうスマホでは Edge がメインのブラウザになってしまったので、PC でもブラウザは Edge を使っている。
Windows でも、Mac でも Edge を使っている。以前は全ての環境で Google Chrome だったのだが、今は特にスマホ版のウェブサイトで Google Chrome を要求する一部のサイト(吉野家のサイトがそうだ)でしか使っていない。
一昔前、職場では IE しか対応していないウェブサービスを使うために IE を開いていたぐらいに老人の私にとって、今の Goggle Chrome は完全に昔の IE だ。
(そうはいっても、当時のIEよりは遥かにマシなIEではある。それは認める。)
みんなもソーシャルハッキングには気をつけような。
準備
餌をまく
実行
以上です。
これで騙される人もいるかもしれないけど、よっぽど魅力的なドメインじゃないとそんな高値にならないので、1件数万円程度かな。リスクとリターンが見合わないかと思います。
URI(Uniform Resource Identifier)
URL(Uniform Resource Locator)
大雑把にはそんな感じ
よく、「URIって呼べよ恥かしい」みたいな人いるけど、そっちが恥ずかしいです
例えば、下記のようなURLがあったとして
https://test:testpw@hogehogefugafuga.jp/index.html:8080
① スキーム
② オーソリティ
//test:testpw@hogehogefugafuga.jp/index.html:8080
ポート :8080
hogehogefugafuga.jp にアクセスしますよぉ、提示した情報でというもの
インターネットを作った人は全世界の人が使うようになる前提で、ややこしいhttp://を決めたのかなぁ?
こんなに使われることになるくらいならもっとシンプルなものにしてた可能性が高かったんじゃないかなと技術脳ゼロの自分は思ってしまうわけです。
すげぇシンプルです
これ以上シンプルにするって逆にどうやるの?
例えばメールサーバーには、「mx」や「mail」などのサブドメインが付きます
これに対して、webサーバーを示すサブドメインとして「www」を使ったわけです
すげぇシンプルです
この言い方も古くなったな。イケハヤ元気だろうか?(興味ない)
うーんどうしたら音声付き動画を勝手に再生するのを止められるのかなあ
https://b.hatena.ne.jp/entry/4756131185384734112/comment/nakag0711
であり、そんな消耗から遠い地に移住を果たした私は全ブクマカに声を大にしてアドブロックをオススメするのであります。
具体的には、昨年末ホッテントリ入りした、下記ブログの対策をすること。
これで、勝手に再生する動画に煩わされることはなくなるし、大量に張られているWEB広告を知覚しながら意識から追いやるという認知不可からもおさらば。
この、知覚しながら認識しないようにするというのが、自然とできているようで、実査にWEB広告を消してみるとこんなにスッキリした画面だったんだと感動すらある。
まー、でも自宅鯖にDNS建てるとか面倒だって人は、とりあえずAdGuardが公開しているDNSを設定してみると、その効果を感じられると思う。
言ってみれば、移住先にお試しで1週間ぐらい泊まってみるってやつだ。先のページのこのコメントで言及されてるやつね。
前は同じことをやっていたが面倒くさくなって端末に直接AdGuardのDoHを指定するようになった
https://b.hatena.ne.jp/entry/4746515581533875055/comment/Rambutan
じゃ、それでいいじゃんって話しだけど、自分でAdGuard Homeを導入すると、以下のようなメリットがある。
やってみようと思ったそこのあなた!今日明日は休みで天気が悪いかなら、ちょうど良いタイミングだぞ。
ほとんど最初のブログに書いてある通り何だけど、私が最初分からなかった、Tailscaleの導入理由について補足する。
Tailscaleってのは、今あるネットワークに加えて、VPNで新しいネットワークを作るアプリだ。(個人の理解です)
凄いのが、ご家庭のルーター内部にいるサーバと、4G/5G回線のスマホが、ルーターの設定なしにつながるところ。さらに、そのスマホを家のネットワークに繋いでも、TailscaleのVPNはつながったまま。もはや、どういうテクノロジーで実現しているのか良く分からない。
で、なんでTailscaleが必要かって言うと、Tailscaleの機能で、つながった機器のDNSをTailscaleで設定したDNSにしちゃうよってのが出来るから。
元のブログの「ウェブブラウザからTailscaleの管理画面にログイン後、DNS設定ページに移動します。」ってあたりからがそう。
このやり方の賢いところは、Tailscaleの接続を切れば、いままでのDNSを参照してアドブロックが解除されるところ。最初に上げたメリットで、アドブロックのON/OFFが「Tailscaleアプリ起動>VPNに接続/切断をクリック」で実現できる。
後はやるだけ!
一応、デメリットも書いておく。
例に上げたオオタニサンの記事のように、WEB広告満載のページを開くのに時間がかかるようになります。
これは、大量のDNSクエリをフィルタにぶつけているからで仕方がないかなと。
NOTEや、Qiitaのように、独自でマネタイズ頑張ってるところは、ほぼ影響なしです。
なかなか表示されないページは、「あー、広告たくさんなんだろーなー」と思いつつ、先にブクマのコメントを読んでればいいので、実質的にはデメリットとは言えないかも。
あとは、AdGuard HomeとTailscaleを信用するかどうかですね。
私がもう我慢ならないとアドブロックを行ったのは、出てくるWEB広告が軒並み「アソコドーピング」になったから。
いや、pronhubで出てくるならいいけどさ、ゲームやアニメの情報見ようとしてもアソコアソコアソコ。
しかも、最近のアダルト広告、画像を生成AIで作ってるのか、なんか微妙な気持ち悪さがありません?見ていられなくてWEB広告を根こそぎ排除する方向にしました。ページの内容に沿った広告ならいいのに、現状は広告主が広告内容に責任を持たない状況なので、自衛するしか無いという結論。
海賊版AVサイトとして、ここ数年日本国内でトップアクセスを誇っていた『MissAV』にアクセスできなくなったと、一部で話題になっている。
あくまで通常アクセスできなくなったというだけで、サイト自体は死んでいない模様。
ブラウザの設定をいじったりすると見れるようだ。
しかしライバルとなる海賊版AVサイトはググれば山程出てくるのでトップの入れ替わりは確定だろう。
【追記】
27日現在、MissAVの日本語トップページには「日本政府のネットワーク封鎖を突破するMissAVの無料VPNをダウンロードするには、ここをクリックしてください。」というメッセージが表示され、CloudflareのDNSサービス・アプリへのリンクが貼られている。
アダルト動画の海賊版が多数アップロードされている大規模動画サイト。遅くとも2022年までにサイト開設。
ユーザーがAVをタイトルや型番で検索した時に、上位に表示されることで口コミで利用が広まった。
2023年10月のSimilarWeb調査のサイトアクセス数ランキングではXvideosやPornhubを抜き国内41位に入り、アダルト海賊版サイトとしては日本トップに。
X(旧Twitter)で有名弁護士がサイトを名指しして苦言を呈すほど知名度は上昇していて、「AV界の漫画村」とも評される。
Device Info は、高度なユーザー インターフェースとウィジェットを使用してモバイルデバイスに関する完全な情報を提供するシンプルで強力な Android アプリケーションです。たとえば、デバイス情報/ 電話情報には、CPU、RAM、OS、センサ、ストレージ、バッテリー、SIM、Bluetooth、ネットワーク、インストール済みアプリ、システム アプリ、ディスプレイ、カメラ、温度などに関する情報が含まれます。また、デバイス情報/ 電話情報は、ハードウェア テストでデバイスのベンチマークを行うことができます。
中身 : 👇 👇
👉 ダッシュボード : RAM、内部ストレージ、外部ストレージ、バッテリー、CPU、利用可能なセンサ、インストール済みアプリ & 最適化
👉 デバイス : デバイス名、モデル、メーカー、デバイス、ボード、ハードウェア、ブランド、IMEI、ハードウェア シリアル、SIM シリアル、SIM サブスクライバー、ネットワークオペレータ、ネットワークタイプ、WiFi Mac アドレス、ビルドフィンガープリント & USB ホスト
👉 システム : バージョン、コード名、API レベル、リリース バージョン、1 つの UI バージョン、セキュリティ パッチ レベル、ブートローダー、ビルド番号、ベースバンド、Java VM、カーネル、言語、ルート管理アプリ、Google Play サービスバージョン、Vulkan のサポート、Treble、シームレスな更新、OpenGL ES およびシステム稼働時間
👉 CPU : Soc - システム オン チップ、プロセッサ、CPU アーキテクチャ、サポート対象の ABI、CPU ハードウェア、CPU ガバナー、コア数、CPU 周波数、実行中のコア、GPU レンダラー、GPU ベンダー & GPU バージョン
👉 バッテリー : ヘルス、レベル、ステータス、電源、テクノロジー、温度、電圧と容量
👉 ネットワーク : IP アドレス、ゲートウェイ、サブネット マスク、DNS、リース期間、インターフェイス、周波数、リンク速度
👉 ネットワーク : IP アドレス、ゲートウェイ、サブネット マスク、DNS、リース期間、インターフェイス、周波数、リンク速度
👉 ディスプレイ : 解像度、密度、フォント スケール、物理サイズ、サポートされているリフレッシュレート、HDR、HDR 機能、明るさのレベルとモード、画面のタイムアウト、向き
👉 メモリ : RAM、RAM タイプ、RAM 周波数、ROM、内部ストレージ、外部ストレージ
👉 センサー : センサー名、センサベンダー、ライブセンサ値、タイプ、電力、ウェイクアップセンサ、ダイナミックセンサ、最大距離
👉 アプリ : ユーザーアプリ、インストール済みアプリ、アプリバージョン、最小 OS、ターゲット OS、インストール日、更新日、アクセス許可、アクティビティ、サービス、プロバイダ、レシーバー、抽出アプリ Apk
👉 アプリアナライザー : 高度なグラフを使用して、すべてのアプリケーションを分析します。また、ターゲット SDK、最小 SDK、インストール場所、プラットフォーム、インストーラ、および署名によってグループ化することもできます。
ディスプレイ、マルチタッチ、懐中電灯、ラウドスピーカー、イヤースピーカー、マイク、耳近接、光センサ、加速度計、振動、Bluetooth、WI-Fi、指紋、音量アップボタン、音量ダウンボタンをテストできます。
👉 温度 : システムによって指定されたすべての温度ゾーンの値
👉 カスタマイズ可能なウィジェット : 最も重要な情報を表示する 3 つのサイズの完全にカスタマイズ可能なウィジェット
👉 レポートのエクスポート : カスタマイズ可能なレポートのエクスポート、テキストレポートのエクスポート、PDF レポートのエクスポート
権限 👇 👇
READ_PHONE_STATE - ネットワーク情報を取得するには
BLUETOOTH_CONNECT - Bluetooth テスト
READ_EXTERNAL_STORAGE - イヤースピーカーとラウドスピーカーのテスト
エンジニアに資格は不要と言われるけれど、個人的には結構勉強になると思う。
自己負担の実費でIPAのネスペ、セキスペと受けたけれど結構役に立ったなと思っている。
多分その辺を勉強していなかったらDNSキャッシュポイズニングとか迷惑メールフィルタのDKIMの仕組みとかDHCPスプーフィングとかセキュリティの話題に全くついていけなかったどころか興味も持っていなかったかも知れない。でもある程度わかって興味を持てるようにようになったのはIPAの試験のおかげ。
個人開発をしろだとか仕事でOJTでしか身につかないとかいう意見はあるが、個人的にはベクトルが違う、それはそれこれはこれだと思っている。
仕事をしながらDNSキャッシュポイズニングについて調べる機会とかなかなか遭遇しないだろうしARPの仕組みBGP-4の仕組みなんて絶対に知り得なかった。
野球で言うところの個人開発は練習試合、座学は筋トレ走り込みだ。練習試合だけしかしない人が野球が上手くなると思えない。
で、今IPAの試験も一通り受けて次勉強するって何をすればいいんだって思っている。
世の中にはまだまだ未知のIT技術に溢れている、低レイヤのICチップの仕組みだとか無線LANの仕組みとかJVMのこととか、都度都度自分で調べれば良いんだろうけど効率的ではないし、何より自分の全く知らない分野というものに気付く機会はない。
他部署の部長が突然「うちの部署で使ってるツールの人がなんか意味分からない連絡してきてるから社員さんと一緒にミーティングして聞いて」みたいなこと言ってきて
なんのツールかも分からないけどその意味分からない連絡を見たら「うちの指定通りにDNS設定をせよ、分からなければ担当者に聞いてくれ」という内容で、
別にわざわざ担当者に折り返して打ち合わせ設定するまでもなさそうだし「そもそもなんのツールの設定ですか?」って聞いてるんだけど
その他部署の担当社員は「何のことかさっぱり分かりません💦」「とにかくミーティング設定します💦」の一点張りでお話にならなくてストレス…
情シスみたいな部署が存在しない規模の会社でオタクが故に中途半端にリテラシー高いポンコツがこういうことに巻き込まれるの
「みんな困ってて自分がちょっと頑張れば解決する状況だから知らんぷりを決め込めない」のもあるあるだと思ってる…
嫌になるのは自分なのを分かっているのに…何故…
個人事業主でソフトウェア開発の仕事をしている。受託中心、請負契約が多めなので、いわゆる「フリーランス」とはちょっと違うと思う(フリーランスと言うと、準委任契約でどこかの企業のソフトウェア開発をお手伝いしてるイメージ。厳密な定義は知らんけど)。
自宅で仕事をするとサボってしまう程度には精神が軟弱なので、オフィスで仕事をした方が効率が良い。今もお世話になっている場所はあるのだが、値段の割には要求仕様を満たしていない面もあって、より良いものを探したいところだ。
長文になってしまい申し訳ないが、この記事は増田の要望を書き連ねておく内容になっている。もしもコワーキングスペースの企画運営側の人の目に止まれば幸いではあるが、同じ考えの人が多く居るのか?という点での保証は致しかねる。
これを見てる皆さんは、どういう条件を重視するのだろう?
ここの結論を先にいうと,神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった.
これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガク https://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-kanagawa.jp は違う),その状況だけ見ても本物に混じって偽物がスパムやフィッシングを行っていてもほぼ見分けが付かないのである.
Google から見ても,取得が容易なjpドメインで最近取得したドメイン,似たようなドメイン,似たようなメール,が送られてくるのである.ユーザの受信ボックス・迷惑メール・ゴミ箱に大量に届く懸念がある以上,ブロックするのが定石である.
仮にブロックせず受信ボックス・迷惑メール・ゴミ箱に届けた場合,大量送信によってユーザの使用量を圧迫し 15 GB 到達すると,そのユーザは新規のメールを受信できなくなり本当に必要なメールを取りこぼす可能性がでてきてしまう(容量空ければ受信できなかったメールを受信し始めるわけではない).
なので,大量送信 SPAM 判定したメールはできる限りブロックする選択が,Gmail にとってある意味最善手なのである.
なお,神奈川県は令和 4 年度までは @pref.kanagawa.jp をメールで使っていたが令和 4 年度以降から @pref.kanagawa.lg.jp に切り替えているので,ベストは shutugan.pref.kanagawa.lg.jp であったと思われる.
サブドメイン毎にドメインレピュレーションが分かれているためあまり深い意味はないが,少なくとも pref.kanagawa.lg.jp は 2007/04/16 に登録され有効なドメインなので,新規登録に比べて信頼性が高いと判断される.
なお,kanagawa.jp と kanagawa.lg.jp の切り替えもいろいろと謎はあるが,それはまた別の問題.
※webページは kanagawa.jp の方だし他方 e-kanagawa.lg.jp なんてのもあり……ちなみに e-kanagawa.jp は 株式会社つくばマルチメディア 登録ドメインで行政は関係ない.
少なくとも動き始めには DKIM / DMARC が設定されておらず,問題になってから設定し始めてもそれはSPAMを頑張る業者と行動様式が似るので無駄なあがきとなっている可能性が高い.
SPF は 2006年,DKIM は 2011年,DMARC は 2016年に出てきた対 SPAM 技術である.DNS 弄ったりメールサーバー建てるような人でないならこれらの設定方法は知らなくてもしかたない.
だがそれらを生業としている側の人間なら, 2024 年現在, 13 年前に提案された DKIM すらちゃんと設定できないというのは,iPhone 4 や Internet Explorer 9 向けの開発しかわかりませんとか,スマホアプリで LINE 聞いたことないというのを 2024年に言っているのと同じレベルなのである.
そのぐらい前の時代に提案された迷惑メール対策・認証系の機能を未実装で本番環境動かすというのは,語弊のある誇張表現をするなら Windows Update や apt upgrade を 13年間しないで通信を試みるようなもので,自殺行為に等しい.
もちろん,その通信を受ける側はこいつヤバいやつだってすぐわかるので,かなり辛口で評価することになり,ちょっとでも SPAM の雰囲気出してきたらブロックするのは定石.
そしてブロックされた SPAM 側はあの手この手でおかまいなしに SPAM 送ろうとするので似たような内容やドメインでしつこく送ろうとするので,似たようなものもどんどんブロックするのである.
なので初手でヤバいやつ認定されないのが極めて重要にもかかわらず,そこを怠っていたのである.
実際に,2024 年 1 月 12 日時点の mail.shutsugankanagawa.jp はどうなっていたかというと DKIM 設定がないまま本番環境を動かしていたようである. https://archive.md/qykwX
ここで実際いろいろ正常化しても,それは SPAM 業者があの手この手でなんとしてでも SPAM 送り届けようと頑張っている様子と一緒なので,ある意味無駄なあがきなのであるどころか,SPAM認定を加速させた可能性も否定できない.
Gmail も SPAM対 策は馬鹿じゃないので,送信ドメインを変えても文面があまり変わっていないなら SPAM とするし,送信元の IP とかも見て SPAM とするので, Amazon SES 使いつづけたり新 IP で何回も試行するとうまくいかないし,送信元信頼性の高い送信サーバーサービス経由で送れたりするようになっても,SPAM扱いされることもよくある.
ちょっと送信に成功しだしてまたいっぱい送り出して SPAM 業者扱いされるのはやっていることが SPAM 業者と同じことというか,その辺の今時の SPAM 業者より SPAM 業者っぽい挙動をしているのである.
今でもたまに Google anti-SPAM/phishing 網をくぐり抜けてくる えきねっと のフィッシングメールもびっくりするほどであろう.
Gmail ユーザーへの送信ガイドラインみたいな文章は,最近の DMARC 騒動で見る人が多いこのページが一番詳しい https://support.google.com/a/answer/81126?hl=ja .今はその騒動に応じてかなり加筆されているが,このページは開発中はどうであったのだろうか.
まず開発スケジュールについては,この開発は神奈川県の調達情報によると,調達案件番号 0001450060020230089R 業務名『神奈川県公立高等学校入学者選抜統合型WEB出願システム構築及び運用・保守業務委託』で間違いないと思われ,開札日が令和5年3月31日だからプロジェクトの始動はその後だろう.
※税金使途への意識高い県民はご存じの通り,ここから誰でも調べられる https://nyusatsu-joho.e-kanagawa.lg.jp/DENTYO/P6515_10
ちょうどその頃の Web Archive がたまたまあって 2023/03/07 時点ではこうなっていた https://web.archive.org/web/20230307005024/https://support.google.com/a/answer/81126?hl=ja
冒頭では
重要: 2022 年 11 月より、Google Gmail アカウントにメールを送信する新規の送信者は SPF または DKIM の設定が必須になりました。
とさらっと メールを送信する新規の送信者は SPF 「または」 DKIM の設定が必須 である一方,『ドメインのメール認証を設定する(必須)』の重要のところをよく読むと,
重要: 2022 年 11 月より、個人用 Gmail アカウントにメールを送信する新規の送信者は、SPF または DKIM を設定する必要があります。Google では、新規の送信者から個人用 Gmail アカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめします。
のようになっていて,「今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめ」など,やんわりと新規の送信者は認証しっかり 必ず SPF と DKIM を設定することをおすすめ しているのである.
こういう書かれ方しても,個人のメールサーバーとかなら SPF か DKIM どっちかで運用してみてドメインを駄目にしても笑い話になるけど,自治体で運用するシステムであえて,博打に挑戦する必要あるのだろうか.
まぁ本来発注側の要件定義書とかにちゃんと SPF / DKIM を設定することなどと書いておくべき案件だったかなとは思う(たぶん書かれていなかったんだろう).
とにかく今は全世界の3割弱が Gmail と言われている中で,本当に Gmail が謎仕様のブラックボックスで届かないことが多発していたら国内外もっと騒ぎになるので Gmail 側に今回の件で大きな瑕疵があったとはいいがたい.
設定不備およびその後の作業内容で地雷原を突き進んで自爆しているのだろう.
アホらしいけどアホに一番わかりやすくいえば Google Workspace / Gmail 同士では IP メールサーバーのレピュテーションと無縁になれて,世界中の他の宛先にもだいたい問題なく送れるので,SPF / DKIM / DMARC の設定だけ気にすればよく,かなりシンプルなのである.
Amazon SES 使えていたんだから Google Workspace も不可ではないはず(ISMAPに Google Workspace もいるので,あとは要件しだいだけど).
今日は花金で午後暇になったのでざっと調べて書き出したけど,去年(おそらく最小限の修正などで運用するための発注) 3,600,000円 だったシステムを,今年は全面刷新して 138,600,000 円かけたわけだけど,ちょっとさすがに値段の割にお粗末な印象がある.
まぁ入札調書の開札日付が「平成」のままになっていたりしているの見ると教育委員会側も事務方スタッフが発注前から既に疲れてるんだろうなとも思うなど,ただそういう大人の事情はともかく受験生の心情を考えると,本来あるはずのない余計なストレスを掛ける結果に,大人の一員として恐縮してしまう.
一つ思うのはこれ「一般競争入札(技術審査型)」だけど本当にちゃんと技術審査したのかね?する能力あった?安い方に安易に決めてないだろうな??と,突っ込んでいった方が今後の神奈川県の教育環境のために遠からずなるかなと思ったけど,よく考えたら私は神奈川県民じゃなかったわ
