スパマーがS25R方式の防御を突破する方法はいくつかある。
第一に、ISPのメールサーバを経由することである。防御側では、ISPのサーバをブラックリスト登録するわけにはいかない。しかし、スパムの量は抑えられる。サーバのパフォーマンスがボトルネックになるからである。それに、スパマーがサーバを過負荷にしたら、ISPも黙ってはいないだろう。
第二に、逆引きできてサーバっぽい逆引き名を持つサーバを侵害してそこからスパムをばらまくことである。私のサイトに着信するスパムには、この方法で送信されたと思われるものが多い。日本の企業や大学のサーバが乗っ取られてそこから来たスパムもあった。この場合も、おいそれとブラックリスト登録はできない。しかし、やはりスパムの量は抑えられる。乗っ取ることができるサーバは、ゾンビ化できるエンドユーザーPCに比べて非常に少ないからである。それに、乗っ取られたサーバの管理者はすぐに守りを固めるだろうから、同じサーバを長く利用し続けることはできない。
第三に、ドメインを取得してサーバっぽい逆引き名を使うことである。しかし、コストがかかるので、この方法をとれるスパマーは少ないだろう。しかも、そのホストからスパムばかりが来ることがわかれば、ブラックリスト登録によって防御できる。
第四に、まともなMTAを使うか、あるいはゾンビPCにまともなMTAと同じ動作をさせることである。つまり、「450」の拒否応答に対して何時間もリトライを続け、tarpitting(応答遅延)に対しても5分間辛抱強く待つ。スパム送信コンピュータにかかるリソース負荷が大きくなるが、技術的に不可能ではない(今の大半のスパマーがそうしていないのは、そうしなくてもスパムの送達に成功することが多いからである)。もし多くのスパム送信がそういうものになったら、S25R方式の運用は困難を極めることになるだろう。アクセス元が正当なメールサーバかスパム送信コンピュータかの区別ができなくなるからである。
しかし、そうなってもまだS25R方式は負けてはいない。受けてからフィルタリングする方法が残っている。SpamAssasinのようなフィルタリングプログラムで、送信元の逆引き名を検査し、S25Rの拒否条件に引っかかるものに「スパムの疑いあり」のマークを付けて配信すればよい。そうすれば、受信者は容易にスパムをごみ箱行きにできる(間違ってごみ箱行きになった正当なメールはごみ箱から回収すればよい)。
結局のところ、S25R方式は半永久的にスパムに敗北しないと私は考える。
もっとも、当分は、S25R方式で拒否応答を返す方法が無力化する心配はない。大多数のサイトがスパムに対して無防備な状況では、スパマーは、防御の固い少数のサイトを攻撃するためにわざわざスパム送信コンピュータに大きなリソース負荷をかけたりはしないだろう。逆説的な言い方だが、S25R方式が世界中でこぞって採用される時が来るまでは、S25R方式は安泰である。
0 件のコメント:
コメントを投稿