facebookのメッセージが送信者偽装できるとかなんとかの話

Facebookのメッセージは送信者を自由に偽装して送れることが判明 - 頭ん中

試してみたけど正しい(逆引き可とかSPFがpassとか)場合と偽装している場合とで迷惑メール的な見分けがつかなかった、やばそう

　仕事終えて帰ろうかなと思ったら上の話題が流れてきた。わたしは信仰上の理由によりfacebookが大嫌いなんだけど、どういうことか確認もせずにレッテル張りのような言及をするやつも大嫌いなので、実際にどうなるのかを試してみることにした。このためだけに2ヶ月ぶりぐらいにfacebookにログインする。お帰りなさいとかいわれる。クソが。

　検証に利用するメールアドレスのドメインとはまったく関係のないネットワーク内でMTAがうごいているマシンを用意、 telnet localhost 25 して、mail from:をユーザAがfacebookのログインに使っているメールアドレス、rcpt to:をユーザBの***@facebook.comのアドレスに指定、適当にdataを入れて送信するとユーザBのfacebookメッセージにユーザAからのメッセージが届いている状態になった。内容はdataで入力したものになってる。

　つぎにMTAは正規のものを用意し、ほかは同じ条件で送信してみた。結果は上と同じでfacebook上でメッセージとして表示された。表示されたHTMLをみても偽装して送信したものと正規に送信したものと見分けがつかない感じだった。迷惑メールっぽい情報が表示されず、どちらも一緒くたにされちゃうのはちょっとまずいんじゃないかなとか思いながら帰宅した。

　帰宅した後にもう一度似たような条件で試してみたら、今度は不正な方はメッセージとして表示すらされなくなったように見えた。帰宅前とは異なるネットワークやドメインで試したので正確な情報ではない。わたしはfacebookにログインしていると自殺衝動が沸き起こるので、長時間の検証は危険である。今まさに対策をしているのかどうかは定かじゃない、ずいぶん前から認識されていて、ネットワークの状況に依存するという話もある。中の人間がどう動いているかは知らないし、言ってしまえばfacebookを使わなければすむだけの話なので、実際のところどうなろうがわたしには関係がない。眠いので寝るべきだと思う。

　なんとなくどういう状況かは理解できたし、もはや興味がなくなった。いい機会なのでアカウントを消そうかとも思ったけど、こういう事例があったときに検証できるのは便利だという側面もあるので残しておくことにした。勤務先が以前の会社のままになっていたので密かに直して、facebook.comが発行しているcookieを全部削除してログアウトした。