月曜日, 9月 11, 2006

ホワイトリスト情報

 ルール1に引っかかるメールサーバがまた見つかって、ホワイトリスト情報に掲載した。

# Sep 11, 2006: adm2-bge0.cc.uec.ac.jp
/\.cc\.uec\.ac\.jp$/ OK

 こういうことがあると、「ルール1の条件を緩めた方がよいだろうか」とつい思ってしまう。しかしそれは、強固な防衛力によってサイトの平和が保たれていることをつい忘れてしまうからだろう。
 前回(9月3日)の記事に書いたように、2006年7月の統計によれば、ルール1の条件を「3個以上の数字列」に緩めたら阻止率は1.3%低下する。わずかなもののように思えるかもしれないが、不正メールの送信元のホスト4423個のうち、見逃されるものが57個増えるのである。大規模サイトでは、一日の不正メールアクセスが数千件になる所はざらであろう。数千件のうちの数十件の不正メールアクセスを毎日見逃すか、たまにホワイトリスト登録を強いられるか、どちらを選びますか?それを考えれば、「数字列が2個以上なら阻止」という一見厳しすぎる条件を提案したことは間違っていなかったと思っている。
 一方、ルール2をぎりぎりですり抜けたスパム(すなわち、ホスト名に4桁の数字を含むホストからのもの)をたまに受けると、ルール2を厳しくしたいという衝動にかられてしまう。
 実は、ルール2を「数字が5桁以上なら阻止」という条件に決めたのは、多分に恣意的な理由によるものである。第一に、S25R方式の開発中にいろいろなドメインのMXレコードを調べたところ、見つかったホスト名の中では数字4桁が最長だったこと。第二に、4桁までの数字なら覚えやすいので(自動車のナンバーが4桁だし、電話番号も多くの場合、最大4桁ずつ区切って覚えるから)、4桁の数字を含むホスト名をメールサーバに付ける人はいるだろうと思ったこと。第三に、S25R方式で阻止されないホスト名を決めようとする人の立場で考えた時、「数字は一続きで3桁まで」という条件は窮屈すぎると思われたからである。
 実際のところ、ルール2をぎりぎりですり抜ける不正メールの送信元は少しあるが(4423個中9個)、ブラックリストで阻止するのに苦労はない程度。一方、ホスト名に数字5桁を含む正当なメールサーバもたまに見つかるが、ホワイトリストで許可するのに苦労はない程度である。「数字が5桁以上なら阻止」という条件は、ほどほどバランスがとれていると思う。

0 件のコメント: