新拒絶体系の解説
年末年始の休みを利用して拒絶体系の整理をしました
大きな変更はローカルの拒絶リスト(/etc/mail/access)から個別IPアドレス(またはホスト)
を削除したことです。
拒絶リスト内容
個別IPアドレス(またはホスト) <-- これを削除しました
ドメイン全体またはサブドメイン全体
メールアドレス
アドレスブロック
年末時点でローカルの拒絶リストは20万件以上にもなり過去の登録データから削除する作業量が膨大になったため
この際アドレスレベルの拒絶はRBLにまかせることにしました。
この背景には最近のspam事情として
信念(?)を持って送ってくるBTPグループのようなspammerと、人のパソコンやADSL回線を無断で利用して送ってくるようなずるがしこいspammerの2グループに分極化してきたという事情があります。
前者は大規模な設備を使って特定のアドレス範囲から送ってきます。後者は通常ゾンビPCやADSLのダイナミックアドレス範囲からこそこそ送ってきます。
専業spammerにはドメインとアドレスブロックで対処、ゾンビ・ADSL spammerにはRBL.JPを始めとする各種RBLでの対処
ということになります。
この結果リストは5万件くらいになりました。
この方針転換の結果ローカルの拒絶リストのメンテナンスとしては一番先頭から、一週間前あたりまでのメールアドレスだけを削除すればいいことになり作業が簡単になりました。@を含む行を削除すればいいわけなのでviのコマンドで一発で削除できます。
もちろんspammerと断定したドメインとIPアドレスブロックは永久に残します。
現在の拒絶体系
上記方針により現在は以下の拒絶設定となりました。ここで示すのは代表的組み合わせであって、いくつかのサーバーでは
その目的に応じてもっと厳しい設定や緩い設定で行なっているものもあります。
1)ローカルの拒絶リスト(/etc/mail/access)
ローカルのリストですから多少過激な設定になっています。(たとえば香港、イギリスあるいはアメリカにあるドメインを多数使っているspamが多いフリーのメールサービスとかはドメインごと拒絶など)
今まではダイアルアップとかADSLのアドレスはすぐに別のユーザーに割り当てられ拒絶リストに入れることはできずくやしい思いをしていたのですがこれを目的とした
short.rbl.jpができたためここに登録しています。
ここに登録すると2日過ぎたあと自動的に消してくれるのでメンテナンスが不用になりました。
【拒絶リストの追加方法】
届いたspamやトラップアドレスにひっかかったspamはヘッダと本文を分析しローカルの拒絶リストに追加すると共に、ドメインがspammerと断定されたらurl.rbl.jpに、IPアドレスはshort.rbl.jpにそれぞれ登録しています。このうちIPアドレスは大規模spammerであると判定された場合にはアドレスブロックをローカルの拒絶リスト登録します。
当社は1993年という古い時代から継続してインターネットにつないでいるためか過去に公開していたメールアドレスは
今だに多くのspammerのアドレスリストに受け継がれているようです。それにしても12年前のメールアドレスを含むリストが今だに流通しているというのは驚きです。
面白いことに昔に収集されたためにリストの先頭付近のアドレスになっているみたいで大量spamが送られるときかなり早めに到着するようで実に有用なトラップアドレスです。それ以外にもいくつか新しいタイプのトラップアドレスを用意していて早期拒絶に役立っています。
トラップアドレスのうち絶対spammerしか送ってこない隠しアドレスである場合には簡単なソフトを書いてヘッダーからホスト名を抽出し半自動でshort.rbl.jpに登録しています。
宛先が存在せず、送り元にも返送できないメールはpostmaster宛てに届きますがそれもチェックするとspammerのドメインなどが見つかるので登録しています。宛先不明のspamにはしばしば「新鮮」なspammerのドメインが含まれているので要チェックです。
個人メールサーバーの場合には返送できないで /var/spool/mqueue に溜まっているメールもspammerのドメインとアドレスの発見に役立てています。spammerはエラーメールを受信したくないのでデタラメのアドレスをMXに指定する事が多く、長い間返送できないメールはほとんどspamと判断できます。もちろんこれも登録します。
2)RBL
以下のRBLをsendmailに組み込んでいます。ただ数があればいいというものではなく同じ機能、同じデータを
持っているRBLを使うとトラフィックが増えるだけなので十分に調べた上で選定してください。当社の場合予備調査をして以下がいいと結論を出したものです。
(調査からしばらく経過しているのでそろそろまた調査しないといけないですね)
all.rbl.jp
bl.spamcop.net
list.dsbl.org
sbl-xbl.spamhaus.org
これらの拒絶数は http://www.hart.co.jp/spam/で公開しています。
ここではrbl.jpでの拒絶が少ないのですがrbl.jpで拒絶する前にローカルの拒絶リストや逆引きチェックにひっかかるためでローカルの拒絶リストを甘くして逆引きもチェックしていない他のサーバーではall.rbl.jpで一日に
70件以上拒絶している例もあります。
話に聞くところでは日本のメールニュースのサーバーがたまに誤って bl.spamcop.net に登録されてしまうことがあるそうなのでニュースやメーリングリストを購読している方は bl.spamcop.net は使わないほうがいいかもしれません。他のRBLでも間違ってプロバイダのメールサーバーのアドレスが間違って登録されてしまうとしばらくの間そこからのメールは拒絶されてしまうので利用にあたっては注意が必要です。
3)SpamAssassin(3.0.1)
SpamAssassinはバージョンが3になってから飛躍的に性能が向上しました。もしまだ古いバージョンをお使いでしたら是非とも最新のものにしてください。
SpamAssassinのデフォルト設定以外にここで解説するSpamAssassin関連の設定とバルクメーラーチェックの機能などを組み込んでいます。また英語のメールや添付ファイルがあるメールをspamと誤判定することもあるのでホワイトリストのメンテナンスは欠かせません。当社の場合メールが来る可能性があるアメリカの会社のドメイン名は全部ホワイトリストに登録しています。日本語のメールはよほどひどいメール(たとえば全部がhtml形式であるとか)以外は大丈夫のようです。
最近のspamでは本文中で宣伝するURLのドメインとメールのFrom: のドメインが異なる場合の方が多いので
url.rbl.jpの効果は絶大です。
SpamAssassinでspamと判定されたメールからもspammerのドメインとアドレスはurl.rbl.jpとshort.rbl.jpに登録しています。
4)ClamAV
spamツールではないのですが最近のメールサーバーの常識となったウイルスチェックソフトです。
ゾンビspamはウイルスを忍び込ませたパソコンを乗っ取ってそれを送信サーバーとして使うものですから
自分やそのメールサーバーのユーザーがspammerにならないためにも必要です。
ClamAVがウイルスと判断したメールがあった場合には送り元のホスト名(またはIPアドレス)が通知されますので
それを半自動でvirus.rbl.jpに取り込んでいます。
3)と 4)に関してはここに解説がありますのでご覧ください。
5)逆引きできないホストからのメールを拒絶
韓国や中国からのspamはこれでほぼ完全に遮断できています。これに関しての解説は
こちらをご覧ください。
新しい組み合わせで運用を開始して1週間くらいになりますが今のところ受信したspamは増えてはいません。
通り抜けるspamは前と同じように一日に1通あるかないかです。
この設定をする場合にはあなたの判断で行なってください。設定した結果メールが消えるなどの損害が出ても無保証です。
Nikki Top