web-dev-qa-db-ja.com

どのメールアドレスが信頼できるものとして扱われますか?

最近のWindows Live セキュリティインシデントに苦しんでいる[email protected]のような電子メールアドレスが「信頼できる」と見なされていることに気づかなかったため、一部の認証局は、だれでもその電子メールアドレスを所有者として制御できると見なしますドメインlive.fiの。

「信頼できる」と見なされる電子メールアドレスのリストを取得するにはどうすればよいですか?または、言い換えると、信頼されていないユーザーが私のドメインで電子メールアドレスを取得することを許可する場合、どの電子メールアドレスを取得できないようにする必要がありますか?誰かに信頼されている可能性のある特別なメールアドレスのリストはどこで入手できますか?もちろん、多くの認証局が存在するため、少なくともこのリストには、どこの認証局からも信頼されているすべてのものの結合を含める必要があります。

私は知っています RFC 2142 はいくつかの予約済み電子メールアドレスを一覧表示しますが、これでは不十分なようです。一部の認証局は、このリストにない追加の電子メールアドレスを信頼しています。


関連しているが同じではない:予約済みのユーザー名のリストとブロックするユーザー名のリストをインターネットで検索しているときに、次の追加リソースを見つけました: 新しいシステムで予約する一般的なユーザー名のリストはありますか?shouldbeeのリストkwappaのリスト

14
D.W.

かなり短いリストです:「管理者」、「管理者」、「ウェブマスター」、「ホストマスター」、または「ポストマスター」

これが固定および静的リストです。 しかし:WHOISからの連絡先情報も合法です。

CABフォーラムの ベースライン要件 から、17ページ:

11.1.1ドメイン名登録者による承認
証明書に記載されている完全修飾ドメイン名ごとに、CAは、証明書が発行された日現在、申請者(または申請者の親会社、子会社、または関連会社)が総称して言及していることを確認する必要があります。このセクションの目的では「申請者」として)ドメイン名登録者であるか、次の方法でFQDNを制御します:[...]

  1. WHOISレコードの「登録者」、「技術」、または「管理」フィールドにリストされている連絡先情報を使用して、ドメイン名登録者と直接通信する。

  2. ローカル部分に「admin」、「administrator」、「webmaster」、「hostmaster」、または「postmaster」を前に付加し、その後にアットマーク(「@」)を付けて作成したメールアドレスを使用して、ドメインの管理者と通信する、その後にドメイン名が続きます。これは、要求されたFQDNから0個以上のコンポーネントをプルーニングすることによって形成される場合があります。

Edit 2015-03-21:Entrust blog。これは、いくつかの裏話があるニースのブログエントリです。
ブルース・モートン、Entrust Identity ONブログ、2015-03-20、 Live.fiで何が起こったのか? (アーカイブ こちら 。)

ここで興味深い引用:

私たちが話している攻撃は2009年以前に行われました。それはRapidSSL CAに対して行われ、サブスクライバーが選択できる14の電子メールアドレスを提供しました。この場合、サブスクライバーが[email protected]を登録した別のMicrosoftドメインlogin.live.comに対しても攻撃が行われ、制御した電子メールアドレスを使用して証明書が要求されました。これにより、電子メールアドレスを制限するセキュリティの騒動が生じました。

Edit 2015-03-24:WHOIS「ベースライン要件」では、WHOISレコードからの電子メールアドレスも許可されています。上記で更新しました。

9
StackzOfZtuff

この大失敗に関与したコモドは、ドメイン検証のために 次の電子メールアドレス を信頼します。

  • admin @
  • 管理者@
  • postmaster @
  • hostmaster @
  • webmaster @
1
Gabor

実際には、任意の電子メールアドレスに送信された電子メールに応答する機能は、問題の電子メールアドレスの所有者であっても、何も証明しません。すべての電子メールは、通過するメールサーバーを実際に制御するユーザーによって改ざんされる可能性があります。

ドメインfoo.comへのrootアクセス権があれば、そこに配信される、またはそこから発信されるすべての電子メールを完全に制御できます。同様に、私がGmailで働いている低レベルのオタクであれば、Googleの間違いのない内部セキュリティがなければ、Gmailアカウントの吸い上げに基づいた整然とした詐欺を実装できたでしょう。

0
ddyer