水曜日, 1月 09, 2008

また激賞された

 国島丈生さんのブログ記事「某学会メールサーバのSPAM対策」で激賞をいただいている。
 国島さんが管理するメールサーバでは、spam throttling(DATAコマンドに対する応答を遅らせることによってメールの流量を制限するものらしい)を施してもなお、学会の連絡用メーリングリスト宛に一日数百通のスパムが押し寄せていたとのこと。
 普通に考えると、実装の簡単な素のS25Rを導入してから、ホワイトリスト登録を省力化するために選択的グレイリスティングへのステップアップを考える人が多そうなもの。しかし、国島さんは逆のやり方をされた。正当なメールの受信失敗を避けるためにまず佐藤さんのQgreyを導入。偽陽性判定がほとんど起こらないことを確認した上で、廣島さんのqmail用S25R対応パッチに手直しを加えて素のS25R方式の運用に切り替えられた。
 Qgreyを使っている間、すり抜けがそこそこあったそうである。グレイリスティングがそんなにすり抜けられるものなのかと思って調べてみたところ、Qgreyの母体のqgreylistは、クライアントIPアドレスだけでグレイリスティングを行うらしい。だから、送信者アドレスを変えながら繰り返すスパムアクセスや、同じ送信元から複数の受信者へのスパムアクセスを受け入れてしまうようである。Postfixの場合は、設定項目にsmtpd_delay_rejectパラメータというものがあって、そのデフォルト値は「yes」である。これにより、クライアントにHELO、MAIL FROM、RCPT TOコマンドを送らせてから、次のDATAコマンドを受け入れるかそこで拒絶するかを決めることができる。グレイリスティング用ポリシーサーバのpostgreyは、クライアントIPアドレス、送信者アドレス、受信者アドレスを知って、それらがともに同じであるアクセスのみを正常なリトライと判定することができる。スパムウェアがpostgreyをだますには、まともなMTAと同じリトライをしなければならない。
 そういうわけで、qmailではPostfixに比べて、グレイリスティングを適用したときのスパムの阻止率の低下がやや大きいと考えられる。qmailでは、可能ならば素のS25R方式を用いた方が、スパムに対する防御力の観点では得策であろう。
 で、国島さんが素のS25R方式に切り替えた結果…

結果はというと…まさに驚異的の一語に尽きる。受け取るSPAMは1日10通程度にまで激減した。ログを解析すると、昨晩23:00から今日の12:00までにS25Rで一時拒否したSMTP接続数は2048。実に99%以上のSPAMを、受け取ることなく排除していることになる。この間、誤って拒否したメールは1通もないし、学会への正規のメールはちゃんと配送している。正直、ここまで効果があるとは予想していなかった。

 私は論文を「阻止率99%のスパム対策方式の研究報告」と題しているが、99%とは、user unknownになるおとりのアドレスやでたらめのアドレスに宛てられたものも含めた不正メールアクセス全体についての統計である。宛先の正しいスパムの阻止率は99%に至ることは少なく、月によって97~99%といったところである。しかし、メールアドレスをウェブで公開していて、今までスパムを受け放題だった人の場合は、高い阻止率を記録しやすいかもしれない。
 そして最後に…

こんなすごい方法を編み出した浅見秀雄さんに大感謝である。

喜んでいただけて幸いです。ご利用ありがとうございます。

 ところで、国島さんは直後の記事で、逆引き名を「localhost」と不正に設定したホストからのスパムがすり抜けたことを書いておられる。qmailはパラノイド検査(逆引き名の順引き検証)をしないからだろう。Postfixはパラノイド検査をするので、このような嘘にだまされるおそれはない。「localhost」の順引き結果が元のクライアントIPアドレスに一致することは絶対にないので、検証後の逆引き結果は逆引き名がないときと同じく「unknown」となり、応答コード「450」で蹴ることができる。

2 件のコメント:

Takeo Kunishima さんのコメント...

国島です。こういう形でご紹介いただけるとは思ってもいませんでした。ありがとうございます。
「某学会」などという表現を使ってしまいましたが、日本データベース学会のことです。あまり大きな学会ではないため、SPAM対策に限らず高額な投資をすることはできません。その意味でもとても助かっています。
最初にQgreyを導入したのは、Qgreyだとqmailにパッチをあてる必要がない(ダメだったときに戻しやすい)ということも一つの理由でした。qmailはパッチ同士に互換性がない場合が多く、パッチをあてるべきかどうか慎重に判断するようにしています。
諸事情でqmailを導入しましたが、現在はPostfixでも学会の運用は可能だと思いますので、システムの再設計をするときがあればPostfixも検討してみたいと思います。

deo さんのコメント...

 国島さん、コメントありがとうございます。
 なるほど。Qgreyだとqmailにパッチを当てる必要がないというメリットがあるのですね。導入事例を発表してくださったおかげで、私も勉強になり、皆さんのために有用な情報を提供することができます。
 お金がなくても効果的なスパム対策ができることを喜んでいただけることは、ことさらうれしいです。私は、スパム対策での金儲けをやりにくくしてしまいましたね。(^o^)