次のようなスパムアクセスを見つけた。
Sep 29 05:13:36 unknown [74.130.145.173]
Sep 29 05:18:43 unknown [74.130.145.173]
Sep 29 05:23:50 unknown [74.130.145.173]
Sep 29 05:57:26 unknown [74.130.145.173]
Sep 29 06:03:12 unknown [74.130.145.173]
5分余りの間隔で3回トライし、その後33分余りたってから、また5分余りの間隔で2回トライしている。8月28日の記事「リトライするスパムをRgreyで蹴る」で、最初のアクセスからアクセスを受け入れるまでの遅延時間を25分にすれば、リトライするスパムをほとんど阻止できると書いた。しかし、そのようにしても上記のアクセスはすり抜けてしまう。かといって、遅延時間をあまり長く設定するわけにもいかないだろう。
考えてみると、スパマーにとって、スパム送信コンピュータにあまりリソース負荷をかけずにRgreyを突破するのは、さほど困難ではないと思われる。「450」の拒否応答が返された宛先をアドレスリスト上でマークしておき、30分~1時間後に、送信者アドレスを変えずに再送信すればよい。
そのような手口にどう対抗するかというと、佐藤さんのStarpit(S25R+tarpitting)が有効だろう。たくさんの宛先サーバからtarpitting(応答遅延)を食らうと、プロセスが増加しすぎてリソース負荷に耐えきれなくなるので、送信を早々にあきらめてしまうと考えられるからである。
ところが、それでも安心してはいられない。佐藤さんのブログ記事によると、STRATIONウィルスは65秒のtarpittingを抜けるそうである。このことから考えると、スパマーは、たくさんのゾンビPCを操ることによって、リソース負荷の問題も克服してしまうかもしれない。
RgreyもStarpitもすり抜けるスパムが増えたらどうするか。そうなったら、通過したメールをSpamAssasinのようなフィルタリングプログラムにかけて、送信元の逆引き結果を再度検査し、S25Rの拒否条件に引っかかるものに「スパムの疑いあり」とマーキングして配信するのがよいと思う。正当なメールがマーキングされることはあっても、取りこぼす心配はない。
もっとも、上記のようなアクセスは今のところレアケースである。当分は、S25R方式やそれを応用した方式によって90%以上のスパムを排除し続けることができるだろう。それというのも、まだ大半のサイトがスパムに無防備だからである。だからスパマーは、軽いリソース負荷で、いい気になってスパムを大量配信することができるのである。強力な防御策が多くのサイトに普及した時には、スパマーは、さらにそれを破る手を打ってくるだろう。
0 件のコメント:
コメントを投稿