土曜日, 7月 05, 2008

違法なHELOアドレスが増えている

 6月には、不正メールアクセス元ホストは7329個だった(うち、フィルタをすり抜けて着信させたものは14個、リトライが長時間続いたのでブロックを解除したらスパムだったのが5個)。そのうち、宛先サーバのIPアドレスまたは受信者のドメインを名乗るという違法なHELOアドレスを名乗ったホストは、驚いたことに4163個(56.8%)もあった。2007年6月の統計では、不正メールアクセス元ホスト6158個のうち違法なHELOアドレスを名乗ったものは866個(14.1%)だった。それに比べて極端に増加している。不正メールアクセスをしてくるホストは増えているが、HELOアドレスが違法でなかったホストの数は、2007年6月には6158-866=5292個だったのに比べて、今年6月には7329-4163=3166個とむしろ減っているのである。
 ただ、違法なHELOアドレスを蹴飛ばすという、副作用のまったくない対策だけでスパムの受信を56.8%前後減らせるかというと、そうとは言えないようである。HELOアドレスが違法でなかったホスト3166個のうち宛先が正しかったものは1066個(33.7%)だったのに対して、HELOアドレスが違法だったホスト4163個のうち宛先が正しかったものは174個(4.2%)しかなかった。つまり、宛先の正しいスパムを送り込もうとしたホスト1066+174=1240個のうちHELOアドレスが違法だったものは174個(14.0%)だから、違法なHELOアドレスのチェックだけではスパムの受信を14%くらいしか減らすことができないということになる(ホスト数とスパムメッセージ数はほぼ同じと仮定している)。
 このことから言えることは、違法なHELOアドレスを名乗るボットを使うスパマーの多くは、送達率に無頓着に(2006年9月15日「宛先の正しいスパムの阻止率」参照)でたらめのアドレスへ多くのスパムをばらまいており、そのようなボットが増えているということである。
 それにしても、なぜ違法なHELOアドレスを名乗るボットが増えているのだろうか。これによって何らかのスパムフィルタを突破できるわけではなく、むしろ、確実に不正なメールアクセスだと判断できる手がかりを与えるだけである。こんなアホなボットを使うスパマーの考えていることがさっぱりわからない。

0 件のコメント: