【緊急】Google Chrome および セキュアDNSに対応する端末の同設定必須

ブリーフィング的な殴り書き記事とする。

【内容】
セキュアDNS (DoH またはDoT)の設定

【設定期限】
今日中または明日にでも（可及的速やかに）

【対象】
（１）Google Chrome が正常に動作する対応端末全て (*1)
　⇒ Windows, Mac, Linux, Android 6以降 , iPhone, etc.
（２）OSレベルでセキュアDNSに対応する端末全て
　⇒ Android 9以降、その他 DoH/DoTに対応する端末

*1 なお、Chrome以外のブラウザを使う事があれば、
　それらも同様に設定すること。
　Thunderbird等のメーラーも同様である（DoH/DoT対応の場合）。

【設定方法】
・基本的にググる。
　DoH / DoT の設定先となるパブリックDNSサーバーは
　慎重に選定すること。

（１）Chromeの設定で、セキュアDNSを設定する。
例として Google Public DNS を設定する場合、DoHプロバイダURLに
次を設定する：
https://dns.google/dns-query

あるいは選択肢があれば、Google Public DNS を選択する。

（２）OSの設定で、セキュアDNSを設定する。
例として、Android 9以降の端末に、OSレベルの設定で
Google Public DNS を設定する場合、ネットワークとインターネット
　⇒　プライベートDNSに次を設定する。（これは、DoTである）
dns.google

【目的・理由】
いかなる理由であれ、全てのネットワーク上で平文のDNSを
使用することを無期限で停止すべきである。

【副作用】
まれに、DNS設定に依拠しているペアレンタルコントロールや
その他のブロッキングシステムを利用している場合、
この設定をしてしまうと当該コントロールやブロッキングを
バイパスしてしまう可能性がある。詳細はシステムの管理者からの
情報を調べ、または問い合わせること。

（その他）
・DoH 、DoT についてはそれぞれ、
"DNS over HTTP", "DNS over TLS" でググる。

以上

【緊急】GmailアカウントのOAuth2認証必須化とそのThunderbird設定方法

（前書き）
ブリーフィング的な殴り書き記事とする。

【設定期限】
２０２２年５月２９日いっぱいまで
※タイムゾーン不明

【やること】
（１）対象のGmailアカウントと、そのGoogleアカウントのPWを
　すべて準備しておくこと。

（２）Thunderbird で一部のCookie 保存設定をする。[MUST]
・ツール⇒設定⇒プライバシーとセキュリティ
⇒ ウェブコンテンツ
　https://accounts.google.com を許可に設定する
　（例）「サイトから送られてきたCookieを保存する」 OFF
　　　　「例外」で「サイトのアドレス」に
　　　　　https://accounts.google.com
　　　　　を入力し「許可」ボタン

（３）各Gmailアカウントで右クリック⇒設定
・「サーバー設定」⇒「セキュリティ設定」⇒「認証方式」を
　"OAuth2"に設定する。
・同じ設定画面の「サーバ設定」の１つ上のアカウント行をクリック
　「SMTPサーバーを編集」⇒「認証方式」を
　"OAuth2"に設定する。OK。
※上の２つとも「接続の保護」は「SSL/TLS」等になってる筈だが
　基本変更不要、またはダメなら「SSL/TLS」にする。

（４）当該Gmailアカウントで、自分自身のアドレスにテストメール
　送信＆受信を実施する。

（５）そのGoogleアカウントでのログインを促されるので、※2 ※3
　メールアドレスとGoogleパスワードを入力する。※1

※1 二段階認証設定している場合には、
　アプリパスワードではなく大元のGoogleパスワード
※2 (4)を実施しても聞いてこない場合、Thunderbirdを再起動して
　再度試す。
※3 基本的には送信時と受信時のそれぞれ2回ログイン処理をする
　必要があるが、場合によっては1回しか聞いて来ない事がある。
　自動受信設定およびThunderbirdの再起動を何日か継続使用する
　必要があるかもしれない

（６）ログインに成功すれば、Thunderbirdをアプリとして
　許可・拒否するダイアログが表示されるので、問題なければ許可。

（７）許可が成功すれば、４のメールが受信できる。

（８）Googleアカウントの管理画面で、　
　　「安全性の低いアプリのアクセス」はONになっている筈なので、
　　これをOFFにしてから、再度(4)のテストを行う。　[ほぼMUST]

※二段階認証設定している場合にはこの設定は無い筈だが、
　何にせよアプリパスワード方式から、OAuth2への切替は[MUST]
　だと推定される。

（９）ついでにGoogleアカウントの管理画面で、アカウントの
　再設定用メールアドレスや再設定用電話番号等の再確認を行う。
　特に、再設定用メールアドレスのメールアドレス認証処理
　（メール確認コードを入力する処理）が未実施であるケースが
　極めて多いので、忘れずに実施しておく　　[ほぼMUST]

やることは以上

【要約】
要するに、2022/5/31（タイムゾーン不明）以降に(8)の設定が
強制OFF固定（と言うか当該低安全性オプション自体の廃止）と
なり、OAuth2ログイン設定を正しくしないと
Thunderbirdから直接Gmail送受信は不可能になりますよ、
だから期限までに設定しろと言うGoogle様の横暴なお達し（割愛

【追記】
ルーチンワークに慣れたら、下記の順番でやってもよい。
(1)(2)->(9)->(8)->(3)(4)(5)(6)(7)

【注意書き・備考】
・普段から日常的に、一定のアドレスレンジのIPアドレスから
　当該Gmailアカウントに対して(Thunderbirdで)アクセスしている
　場合等は特に「本作業上をするに当たっては」問題無いだろうが、
　そうでは無い場合（例えば長期休眠のGmailアドレスでスマホ等に
　一切紐づけてない場合、あるいは全く別環境や別NWから設定する
　場合など）は、(5)や(9)のところでアカウント自体が
　ロックアウトされるリスクが存在するので、注意および予め
　対処しておくこと。
・ThunderbirdのOAuth2方式では、oauthクッキー(?)は、
　従来のメールパスワードと同じストレージに格納されるので、
　基本的にはThunderbirdのプロファイルをロストしたりしなければ
　永続的に利用できると推定される。
　ただし、対象のGoogleアカウントのPWリセット等をしたときは、
　当然oauthクッキーも再設定が必要となり、上記(1)(5)(6)＆
　テスト等の作業が必須となるだろう。
・このように「タダより高いものは無い」と言うのがGoogle
　クオリティの日常であるため、下記の記事等を参照して適宜
　他のフリーメールアドレスへの乗り換えを検討してもよい。
　AYOR

GmailアカウントがロックアウトされてThunderbird からアクセス不能になった場合の対処 - NT5.0/5.1からNT6.1/6.2/10.0へ

・OAuth2そのものの詳細については"Oauth2 thunderbird"でググるとよい

以上