月曜日, 8月 28, 2006

リトライするスパムをRgreyで蹴る

 リトライするスパムはグレイリスティングでは防げないものと思い込んでいたが、浅はかだった。最初のアクセスからリトライを受け入れるまでの遅延時間は、postgreyのデフォルトでは5分だが、これを長く設定すればよい。
 素のS25R方式を使っていると、リトライするスパムアクセスの挙動をよく観察できる。ほとんどのスパムアクセスは、さほど長時間はリトライしていないのである。
 2006年7月30日から8月28日までのログを拒絶ログソーティングスクリプトで解析したところ、リトライするスパムアクセスは15件見つかった。そのうち14件は、次の例のように、最初のアクセスから最後のアクセスまでの時間間隔が23分未満であった。

Aug 24 14:26:15 unknown [83.68.35.41]
Aug 24 14:32:12 unknown [83.68.35.41]
Aug 24 14:37:25 unknown [83.68.35.41]
Aug 24 14:43:29 unknown [83.68.35.41]
Aug 24 14:49:10 unknown [83.68.35.41]

例外は、次の1件(40分50秒)だけであった。

Aug 25 04:34:34 82-135-208-206.ip.zebra.lt [82.135.208.206]
Aug 25 04:39:42 82-135-208-206.ip.zebra.lt [82.135.208.206]
Aug 25 04:44:50 82-135-208-206.ip.zebra.lt [82.135.208.206]
Aug 25 04:50:02 82-135-208-206.ip.zebra.lt [82.135.208.206]
Aug 25 05:15:24 82-135-208-206.ip.zebra.lt [82.135.208.206]

 このことから、Rgrey(すなわち、パッチしたpostgrey)の起動オプションとして「--delay=1500」を指定すれば、最初のアクセスから25分に達しないうちはリトライアクセスを「450」で蹴り続けるので、リトライするスパムのほとんどを阻止できるはずである。
 S25Rの拒否条件に引っかかるメールサーバからの最初のメールの受信は25分以上遅延することになる。しかし、素のS25R方式ではホワイトリスト登録まで数時間あるいは一晩(場合によっては休日を挟む2~3日)遅延しうることを思えば、大したことはないだろう。
 この方法は、素のグレイリスティングを使っているサイトにはお奨めしない。初めてメールを送ってくるホストからのメールがことごとく25分以上遅延し、けっこう大騒ぎになりかねないからである。Rgreyなら、S25Rの拒否条件に引っかからない大多数のまともなメールサーバからのメールを遅延なしに通過させるので、ほとんど問題にならないだろう。
 どなたかやってみませんか?

0 件のコメント: