火曜日, 8月 07, 2007

スタティックIPアドレス

 S25Rのルール1~6は“ダイナミックIPアドレスっぽい”ホストを疑う判定方法だと思っている人がおられるかもしれない。しかし、正しくは“多数のIPアドレスに機械的に逆引き名が割り当てられているエンドユーザー回線っぽい”ホストを疑うのであり、それがダイナミックIPアドレスかスタティックIPアドレスかを見分けることはしない。
 ISPが逆引き名を割り当てるスタティックIPアドレスサービス(通常、IPアドレス1個単位の販売)は、サーバを運用する小規模サイトに利用されることが多いと推測される。ダイナミックIPアドレスサービスよりも料金が高いので、やすやすとボットの侵入を許すような、セキュリティの知識のないPCユーザーが利用することはあまりないと考えるのが自然だろう。OP25B(Outbound Port 25 Blocking)は、ISPが自社網のダイナミックIPアドレスから外への直接のSMTPアクセスを出させない自主規制策であるが、スタティックIPアドレスは規制の対象としていない。だから受信側でも、スタティックIPアドレスであることがわかる方法があれば疑わずにSMTPアクセスを受け入れた方がよいのではないかと考える人がおられるかもしれない。
 しかし、そうもいかないようである。2007年6月に不正メールを送り込もうとしたホストのうち、逆引き名に「static」という綴りを含むものを抽出したら、6158個中55個(0.9%)あった。一つのサイトドメイン内の複数のホストは一つで代表させて示す。34サイトあった。

109.94.73.200.static.host.ifxnw.cl
195.Red-80-39-48.staticIP.rima-tde.net
201-048-220-076.static.ctbctelecom.com.br
203-109-245-243.static.bliink.ihug.co.nz
203.161.71.79.static.amnet.net.au
208-180-16-81-static-hsb.provalue.net
212.183.202.90.static.user.ono.com
221-128-178-137.static.exatt.net
24-159-36-205.static.kgpt.tn.charter.com
58.169.216.81.static.s-k.siw.siwnet.net
61-62-32-69-adsl-tai.STATIC.so-net.net.tw
63-145-162-65.dia.static.qwest.net
64-60-30-99.static-ip.telepacific.net
66-194-215-18.static.twtelecom.net
82.6c.5446.static.theplanet.com
c9066521.static.spo.virtua.com.br
cable-89-216-30-41.static.sbb.co.yu
cable-static-41-71.intergga.ch
cust-69-19-189-2.static.o1.com
dsl-216-66-233-1.static.linkline.com
host-69-144-164-206.static.bresnan.net
host1-44-static.28-87-b.business.telecomitalia.it
ord-static-208.57.44.80.mpowercom.net
static-65-175-135-55.metrocast.net
static-66-16-63-107.dsl.cavtel.net
static-69-95-231-228.roc.choiceone.net
static-71-102-252-144.snloca.dsl-w.verizon.net
static-81-17-190-129.dunaweb.hu
static-87-245-8-65.teleos-web.de
static-adsl201-232-88-124.epm.net.co
static-host-24-149-146-248.patmedia.net
static-host202-147-160-106.khi.dancom.net.pk
staticline10627.toya.net.pl
z55l52.static.ctm.net

 0.9%は決して少ない数ではない。逆引き名に「static」という綴りを含まないスタティックIPアドレスのホストを含めると、根拠レスな推測だが、数%から10%くらいにはなるのではないかと思う。ボットにやられるコンピュータは、スタティックIPアドレスサービスを利用したものの中にも少なくないものと考えられる。
 6月2日「拒否メッセージを変更」で、so-net.ne.jpのエンドユーザー回線と推定される逆引き名をブラックリストで蹴った例を示した。So-netではOP25Bを導入しているにもかかわらず、こういう不正メールアクセスが来た。これについて7月15日「公表ブラックリストからzaq.ne.jpを削除」で、「(OP25Bで)外行き25番ポートを完全に遮断しているのではなくて、他ISPのメールサーバへの低頻度のアクセスなら許可するようにしているので、それでブロックをすり抜けたのかもしれない」と述べた。しかし、もしかしたらそれは間違いで、スタティックIPアドレスだからOP25Bの対象外だったのかもしれない。
 やはり、“多数のIPアドレスに機械的に逆引き名が割り当てられているっぽい”ホストはダイナミックIPアドレスかスタティックIPアドレスかにかかわらず疑ってかかり、その中で正当なメールサーバだとわかったものをホワイトリストで許可するというやり方が、スパムやウィルスメールを受けないためには安全である。

2 件のコメント:

匿名 さんのコメント...

so-netの固定IPユーザですが、ご推察のとおり、現在so-netは「スタティックIPアドレスはOP25Bの対象外」です。

たまに蹴られたりテンポラリエラーを返してくれるサーバが存在するので、とても迷惑です。

deo さんのコメント...

 S25Rの正規表現だけ真似て5xxで蹴るというとんでもないことをする人がいるようです。お困りでしたら私に通報してください。
 一時的エラーは仕方がないと思います。受信側サーバにとって、初めてメール送信アクセスをかけてくるホストは警戒せざるを得ないのが今の現実です。すべての送信元を警戒するのがグレイリスティングであり、選択的に警戒するのがS25R方式やRgreyです。
 一時的エラーを返し続けて放置するという間違った運用をしているサイトを見つけた場合も私に通報してください。
<webmaster@gabacho-net.jp>