大きな添付ファイル等の受信制限 - 秀丸メール・要望関係／問い合わせ窓口 - スレッド00395, 2000/11/28

大きな添付ファイル等の受信制限

パシリ１号 さん　00/11/28 04:14

どうもパシリ１号です

今回はお願いがあって書かせて貰いました
先日知り合いから大きな添付データのあるメールを頂いたのですが
私が家以外の複数箇所でメールを受けるのですが

あまり大きなメールを送受信するのは好ましくないところで
大きなメールを受信することになってしまいました

受信中に中断しても最後まで読み込んでしまうので・・・

そこでお願いがあります
1.大きなメールには取り込む前に警告を出せるように出来る(警告の出るサイズは任意)
2.自動的に大きなファイルは拒否
3.受信中に中断できる

のどれかの機能を搭載して欲しいのですが
出来ることであればよろしくお願いします

後もう一つ要望として新規メール時の宛先選択は
ダブルクリックでto:に設定されると非常に便利に思えます
修正よりも選択の方が多いと思うので
修正は右クリックメニューで十分だと思うのですが・・・

これもご検討して頂ければうれしいです

RE:00395 大きな添付ファイル等の受信制限

長澤薫 さん　00/11/28 09:27

こんにちは、長澤です。

> そこでお願いがあります
> 1.大きなメールには取り込む前に警告を出せるように出来る(警告の出るサイズは
任意)
> 2.自動的に大きなファイルは拒否
> 3.受信中に中断できる
>
> のどれかの機能を搭載して欲しいのですが
> 出来ることであればよろしくお願いします

私も一票！　数100キロバイトのメールをPDC接続で受信したくありま
せん（苦笑）。個人的には2.が良いです。何故なら、メールの受信中
は大概別のことをしているから、警告が出るのだと……個人的、です
が。

INSERT INTO YourNote(Name, EMail1, EMail2, Web, Message)
VALUES('Kaoru Nagasawa',
'curly@ic-net.or.jp', 'xxxxx@tohokuotas.co.jp',
'http://www.ic-net.or.jp/home/curly/',
'☆記念スタンプと旅もようの事なら!!');

RE:00397 大きな添付ファイル等の受信制限

taku さん　00/11/28 10:09

>こんにちは、長澤です。
>
>> そこでお願いがあります
>> 1.大きなメールには取り込む前に警告を出せるように出来る(警告の出るサイズは
>任意)
>> 2.自動的に大きなファイルは拒否
>> 3.受信中に中断できる
>>
>> のどれかの機能を搭載して欲しいのですが
>> 出来ることであればよろしくお願いします
>
>私も一票！　数100キロバイトのメールをPDC接続で受信したくありま
>せん（苦笑）。個人的には2.が良いです。何故なら、メールの受信中
>は大概別のことをしているから、警告が出るのだと……個人的、です
>が。
>

そういった環境の人の為に「リモートメール」があると
思っているのですが…。
メニュー「送受信」－「リモートメール」で受信したい
メールだけを受信するではどうでしょ？

RE:00400 大きな添付ファイル等の受信制限

長澤薫 さん　00/11/28 10:44

こんにちは、長澤です。

> そういった環境の人の為に「リモートメール」があると
> 思っているのですが…。
> メニュー「送受信」－「リモートメール」で受信したい
> メールだけを受信するではどうでしょ？

まあ、何度も接続⇒切断が面倒でない方はそうかもしれませんが、前
のメールにも書きましたが、受信動作に入ると（色んな意味で）別の
ことをしている可能性が高い私としては、面倒なのです。

// だってマウスを使うメーラすら面倒がる人間ですから

そもそもリモートメールって『受信すべきメールがあることを判って
いる場合』に使うから効果的だと思いますし、単純にメールボックス
から取ってきたい──ケド、大きいのはイヤな場合には選択動作がま
どろっこしいと思うのです。

でも、ま。

個人的（←こればっかだな）には、PDC接続に使うときの通話料は自
分持ちじゃないので、懐がいたくなることはないので（笑）、マイノ
リティなら別に今のままでも良いです。
ただ、良心の呵責が（笑；んじゃ面倒がるなってコトですけどね）。

INSERT INTO YourNote(Name, EMail1, EMail2, Web, Message)
VALUES('Kaoru Nagasawa',
'curly@ic-net.or.jp', 'xxxxx@tohokuotas.co.jp',
'http://www.ic-net.or.jp/home/curly/',
'☆記念スタンプと旅もようの事なら!!');

RE:00403 大きな添付ファイル等の受信制限

taku さん　00/11/28 11:21

こんにちは、takuです。

>こんにちは、長澤です。
>
>> そういった環境の人の為に「リモートメール」があると
>> 思っているのですが…。
>> メニュー「送受信」－「リモートメール」で受信したい
>> メールだけを受信するではどうでしょ？
>
>まあ、何度も接続⇒切断が面倒でない方はそうかもしれませんが、前
>のメールにも書きましたが、受信動作に入ると（色んな意味で）別の
>ことをしている可能性が高い私としては、面倒なのです。
>
>そもそもリモートメールって『受信すべきメールがあることを判って
>いる場合』に使うから効果的だと思いますし、単純にメールボックス
>から取ってきたい──ケド、大きいのはイヤな場合には選択動作がま
>どろっこしいと思うのです。
>

そうなんですか…。

普通、メール受信に移動体通信などを使用する場合、通信料が高いので
「必要なメールだけを取得したいのでは」と考え、
「リモートメール」が使えないかなって思ったのですが…。

RE:00406 大きな添付ファイル等の受信制限

長澤薫 さん　00/11/28 13:06

こんにちは、長澤です。

> 普通、メール受信に移動体通信などを使用する場合、通信料が高いので
> 「必要なメールだけを取得したいのでは」と考え、
> 「リモートメール」が使えないかなって思ったのですが…。

仕事で使っている（このアカウントとは別の）アカウントなので（だ
から通話料は私持ちじゃないのです）、全てが必要なメールなのです。
で、大きな添付物は、たいてい修正PGだの、エラーが起きるデータだ
のなので、前もって『送るから』（または『送って』）という『電話
連絡』が来るのです。
それ以外で大きな添付物と云えば、どこから嗅ぎつけてくるかHTML-DM
だったり、緊急性のない資料だったりする場合が大きいので、先ほど
の賛成票になったのでした。

と云うわけで、『全てが必要なメール』ってのはマイノリティみたい
なので、それなら別に今のままでいいですよん。

INSERT INTO YourNote(Name, EMail1, EMail2, Web, Message)
VALUES('Kaoru Nagasawa',
'curly@ic-net.or.jp', 'xxxxx@tohokuotas.co.jp',
'http://www.ic-net.or.jp/home/curly/',
'☆記念スタンプと旅もようの事なら!!');

RE:00395 大きな添付ファイル等の受信制限

秀まるお さん　00/12/04 17:38

　サイズによる受信制限の機能を付ける場合、受信制限で受信しなかったメールをど
のようにユーザーに見せるかが難しい所です。

> 1.大きなメールには取り込む前に警告を出せるように出来る)

　これは、自分がパソコンの前にいなかったりするとずっとオンラインのまま停止し
っぱなしになってまずいと思います。

> 2.自動的に大きなファイルは拒否

　拒否するように修正するのは簡単なんですが、それだと拒否されたメールがあった
ことに永久に気づかなくて困ります。Becky!なんかの場合だと、メールのヘッダ部分
だけダウンロードして一覧中に題名だけは出るような作りだそうですけど。

> 3.受信中に中断できる

　受信動作に入ってしまってからそのメールだけスキップさせるのはPOP3の仕組み上
無理だと思います。

　ってことで、やるとしたらBecky!みたいに題名だけダウンロードして、後でダウン
ロード出来るようにするってことになると思います。っていうのが一番面倒なんです
が…。

RE:00395 大きな添付ファイル等の受信制限

さすらい さん　00/12/05 16:50

僕も特定のメールをサーバーに残す設定をつくることついて1票です。

そういう設定があれば、

html形式のメールや、添付ファイルのあるメール、暗号化されているメールなどを他
のメーラーで受信する事が出来るからです。

鶴亀メールをいつも使うメーラーにして、そういう特殊なメールだけOutlookExpree
で受信するという使い方が出来て便利だと思います。

RE:00594 大きな添付ファイル等の受信制

ひろさん　00/12/05 18:29

　さすらいさん今日は、ひろです。半分興味本位です。
> html形式のメールや、添付ファイルのあるメール、暗号化されているメールなどを他
> のメーラーで受信する事が出来るからです。
　何故他の MUA で受信する必要があるのでしょうか?
　もし現在鶴亀が対応していない、添付形式、文字 code、暗号化された
mail を他の MUA で見たいということで有れば、受信 log を利用して
export なり file save すれば良いとおもいます。

　他にこういう場合に便利だということで有れば、お教えください。

RE:00596 大きな添付ファイル等の受信制

なんと さん　00/12/05 18:36

なんとです。

on Tue, 05 Dec 2000 18:29:08 +0900
in [turukame.2:00596| RE 00594 大きな添付ファイル等の受信制]
ひろ <xxxxxxxxxx@maruo.co.jp> wrote:
> 　さすらいさん今日は、ひろです。半分興味本位です。
> > html形式のメールや、添付ファイルのあるメール、暗号化されているメールなど
>を他
> > のメーラーで受信する事が出来るからです。
> 　何故他の MUA で受信する必要があるのでしょうか?

　Postpetとか。今手元に無いので確認できないですが、ファイルか
らインポートってできましたっけ？

> 　もし現在鶴亀が対応していない、添付形式、文字 code、暗号化された
> mail を他の MUA で見たいということで有れば、受信 log を利用して
> export なり file save すれば良いとおもいます。

　どちらにしてもサーバーから受信する方が楽ですよね。ファイルを
経由するのってけっこう面倒くさいし。

--
なんと
mailto:xxxxx@post.office.ne.jp

RE:00596 大きな添付ファイル等の受信制

さすらい さん　00/12/05 18:50

　こんにちは、ひろさん、皆さん。さすらいです。

>>何故他の MUA で受信する必要があるのでしょうか?
>>もし現在鶴亀が対応していない、添付形式、文字 code、暗号化された
>>mail を他の MUA で見たいということで有れば、受信 log を利用して
>>export なり file save すれば良いとおもいます。
>>他にこういう場合に便利だということで有れば、お教えください。

もちろんそういう方法はあると思いますが、手動でやるのは手間がかかるし、
万一、読みとれなかったりしたら大変なので・・・。

　それと、僕が一番気にしているのはセキュリティ面です。htmlメールを鶴亀
メールで読むと、テキスト形式で出てきて、添付ファイルとして、htmlファイル
が付いてきますよね。

　そこで迂闊に、htmlファイルを開いてしまうと、そのhtmlファイルはローカル
に保存されているので、何でもありですよね。その点、OutlookExpressなどで
は、htmlメールは、セキュリティ設定できます。だから出来たらhtmlメールなど
はOutlookExpressで開きたいなあと思っています。

　たしかに、鶴亀メールの場合、htmlをエディタで開いてタグの内容を確認して
から、開くという方法もありますが、手間がかかりますよね。

RE:00598 大きな添付ファイル等の受信制

さすらい さん　00/12/05 18:59

　こんにちは、皆さん。さすらいです。

　html形式の添付ファイルについてのセキュリティについて以下のところに記述
がありました。参考にしてください。
http://www.onsystems.co.jp/SecurityHole-HTMLView.html

　鶴亀メール時代でセキュリティ対策を行うか、もしくは、添付ファイル付きや
html形式のメールについて、サーバーに残し他のメーラーで受信するなどの、対
策をとる必要があると思います。

RE:00596 大きな添付ファイル等の受信制

ひぐち さん　00/12/05 19:41

ひろさんこんにちは樋口です。

>　何故他の MUA で受信する必要があるのでしょうか?
・・・・
>　他にこういう場合に便利だということで有れば、お教えください。

さすらいさんじゃないけど・・
ポスペなんでよね。

の_の☆彡 ☆☆☆☆☆☆☆☆☆☆☆
樋口由佳 <xxxxxxxx@hi-ho.ne.jp>
http://www.hi-ho.ne.jp/kellopie/
wrote at 19:40 12/05/2000

RE:00601 大きな添付ファイル等の受信制

マイケル さん　00/12/05 20:06

マイケルです。

ひぐちさんの本日午後 7時41分の
“RE 00596 大きな添付ファイル等の受信制”に関して：
====

>ポスペなんでよね。

そう言えば、Postino Palma ってメーラは［メール削除］のオプショ
ンに“ポスペメールを残す”ってのがありますね。

---
Miguel Thomas Lopez-Cai
December 5, 2000; 20:05 +0900 (JST)

RE:00598 大きな添付ファイル等の受信制

ひろさん　00/12/05 20:08

　なんとさん、さすらいさん今日は、ひろです。纏めレスにしました。
　#597
> 　Postpetとか。今手元に無いので確認できないですが、ファイルか
> らインポートってできましたっけ？
　import 出来ない MUA というのは考慮していませんでした。

　##そういえば、Winbiff には「Postpet の mail は server に残す」とい
う option が有ったなあ～。

> 　どちらにしてもサーバーから受信する方が楽ですよね。ファイルを
> 経由するのってけっこう面倒くさいし。
　楽なのは理解できますが、そういったことで infrastructure に負担を欠
けるのは、躊躇します(^^;。まあ手間に関しては、頻度など使い方によって
変わってくるので、一概にこれで良いとは言えませんね。

　#598
> もちろんそういう方法はあると思いますが、手動でやるのは手間がかかるし、
> 万一、読みとれなかったりしたら大変なので・・・。
　MUA が text file の import を support していれば、import する MUA
が対応していない文字 code の場合は別として、読み取れないことは無いと
思います。対応していない文字 code の場合や、伝送経路が不安定などの理
由で data が破壊された場合は、受信をしても同じでしょう。

> 　そこで迂闊に、htmlファイルを開いてしまうと、そのhtmlファイルはローカル
> に保存されているので、何でもありですよね。その点、OutlookExpressなどで
> は、htmlメールは、セキュリティ設定できます。だから出来たらhtmlメールなど
> はOutlookExpressで開きたいなあと思っています。
　話が離れてしまう可能性がありますが、security を気になさるなら、そ
もそも MS の MUA を使うのは問題があるのではないでしょうか? security
hole が多く、cracker の標的になりやすいのには定評があります(^^)。

　security を気になさるなら、web browser の設定をしっかりと行った上
で、web browser で閲覧した方が安全ではないでしょうか?

　##長々と書いたが、import 出来ない物があるとどうにもならないなあ～。

RE:00600 大きな添付ファイル等の受信制

ひろさん　00/12/05 20:48

　秀まるお様、さすらいさん今日は、ひろです。
> 　html形式の添付ファイルについてのセキュリティについて以下のところに記述
> がありました。参考にしてください。
> http://www.onsystems.co.jp/SecurityHole-HTMLView.html
　結構古い資料ですね(^^)。これって結局 ActiveX を無効にしたり、IE を
使わなければすむような気が....。私は怖いので、IE を使うときも ActiveX
は OFF にしています。
　鶴亀の場合も、HTML mail は web browser を使用する仕様になっている
ので、「インストール」の項目から、辿れる形で help に記載しておくとい
うのも有りかなと思います。
　##確かに不便な場合も有るが、security との兼ね合いから何処に線を引
くかが security policy で重要ですからしょうがないなあ～。

　本題ですが、header を異常に長くして、buffer over flower を起こし、
任意の program を走らせることが可能という security hole が 2000/8 頃
に多くの MUA で有りました。これは user が添付を開く・開かないに関わ
らず、mail 本文を見ただけで起き得るという強烈なものだったと記憶して
います。こちらに対しての対策は済んでいるのでしょうか?

　P.S 元記事を見付けられた方がいらっしゃれば教えてください。

RE:00604 大きな添付ファイル等の受信制

さすらい さん　00/12/05 21:05

　こんにちは、ひろさん。さすらいです。

>>結構古い資料ですね(^^)。これって結局 ActiveX を無効にしたり、IE を使わ
なければすむような気が....。

鶴亀メールはhtmlメールの場合、htmlの添付ファイルが付くのですが、試して
みたところ、セキュリティレベルは、「マイコンピュータ」でした。ということ
はActiveX を無効に出来ないということです。

　ちなみに、OutlookExpressの場合、htmlメールは、「制限付きサイト」か「イ
ンターネット」のどちらかの設定したセキュリティレベルになっているので、
ActiveX は通常無効になっておりますし、テキストのメールにhtmlが添付ファイ
ルとして、付いていても「インターネット」のセキュリティレベルですので、
ActiveX は通常無効になっています。

　僕が怖いのが、X-Mailerを見て、セキュリティホールのあるメーラーがねらい
打ちされる可能性があるということです。

RE:00607 大きな添付ファイル等の受信制

"y.iida" さん　00/12/05 21:32

ボク自身は、作って頂いた「HTML部は廃棄」をオンにしているので
あれこれ言う資格はないのですが・・(^^;;;

> 鶴亀メールはhtmlメールの場合、htmlの添付ファイルが付くのですが、
> 試してみたところ、セキュリティレベルは、「マイコンピュータ」でし
> た。ということはActiveX を無効に出来ないということです。

ボクの記憶ですが、（間違っていたらごめんなさい）
確か、自分の中にある物は信じて、外からの物は信じない
というのが、Windowsだと記憶しています。
（だからメーラー開発各社ご苦労をなされている）

> 僕が怖いのが、X-Mailerを見て、セキュリティホールのあるメーラーが
> ねらい打ちされる可能性があるということです。

こればかりは仕方ないですよね。イタチごっこですから。

==以降、ボクの個人的な思いですから読み捨ててください==

#「HTMLメールは悪い」というつもりもありませんし
#　もちろん、ここで議論するつもりもありませんので悪しからず

鶴亀は、エディタ（文字）に拘り続けて欲しいですし、
Virusのイタチごっこに振り回されるのは苦しいので
HTMLメールすなわち、Content-Type: text/enriched;
（または、Content-Type: multipart/alternative;）が、
HTMLとして見える形には、サポートしないと思っています。

強いて言えば（「気休めだ」とお叱りを受けるかもしれませんが）
「ウイルス等の可能性があります。本当に開きますか？」
ぐらいかなぁ？(^^;;;

RE:00609 大きな添付ファイル等の受信制

さすらい さん　00/12/05 21:42

　こんにちは、y.iidaさん、さすらいです。

>>鶴亀は、エディタ（文字）に拘り続けて欲しいですし、
>> Virusのイタチごっこに振り回されるのは苦しいので
>> HTMLメールすなわち、Content-Type: text/enriched;
>> （または、Content-Type: multipart/alternative;）が、
>> HTMLとして見える形には、サポートしないと思っています。

　僕も鶴亀メールはテキスト形式のこだわるのが良いと思います。それで最初の
話に戻るのですが、html形式のメールや添付ファイル付きのメールなどをサー
バーに残す設定があると良いなあと思います。

>> 強いて言えば（「気休めだ」とお叱りを受けるかもしれませんが）
>> 「ウイルス等の可能性があります。本当に開きますか？」
>> ぐらいかなぁ？(^^;;;

　うーん、それってほんとうに気休めかも・・・。(^-^)　最初のうちは気にし
ていても、だんだん無条件で押してしまうんですよね。これは人間の性なので
しょうか？？？

RE:00562 大きな添付ファイル等の受信制限

"y.iida" さん　00/12/05 22:30

>　サイズによる受信制限の機能を付ける場合、受信制限で
> 受信しなかったメールをどのようにユーザーに見せるかが難しい所です。

じっと鶴亀を見ていての「思いつき」ですが、
ステータスバーにもう一つ枠を頂いてバーの右あたりに
現在のServerにある場合は（残ってる）お知らせアイコンを出しておく
というのはどうでしょう？（IEのゾーンを示す地球みたいな存在）
あるいは、もっと単純にTreeViewのAccountアイコンを返るとか？
要するに、何か残ってるよの合図。
で、これだと、ボクのモバイル機は常時表示になってしまうので
制限は赤色（最も強い）、残ってる時は黄色（次に強い）とか・・？？

半端なリモートメール情報ですが、何かあるぞ！は一目で分かりますよね。
　=故意に残したのかもしれないし、
　=(これから作る)受信制限で引っかかったのかもしれない
あとは、リモートメールで見て確認してコース
候補しては、サイズ制限／HTMLメール／ポスペの３点ですかね？
（SubjectやFromも欲しいという人が出るかもしれませんけど
　正規表現とか出るだろうから、あまり増やしたくないなぁ(^^;）

という案は、如何？　＞皆さん＆秀まるお様

RE:00597 大きな添付ファイル等の受信制

きいろいまふらあ さん　00/12/06 00:13

まふです。

>　Postpetとか。今手元に無いので確認できないですが、ファイルか
>らインポートってできましたっけ？

私のポスペは古い（Ver.1.1）ので参考にならないかもしれませんが、
できません。
仮にできたとしても、ポスペは、（ペットが持ってきたメールの場合）
自動的に返信するつくりになってるので、うまくいかないんじゃないかな？
インポート時も、自動的にダイヤルアップして送信する、とは思えない。

RE:00604 大きな添付ファイル等の受信制

きいろいまふらあ さん　00/12/06 00:13

まふです。

>　本題ですが、header を異常に長くして、buffer over flower を起こし、
>任意の program を走らせることが可能という security hole が 2000/8 頃
>に多くの MUA で有りました。これは user が添付を開く・開かないに関わ
>らず、mail 本文を見ただけで起き得るという強烈なものだったと記憶して
>います。こちらに対しての対策は済んでいるのでしょうか?

勘違いだったらごめんなさい。
これってターゲットはメールサーバですよね？
鶴亀が対策するものなんでしょか？

あ、そーいうメールを送信できないようにする、ってことですか？

うわー、はずしてそうで怖い。

RE:00604 大きな添付ファイル等の受信制

hont さん　00/12/06 00:28

どもん、本戸です。

ひろさんが Tue, 05 Dec 2000 20:48:31 +0900に書かれた
「turukame.2:00604| RE 00600 大きな添付ファイル等の受信制」
Message-Id:<xxxxxxxxxxxxxx@maruo.co.jp>から
> > http://www.onsystems.co.jp/SecurityHole-HTMLView.html
> 　結構古い資料ですね(^^)。これって結局 ActiveX を無効にしたり、IE を
> 使わなければすむような気が....。私は怖いので、IE を使うときも ActiveX

上記URLの内容はIEの設定とは全く関係ありません。

秀まるおさん、上記URLよく読んでHTML表示対応する際には注意してください
ねん。

--
ほんと mailto:xxxx@rr.iij4u.or.jp

RE:00624 大きな添付ファイル等の受信制

hont さん　00/12/06 00:44

どもん、本戸です。

hontさんが Wed, 06 Dec 2000 00:28:16 +0900に書かれた
「turukame.2:00624| RE 00604 大きな添付ファイル等の受信制」
Message-Id:<xxxxxxxxxxxxxx@maruo.co.jp>から
> > > http://www.onsystems.co.jp/SecurityHole-HTMLView.html
> > 　結構古い資料ですね(^^)。これって結局 ActiveX を無効にしたり、IE を
> > 使わなければすむような気が....。私は怖いので、IE を使うときも ActiveX
>
> 上記URLの内容はIEの設定とは全く関係ありません。
↑
すいません、ねぼけてて変なこと書いてました、上のは忘れてねん。

> 秀まるおさん、上記URLよく読んでHTML表示対応する際には注意してください
> ねん。
↑
これはよろしくねん。秀まるおさん

--
ほんと mailto:xxxx@rr.iij4u.or.jp

RE:00607 大きな添付ファイル等の受信制

ひろさん　00/12/06 15:40

　さすらいさん今日は、ひろです。
> 鶴亀メールはhtmlメールの場合、htmlの添付ファイルが付くのですが、試して
> みたところ、セキュリティレベルは、「マイコンピュータ」でした。ということ
　この security level の「マイコンピュータ」というのが見付けられなかっ
た大馬鹿者ですが(^^;、ActiveX を OFF に出来ないとなると、IE を使わな
いという選択肢が減り、(特に初心者には) 現実的では有りませんね。

　秀まるお様の security policy を知りたいところです。

RE:00623 大きな添付ファイル等の受信制

きいろいまふらあ さん　00/12/11 16:33

私が昔コメントしたっきりのようで、ちょっと気になるので蒸し返し。

ひろさん：
> >　本題ですが、header を異常に長くして、buffer over flower を起こし、
> >任意の program を走らせることが可能という security hole が 2000/8 頃
> >に多くの MUA で有りました。これは user が添付を開く・開かないに関わ
> >らず、mail 本文を見ただけで起き得るという強烈なものだったと記憶して
> >います。こちらに対しての対策は済んでいるのでしょうか?

まふ：
> 勘違いだったらごめんなさい。
> これってターゲットはメールサーバですよね？
> 鶴亀が対策するものなんでしょか？

webに情報ないかとちょっと探ったのですが、
それらしいものが見つからなかったです。＜探し方が悪いんです、きっと。
どなたか、ご存知ありません？

RE:00744 大きな添付ファイル等の受信制

マイケル さん　00/12/11 17:17

マイケルです。

きいろいまふらあさんの本日午後 4時33分の
“RE 00623 大きな添付ファイル等の受信制”に関して：
====

ひろさん：
>>>　本題ですが、header を異常に長くして、buffer over flower を起こし、
>>>任意の program を走らせることが可能という security hole が 2000/8 頃
　：
まふさん：
>> 勘違いだったらごめんなさい。
>> これってターゲットはメールサーバですよね？

あやふやなのに書くなって言われそうだけど…。^^;

メールサーバだけじゃなく、サーバに対してそういう攻撃を仕掛け
ることは可能ですね。
ただし、今は、たいていのサーバ用ＯＳはその対策がしてあるはず
です。（ウチのはしてる、…してあるつもり ^^;）

妙なメールを送りつけて、メールソフトにバッファ・オーバフロー
を起こさせ、任意のプログラムを走らせることも、可能みたいな気
がします。実際にそういう被害に遭ったって話は耳にしないけど…。

ただ、本当にそういうことができる可能性があるんだったら、対策
は施しとくべきでしょうね。
# “完全な”対策ってできるのかなぁ…。

---
Miguel Thomas Lopez-Cai
December 11, 2000; 17:15 +0900 (JST)

RE:00744 大きな添付ファイル等の受信制

kaji さん　00/12/11 17:22

梶原です

きいろいまふらあさんの<xxxxxxxxxxxxxx@maruo.co.jp>から
>ひろさん：
>> >　本題ですが、header を異常に長くして、buffer over flower を起こし、
>> >任意の program を走らせることが可能という security hole が 2000/8 頃
>> >に多くの MUA で有りました。これは user が添付を開く・開かないに関わ
>> >らず、mail 本文を見ただけで起き得るという強烈なものだったと記憶して
>> >います。こちらに対しての対策は済んでいるのでしょうか?
>まふ：
>> 勘違いだったらごめんなさい。
>> これってターゲットはメールサーバですよね？
>> 鶴亀が対策するものなんでしょか？

>webに情報ないかとちょっと探ったのですが、
>それらしいものが見つからなかったです。＜探し方が悪いんです、きっと。
>どなたか、ご存知ありません？

セキュリティホールといえばここでしょう
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

で、2000年 8月
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2000/08.html

RE:00744 大きな添付ファイル等の受信制

ひろさん　00/12/11 18:30

　きいろいまふらあさん今日は、ひろです。
　まず icon についての話題は概ねその通りだと思いますが、もうレスを付けるのは
止めておきます(^^)。

　閉話休題 (というよりこちらが本題)
> > 勘違いだったらごめんなさい。
> > これってターゲットはメールサーバですよね？
> > 鶴亀が対策するものなんでしょか？
元の発言を読み飛ばしていました(^^;。sendmail など MTA も version に
よって起きるとおもいますが、それに限ったことではありません。ただ多く
の MUA は既に対策がなされているので、更新履歴に載っているとおもいま
す。

　少なくとも Winbiff (V2.31PL3(2000/8/20))と Becky! (Ver 1.26.04
(2000/08/18)) は載っていました。Al-Mail は更新履歴が見つからない(^^;。

RE:00746 大きな添付ファイル等の受信制

きいろいまふらあ さん　00/12/11 19:11

梶原さん、情報ありがとうございます。

> セキュリティホールといえばここでしょう

読み耽ってしまいました。

> >> これってターゲットはメールサーバですよね？
> >> 鶴亀が対策するものなんでしょか？

思い切りはずしてましたね。
失礼しました。＞ひろさん

サーバを落としてrootでloginするんかなぁ、などと思い込んでいました。
素人目にはどうしてMUAを落とすと好きなプログラムを実行できるのか
まだ、よくわかってません。勉強せねば。(^^;

で、鶴亀で対策が必要なのか私にはわからない(^^;わけですが、
よしなにご検討ください。＞まるおさん

＃と書くのは話の腰を折った私の義務かと。

RE:00746 大きな添付ファイル等の受信制

ひろさん　00/12/11 19:51

　kaji さん今日は、ひろです。
> セキュリティホールといえばここでしょう
> http://www.st.ryukoku.ac.jp/~kjm/security/memo/
>
> で、2000年 8月
> http://www.st.ryukoku.ac.jp/~kjm/security/memo/2000/08.html
　情報有り難うございます。後ほど読んでみます。

RE:00395 大きな添付ファイル等の受信制限

秀まるお さん　00/12/15 13:16

　今やっとここのスレッドの未読（過去に僕がコメント発言した後の発言）を読んで
います。で、まとめてコメントさせていただきます。

■サイズ以外での受信制限

　例えばHTMLメールの場合は受信しないとか、そういうことは技術的には可能ですが、
「HTMLメールかどうか」を確認するためには、一度メールを受信して解析してみない
と分かりません。

　ってことで、実際には「受信しない」と言うよりは、「受信してみて、中身が××
だったら、そのメールは受信しなかったように扱い、サーバー上には残す」という仕
様になると思います。

　で、これは技術的には可能だと思いますけど、ちょっと面倒なので将来サポートと
させていただきたい所です。（他のメールソフトでもこんなの出来るの見たことない
し）

■HTMLメールのセキュリティについて

　HTMLメールのセキュリティホールについては、Datula開発元が提供しているページ
を過去に見たことがありますが、こちらの力不足で何も対応していません。「ゾー
ン」とやらをうまく設定してやればいいらしいんでしょうが、その方法が分からなか
ったのでほったらかしです。

　ただし、鶴亀メールはHTMLメールをユーザーが自分の意志でダブルクリックしない
かぎり表示することは無いので、つまり、「ユーザー様の自己責任で開いてくださ
い。」という仕様になっています。

■サイズによる受信制限について

　肝心のサイズによる受信制限についてですが、とりあえず手っ取り早く修正するた
めには00614番発言での飯田さんの方法がいいと思うんですけど、やっぱりメール一
覧中に何か記録が残らなければ永久に気づかない可能性があるので、なんらかの記録
をおもむろに残すことにします。

■バッファーオーパーランについて

　他のメールソフトでことごとくバッファオーパーラン等のセキュリティホールが見
つかったというのは、つまりIEのコンポーネントを使った場合の話かと思います。鶴
亀メールはIEのコンポーネントを使ってないので関係ないと思います。

　それとは別に、例えば意図的に鶴亀メールの動作をおかしくするようなメールが作
れてしまう可能性はあると思いますが（例えば最近だとメール本文が空っぽの場合に
受信ログがおかしくなるバグがある！）、それ＝セキュリティホールという問題に直
結する可能性は極めて低いと思います。

　可能性があるとすれば、例えばメールの中に特殊な方法で秀丸マクロを埋め込んで
おくと、そのマクロが実行できてしまうとか、EXEファイル名を書いておくとそれが
実行できてしまうとか…。まずありえないと思いますけど、念のためこの辺の可能性
について一度ちゃんと検証する必要はあると思います。

RE:00794 大きな添付ファイル等の受信制

ひろさん　00/12/15 18:02

　秀まるお様今日は、ひろです。
> ■バッファーオーパーランについて
>
> 　他のメールソフトでことごとくバッファオーパーラン等のセキュリティホールが見
> つかったというのは、つまりIEのコンポーネントを使った場合の話かと思います。鶴
> 亀メールはIEのコンポーネントを使ってないので関係ないと思います。
　こちらについては、server でも起こり得る話だったと思うのですが、私
の記憶違いでしょうか? もし私の記憶が確かなら、IE とは関係ない事にな
りますが...。

RE:00799 大きな添付ファイル等の受信制

秀まるお さん　00/12/16 00:48

> 　こちらについては、server でも起こり得る話だったと思うのですが、私
> の記憶違いでしょうか? もし私の記憶が確かなら、IE とは関係ない事にな
> りますが...。

　あらためて元発言を見てみたら、

| 　本題ですが、header を異常に長くして、buffer over flower を起こし、
| 任意の program を走らせることが可能という security hole が 2000/8 頃
| に多くの MUA で有りました。これは user が添付を開く・開かないに関わ
| らず、mail 本文を見ただけで起き得るという強烈なものだったと記憶して
| います。こちらに対しての対策は済んでいるのでしょうか?

　ってことで、IEとは関係なさそうです。

　ま、それはおいといて、鶴亀メールではヘッダ部分が異常に長くても、少なくとも
「任意のプログラムを走らせることが出来る」ってことは無いはずです。

　鶴亀内部で外部プログラムを起動している所は、

ShellExecute関数…
　－　添付ファイルのダブルクリック関係
　－　秀まるおのホームページを開く処理
　－　秀ネットを開く処理
　－　smtp_log.txt / pop3_log.txtを開く処理

CreateProcess関数…
　－　レジストリのバックアップ/復元処理（regedit.exe）

　っと、この程度しか無く、任意のexeを実行するような処理自体がありません。

　他は、秀丸内部（秀丸マクロ）がありますけど。

RE:00831 大きな添付ファイル等の受信制

ひろさん　00/12/16 15:07

　秀まるお様今日は、ひろです。
> 　ま、それはおいといて、鶴亀メールではヘッダ部分が異常に長くても、少なくとも
> 「任意のプログラムを走らせることが出来る」ってことは無いはずです。
　安心しました。今までメインの MUA の Winbiff でも、これに関するセキュリテ
ィー・ホールが残っていて改善されたばかりなので、結構起こりやすいことだと思っ
ていました。