2006年06月

SPAM対策まとめ3

 さとうさんのお陰で一段落ついた当社のspam対策をまとめてみました。これでやっと電子メールが仕事に使えるメディアとして返り咲いた感があります。(大げさじゃなくて)

 普通メール利用者は受け取ったspamをどう処理するか?としか考えられません。
 原始的なところではFromアドレスやSubjectでの振り分けやちょっと高級になるとベイジアンフィルタを使った振り分けなどがそれにあたります。

 smtpサーバ(メールサーバ)管理をしているものからすると「なんとかして送りつけてくるspamの受取拒否をメールサーバ直前でできないものか・・・」と考えるのは当然のことです。 できるだけ上流で防ぐことができれば、下流に対策を施さなくても良いのですから。

 現在私のところのサイトでpostfixを使って施している方法を以下にあげます。
 まずspamを送りつけてくるsmtpサーバの特徴をあげ、それに対する対策を箇条書きで。

★逆引きできないホストが多い
 逆引きできないからspamホストかと言うと100%そうではありません。そこで逆引きできないsmtpサーバから接続要求が有った場合は数秒程ウェイトを入れてゆっくり対応することにしています。(throttling)

 spamサーバはせっかちな事が多く、反応のとろい(遅い)smtpサーバは配送をすぐに諦めてしまうことが多いのです。 spammerは単位時間当たりに○○万通裁けるかどうかが重要な為、このようなチューンナップ(?)を施し反応の遅いsmtpサーバにかまっていられないからでしょう。 逆に非spamサーバ(普通のsmtpサーバ)は数秒位のウェイトが掛かっていても我慢強く待って正常にメール送信をしてくれる為、正常なメールの配送に問題は起きません。

★ユーザ回線上にsmtpサーバを置いてある事が多い
 ここのところ主流となったspam送信法でです。一般のADSLや光ファイバを使い、その回線上にspam送出サーバ(ふつうのsendmailやqmailなども多い)を設置。 プロバイダのsmtpサーバを使わず自力でspamを配送するものです。 IPアドレスは非固定であるためプロバイダ料金も安くspam送信者にとってはお手軽。

 他に目的は違いますが結果的に同様なspamまき散らしになっているケースとして、ワーム/ウィルスに感染してしまい、PCが勝手にsmtpサーバとなってワームやウィルスをspamとして送出しちゃっているケース。

 これらの特徴はそのIPアドレスを逆引きしてみると 123-45-67-89.dsl.hogehoge.ne.jpと言うようなIPアドレスとおぼしき数字の羅列やadsl/dsl/fletsなどと言う文字列も散見されます。
 当社の対応としてはこれらの一般ブロードバンド回線上に置かれたsmtpサーバからの接続要求にもゆっくり対応しspamの送信を諦めて貰う方針をとっています。 また万一そのようなホストが正常な(非spam)ホストであった場合も数秒遅配はありますが事故はおきず安全です。

★heloで正しいホスト名を名乗らない
 smtpの礼儀作法(プロトコール)として接続後まず

 helo smtp.jibun-domain.co.jp

と言うように自分のホスト名を完全修飾ドメイン名で名乗ることが決められているのですが、spamサーバの場合heloの後のホスト名に当方のホスト名であったりhogehogeとか完全修飾ドメイン名でないホスト名、実在しないホストなどを適当に語っているものなどが多いのです。

 そこでこれを使って実在しないホスト名や完全修飾ドメイン名をheloで知らせてきた場合は受取拒否をしてしまうような設定を施しています。

 実際これで弾かれるspamはもっとも多くspam防御策としては効果が最も高いと思われます。

★MAIL FROM (エンベロープFROM)のドメイン名が実在しない
 そのドメインのMXレコードやAレコードを引いても存在しないアドレスをMAIL FROMにセットして送ってくる。当然これはspamであるので受取拒否。

それでもすり抜けてくるメールがあるので以下のような追加作戦を実行。

★しつこく決まったホストから送りつけてくるspamはそのsmtpホストからの接続自体を拒否設定。
★MAIL FROM(エンベロープFROM)のドメインが登録されているネームサーバを探り、怪しいネームサーバがnsレコードにあれば受取拒否する。

postfix

SPAM除けのおまじないの豊富さに負けMXサーバをpostfixで実験中。

人生初postfixだったので勝手が分からず・・・でしたが、苦節6時間なんとか複数ドメインのMXを振り向けて動いてくれているようです。

maillogを見てるとSPAMがガンガン捨てられている様子が手に取るように分かります。やっぱ強力!

ありがとうございました さとうさん!

防げないSPAM

S25R+greylisting & tarpittingで一応の成果を上げたかにみえたSPAM対策ですが、これでも防げない種類のSPAMがありました。

上記対策で中国・韓国からやってくるエッチ系・出会い系の日本語ゴミメールは激減しましたが主に米国からやってくる英語SPAMが防ぎきれません。

特徴はSMTPサーバのホスト名が正しく逆引きできてtarpittingにも耐性のある根気強い普通のMTAを使っていること。

ホスト名は

mail.??????.com

whoisしてもちゃんと実在が確認できるし、逆引きだってちゃんと同じ名前で引けます。わざわざSPAM送出するためだけにドメイン取得して、かつグローバルIPアドレスも1個割り当ててるんですよ。

そのうえ死ぬほどたくさんあります。
そんな訳で名指しで受け取り拒否設定をしても追いつきません!

SPAMまくためだけにドメイン取ってグローバルIPアドレス振るでしょうかぁ?
レジストラやネームサーバを調べてみると特定の業者の陰がして、プロの犯行としか思えません。

悩みは続きます。

「SPAMゆっくり対応の刑」その後

qmailにtarpittingパッチをあてるだけのSPAM対策ですが、どうやら効果が高いのは

★ワームにやられたゾンビPCから湧き出るワームメール
★一般回線上に置かれたWinマシンで専用SPAM配信ソフトを使い、自分自身がSMTPホストとして自力でSPAMをまき散らすもの

の2種類のようです。特に後者のものは単位時間あたりにン万通捌けます!みたいなノリで作られた専用ゴミまき散らしソフトを使っているようで、この手のメール送り出しロジックは反応が少しでも遅いSMTPサーバに当たったら即諦めて次のターゲットに移るような挙動のようです。(反応がトロイやつには用は無い・数打ちゃ当たるよ方式)

反対にあまり効果が無いのは普通のメールサーバを自回線上にたててチューンを施さずにそのまま地道に送り続ける方式のSPAMです。

20秒とかのウェイトを掛けても我慢強く待ち続けて地道に送り続けるんですから、短時間に大量に!と言うSPAM配信業者の心得には反しますが(笑)。

この手のSMTPホストは欧・米に多いようです。 あまりにしつこいものはIPアドレスやホスト名を名指ししてdenyして対応。 お陰で毎日10通くらいしかSPAMが来なくなりました。(もっともその10通もベイジアンフィルタに引っかかってますけど。)
Recent Comments
QRコード
QRコード
Profile
高村和則
東京オリンピック生まれ
長野市に本社のあるITソリューション屋の代表取締役専務をやってます。

連絡先はこちら
高村さんのぺーじはこちら

  • ライブドアブログ