月曜日, 3月 21, 2016

ネットワークサービスのサブドメイン丸ごと許可

 S25R公開ホワイトリストに以下の登録をした。

# Mar 18, 2016: (revised; guaranteed by the domain administrator)
# Mar 17, 2016: m2mdaNNN.as.sphere.ne.jp (*)
/\.as\.sphere\.ne\.jp$/ OK

これは、sphere.ne.jpの管理者の方から、同社のお客様が送信に引っかかるケースがあるのでと要請があったもので、「できれば .as.sphere.ne.jp の後方一致条件で、無理なら m2mdaNNN.as.sphere.ne.jp(NNNは数字列)の条件で」とのことだった。いったん後者の条件で登録した後、返信した。

「S25Rスパム対策方式は、メール送信元の逆引き名の特徴から、ウィルス感染しうるエンドユーザーコンピュータの可能性が高いと判定した時に一時的受信拒否を返して受信を遅延させるという方式で、概念的にはOP25Bとほぼ同等の対策を受信側で行うものです。迷惑メール防止に効果が高いと評価されて、多くのサイトで採用されています。しかし、エンドユーザーコンピュータでなくても、ISPが機械的に割り振る連番入りの逆引き名は誤判定してしまうという副作用があります。誤判定からの救済の運用を自動でも手動でもきちんと行っていないサイトがまれにあり、送信者が困ることがあるのが恐縮です。.as.sphere.ne.jp の配下に、ウィルス感染しうるエンドユーザーコンピュータも、『特定電子メールの送信の適正化等に関する法律』に違反するメールを送信しうるメールサーバもないことをドメイン管理者様が保証くださる場合には、その全体を許可する条件を登録します。」

 これに対して、保証する旨の回答をいただいたので、翌日にサブドメイン丸ごと許可の条件に改めた。
 従来、ホワイトリスト情報を提供いただいた時や私が発見した時には、エンドユーザーコンピュータを収容していないと推測される企業や組織ならサイトドメインの丸ごと許可、固定IPアドレスであっても不正メールの送信に悪用するユーザーがいないとは限らないネットワークサービス(実際に悪用されているとの情報があるamazonaws.comなど)ではホストの個別許可というポリシーで運用している。ネットワークサービスのドメイン管理者からポリシーの保証があって丸ごと許可を登録したのは初めてのケースである。