火曜日, 11月 07, 2006

「5xx」で蹴るなんて

 S25R方式でメールを蹴られて困っている人がいるという情報(10月29日「大手ISPに導入されたらしいが…」)を佐藤さんから聞いたきっかけは、佐藤さんが運用するサイトがSpamhausのDNSBLに登録されてしまったという事件だった。もちろん佐藤さんのサイトがスパムを発信するわけはないのだが、近隣のIPアドレスからスパムが発信されたため、巻き添えをくらってネットマスク22ビット(1024個ブロック)で登録されてしまったらしい。そのため、佐藤さんのサイトからのメールが、Spamhausを利用しているサイトで受信拒否されてしまったのである。
 何の応答コードで蹴られたかと質問したら、「5xx」だったと聞いてびっくりした。なぜそこまで他人のデータベースを信用できるのだろうか。今回のSpamhausのように、多数のIPアドレスからスパムが発信されたら、それらを含むIPアドレスブロックをまとめてリストに登録してしまうケースもある。ましてDNSBLは、登録されたIPアドレスからスパムしか発信されないと保証しているわけではない。DNSBLに登録されたIPアドレスから正当なメールが送信されることもありうるということを考慮すべきである。
 DNSBLの情報に基づいてアクセスを蹴るなら、「4xx」を返して様子を見るべきである。さもないと、他サイトの善良な送信者を困らせるし、そのメールを受信するはずだった自サイトの受信者にも不利益をこうむらせることになる。
 S25R方式のコンセプトで重要なことは、送信元のIPアドレスの逆引き結果に基づいて不正メールアクセスの疑いを推定するが、あくまでも推定であって、決して確信しないということである。だから、誤って阻止される正当なメールを救済する余地を残すために、応答コード「450」を返すのである(企業や学校でポルノサイトからのスパムを阻止するような場合はこの限りではないが)。
 S25R方式に対して、個人サイトを排除するやり方だという批判がいまだにあるが、S25R方式のコンセプトは決してそのようなものではない。私は、ダイナミックIPアドレスの個人サーバから直接送信するのはやめてほしい、ISPのメールサーバを経由して送信するか、固定IPアドレスのサービスに乗り換えてほしいと主張してはいる(論文および7月29日「個人サーバ」)。しかし、ダイナミックIPアドレスのサーバだからといって「5xx」を返すことを勧めてなどいない。実際私は、ダイナミックIPアドレスのサーバからのメールもホワイトリスト登録して受信している。
 S25R方式は正当なメールを排除するという批判は誤りである。批判されるべきは、スパムの受信が減ったことで満足してしまって、正当なメールを拒絶する副作用のリスクを省みないという、間違った運用である。それは、S25R方式を使うにせよDNSBLを使うにせよ、同じことである。

0 件のコメント: