金曜日, 11月 24, 2006

DNSBLの利用価値はあるか?

 「IPアドレスを手がかりにしてスパム判定するなら、すでにDNSBLがあるではないか」と言う人がいる。しかし私は、S25R方式の方が使いやすいと思う。
 DNSBLは、スパム送信の前科のあるIPアドレスをブラックリストに登録する。しかし、前科がなくても、悪意のないインターネットユーザーのPCがウィルス感染でゾンビ化してスパムの送信元になるおそれがある。ゾンビPCが次から次へと生まれれば、ブラックリスト登録は後追いになる。S25R方式なら、前科の有無にかかわらず、エンドユーザー回線からと推定されるSMTPアクセスに対して一時的拒否応答を返すので、かなりの確度でスパムやウィルスメールを阻止することができる。
 また、DNSBLでは、正当なメールサーバがスパム送信元の巻き添えを食らってブラックリストに登録されてしまうことがある。そのため、今まで届いていたメールが突然拒否されるようになるおそれがある。ブラックリストのデータが古いままで、あるいはデータベースのトラブルでデータが過去に巻き戻ってしまって、無実のメールサーバを拒絶することもあると聞く。S25R方式ではそのような心配はない。拒否や許可のルールはローカルな設定で決めるからである。初めてメールを送ってくる正当なメールサーバを誤って蹴ってしまうことはあるが、再送アクセスが来ている間にホワイトリスト登録した後は、二度と蹴ることはなくなる。
 S25R方式にDNSBLを併用するという方法はどうだろうか。併用の方法には、阻止率を上げる(偽陰性を減らす)ためと、偽陽性を減らすための二通りの方法が考えられる。
 阻止率を上げるためにDNSBLを併用するには、S25Rの阻止条件に引っかからなかったホストをDNSBL検査にかけることになる。しかし、これはあまり効果がないと思う。S25Rをすり抜けるスパムには、ISPのメールサーバを経由したものや、一時的に乗っ取られたサーバから送信されたと思われるものが多い。私のサイトでの観測では、サーバっぽい逆引き名の同じホストから繰り返しスパムが来たことはほとんどない。DNSBLに頼っても、阻止率は、S25Rによる阻止率(全不正メールアクセスについて99%、宛先の正しいスパムについて97%)よりもさらに大きく向上することはないだろう。むしろ、ISPのメールサーバや、乗っ取られた後に対処されたサーバがDNSBLに残り、偽陽性が増えるおそれがある。
 偽陽性を減らすためにDNSBLを併用するには、S25Rの阻止条件に引っかかったホストをDNSBL検査にかけて、それに引っかからなかったホストを許可することになる。この方法では、ゾンビ化したばかりのPCからのスパムを受けてしまうおそれがある。定量的評価はしていないが、阻止率はかなり下がってしまうのではないかと思う。
 結局のところ、DNSBLを使う積極的な理由は見出せない。「S25R+グレイリスティングという対策をとっていれば、今さらDNSBLを使う必要は感じない」と言う人もいる。私もそう思う。

0 件のコメント: