✉️

テストメールの宛先には気を付けよう

2023/07/24に公開

先に結論

開発でもインフラでも、テストメールを飛ばすケースが多くあると思います。
テストだから、という理由でメールドメインを「test.com」とか「hogehoge.com」とかにしていませんでしょうか。
もし、思い当たる節があるようでしたら、すぐにでも、「example.com」にしておきましょう。

理由

下の画像を見てもらったほうが早いですね。
(IP部分を隠す必要があるのか、自分でもよくわからないですが念のため)

実際にこのドメイン、使われています。
外部にメールを送る環境でなければ問題ないのでは?とか、
ホスト部が一致していなかったら大丈夫なのでは?と思うかもしれませんが、
ふとしたきっかけで外部に通信できてしまうかもしれませんし、
メールアドレスが存在しない場合でも、悪意のある人間がログを見たら、アドレスを作成し、受信できる設定をすることも出来ます。

パスワード再設定とかのメールを受信出来てしまうと、
最悪の場合、環境に不正ログインされてしまう可能性もあります。

対応

下手にドメイン名を考えるのではなく、予約されている以下のドメインを使いましょう。
冒頭ではexample.comを例に挙げましたが、他にもあります。

  • example.co.jp
  • example.ne.jp
  • exampleX.jp
  • exampleX.co.jp
  • exampleX.ne.jp
    ※「X」部分には、「0」~「9」の数字を付ける

おわりに + 余談

こういうのって改めて教えてもらえるケースってそこまでないような気がします。
ふとした会話の中で出てきたりすることが多いような…。
(お恥ずかしながら、自分の場合は個人で遊んでいて、メールの送信エラーログを見て気付いたのがきっかけでした)

また、少し話がそれますが、一時期話題になった、
IPアドレスの例示として、「xxx.xxx.xxx.xxx」と使うのもマズいです。
下手すると「xxx.xxx」というアダルトサイトにリダイレクトされます。
※「下手すると」というのは、話題になって管理者が設定変更したのか、
 「xxx.xxx.xxx.xxx」にアクセスすると、今はEC2ページが出てきます。

当時、会社のコミュニケーションツールで爆死した人は多そうです。。。

参考

Discussion