ハクソク

世界を動かす技術を、日本語で。

FSFがGmailアカウントから10,000通以上のメールを送信しているスパマーについてGoogleに連絡を試みる

24日前原文(daedal.io)

概要

  • Mastodon のウェブアプリ利用には JavaScript の有効化が必要
  • JavaScriptが無効の場合は ネイティブアプリ の利用を推奨
  • 各プラットフォーム向けに Mastodon公式アプリ が提供
  • ユーザー体験の最適化を目的とした案内
  • 設定変更やアプリ選択の重要性

Mastodonウェブアプリ利用案内

  • Mastodon のウェブアプリ利用時、 JavaScript有効化 が必須条件
  • ブラウザ設定で JavaScript が無効の場合、正常な動作不可
  • JavaScriptの有効化方法は、各ブラウザの 設定メニュー から変更可能
  • セキュリティや利便性の観点から、 信頼できるサイト のみで有効化推奨

代替案:ネイティブアプリ利用

  • JavaScript を有効化できない場合、 Mastodon公式アプリ の利用が推奨
  • iOS、Android、Windows、macOSなど 各種プラットフォーム 向けに提供
  • アプリストア( App StoreGoogle Play など)から Mastodon アプリをダウンロード可能
  • ネイティブアプリ利用で、 ウェブ版と同等以上の機能性・快適性 を実現
  • アプリインストール後、 アカウント情報 を入力するだけで簡単に利用開始

Hackerたちの意見

Googleは、スパム報告が多いメールアカウントを停止することがあるよ。うちの営業の人たちがGmass(大量メール送信ツール)を使ってるけど、年に数回そういうことが起こるんだ。これは参考情報として言っておくけど、他の人が言ってないから、Googleはしっかりとメールの悪用を監視してるってことも知っておいてほしい。

ちょっと確認なんだけど、営業の人たちは冷たいアドレスにスパム送ってるの?それとも、オプトインしてるか既存の顧客なの?

スパムはGmailのウェブインターフェースからしか報告できないみたいで、FSFはそれを使ってないんだよね(明らかなイデオロギー的理由でGmailを使ってないから)。

Googleはしっかりしたメールの悪用監視をしてるけど、Gmailだけなんだよね?非Gmailの受信箱に届いたGmailアドレスからのスパムをどこで報告できるの?自己ホスティングしてる人や小規模プロバイダーを使ってる人にとって、Googleは本当に面倒くさい存在だよ。せめて送信側では良い市民でいてほしいけど、そうじゃないみたい。メールを殺してるよ。

それがしっかりしたメール監視だとは全然思わない。恥ずかしいくらいひどいよ。Gmassなんて存在するべきじゃないし、営業の人たちは仕事を失うべきだね。

この場合、他のケースでもそうだけど、彼らは自分のGmailアドレスから直接メールを送ってるわけじゃないよね。被害者のメールアドレスを他のGoogleサービスに追加して、Google自身が招待メールを送ってるんだ。もし「Googleヘルプデスク - パスワードリセット」みたいなサービス名をつけたら、Googleからの招待メールはすごく公式に見えるけど、メール内のURLは攻撃者がコントロールしてる。これはフィッシングに使われてる古い手法だよ。スパム報告しても何も変わらない、だって公式のGoogleメールを報告してるんだから。

あなたが言ってること、つまり自分の会社の営業の人たちが実質的にスパマーだと言ってるように聞こえるよ。

最近、支払い通知として大量のGoogleカレンダーの招待が来てるんだけど、これが関係してるのかな。無効だってわかってるから、報告はしてないよ。Googleの仕事を手伝う気はないし。

そのスパム手法は前に修正されたと思ってたんだけど。

(Google)AppSheetからのリクルートメールが来てる人いる?すごくうまくできてるよ。アメリカの大手ブランドを真似してる。Googleが十分に対処してないのを見て、FCCにAppSheetを報告した。スパムメールのフォーマットも同じだし、受信トレイに入る経路も同じ。でも、やっぱりイライラする。もし誤って表現されたブランドのフィッシングメールのアドレスがあれば、そのメールを転送してみるといいよ。彼らが力を持ってるはずだから。

Gmail、Outlook、Salesforceが、ブラックリストを通過するスパムの約90%を生み出してる。Salesforceは簡単に対処できるよ。うちのネットワークからSalesforceからのものは全部ブロックしてるから。スパマーに100%使われてる感じだし。GmailとOutlookは大きな問題で、彼らのスパム問題に対処する方法がないんだよね。

Mailchimpも追加しておいて。Mailchimpを使ってる人からのメールで、スパムじゃないのは一度も受け取ったことがないよ。

私の経験では、Google以外はみんなちゃんとしてるよ。AzureやSendgridから大量のスパムを受け取ってたけど、それは最終的に止まった。今は受け取るスパムの80%がGoogleネットワークから、主にGoogle Cloudから来てる。

うん、Salesforceは明らかにGmailで何らかのホワイトリストを持ってるね。そのドメインからはめちゃくちゃなメールがたくさん来るよ。

残念ながら、効果的なのは、違反アカウントを一斉に報告するボットサービスを雇うことだけだね。

ここ2〜3年ずっと見てきたけど(4つのPostfixサーバーの管理者)、Gmailはもはやホワイトリストに入れられない。スパムやフィッシングが多すぎる。一方で、ユーザーが自分のドメインからTwitterやLinkedInの通知をGmailアカウントに転送すると、Googleは「送信が早すぎる」と言って疑いを持つ(IPを制限したりブロックしたりする)。おかしいよね。

Google、Amazon、Microsoftに悪用を報告するのは諦めたよ。報告は無視されるみたいで、大手プロバイダーは何もしない。FSFがその影響力とメディアの存在感で何かできることを願ってる。Google、Microsoft、Amazonが私のスパムの主要な発信源だ。最近は、スパムはここから来てる。今や、ブロックするには大きすぎる存在になってる。私たちがこの状況を放置して怠けてたから、こうなったんだよね。この議論の中で、どれだけの人がGmailを主要なメールサービスとして使ってると思う?

YouTubeで数日間ボットアカウントを報告したんだけど、反応は「虚偽の報告が多すぎるとバンされるよ」ってポップアップが出たくらい。Googleが何を考えてるのか分からないけど、ボット対策がそんなに下手なわけないよね。努力してないなら別だけど。コピペのテキストみたいな簡単な手口もまだ通用してるし。

私じゃないけど、ほとんどの人は月10ドル払うのにアレルギーがあるよね。メールはビール1杯分の価値があると思うけど。

誰かが自分のウェブアプリをGoogle Workspaceのメールに接続したら、そのウェブアプリがハッキングされたらしい。Google Workspaceのメールは、SMTPサーバー経由で送れるメールの種類に対してかなり寛容なんだよね。

5分ごとにスパム電話がかかってきて(Googleのコールスクリーニングでブロックされたけど)、攻撃者がAWSバケットのURLを送信するミスをしたんだ。それでAmazonに悪用報告を提出したら、なんとAmazonがそのスパムグループを一掃してくれた。以来スパムは来てないよ。スパムにポルノや不適切な画像があるって言ってみるのもいいかもね?

Googleに人間がいて、私の問題を調べて行動を起こしてくれたのは、警察への報告書をGoogleの法務部門に書留で送った後だった。そこには、誰かが私のビジネスをGmailアドレスで偽装して詐欺を試みていることを説明した手紙も添えたんだ。これらの手続きをするのは面倒だったけど、他にこの人を止める手段がなかったから、やる価値はあったよ。全部で約3時間かかったけどね。

FSFがスパムをブロックするのは検閲だって言ってた頃を覚えてるよ。彼らが目を覚ましたのを見るのはいいね。