日曜日, 8月 27, 2006

Illegal HELO address

 HELOアドレスが宛先サーバのIPアドレスまたは受信者のドメイン名になっているというアホな不正メールアクセスが増えている。2004年4月の統計では不正メールの送信元ホスト567個中9.3%だったが、2006年7月の統計では4423個中22.6%にもなっていた。
 なぜこんなアホな動作をするのだろうか。論文では「このような不正な動作をするSMTPエンジンを作る奴は、SMTPの決まりを知らないのだろう」と書いた。しかし、もしかすると、Receivedヘッダを読んだ時に、その不正メールが自サイトで発生したかのように錯覚させることを狙ったのかもしれない。見る人が見れば、偽のHELOアドレスだとすぐにわかるのだが。
 このようなアホなSMTPエンジンは、防御側にとっては幸いである。HELOアドレスが自サイトのIPアドレスまたはドメイン名だったら蹴飛ばすようにすればよく、副作用がまったくないからである。
 S25R方式の導入に躊躇している方も、Postfixをお使いなら、このチェックはぜひ入れるようお奨めする。これだけでスパムやウィルスの受信を約2割は減らせるだろうから。

2 件のコメント:

柴崎@銀河企画 さんのコメント...

HELOがいい加減な内容でもRFCでは拒絶理由にできないと決められているようです。
しかし最近できたスパム防止に関わる総務省令では、経路情報の捏造を禁止しているため、ヘッダーに経路情報の一部として出現するHELOの内容は、送り側サイトのIPアドレスかドメイン名を表すことが求められるはずです。
よって、日本においては、HELOの偽表示を拒絶理由に使えるようになると思います。

deo さんのコメント...

柴崎さん:
 確かにHELOアドレスは正確なものでなければならないとはされていませんが、明らかに捏造されたHELOアドレスを拒絶するのは、オープンリレーのブラックリストなどを利用して受信拒否するのと同様に、自己防衛権の範疇であると私は考えています。それはともかく、総務省令で経路情報の捏造を禁止しているのは心強いと思います。それならISPでもこの防御策を採用してもよいわけですね。
 情報ありがとうございました。