[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0043番へ]
[ 22820 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2006 Sep 09 22:05:18
記事No.22820/タイトル:スパムを退治する(2)
投稿日:2006/09/09(Sat) 22:05:18 / 投稿者:柴崎@銀河企画
★ツリー/親記事[22820]
-レス記事[22821]

ID-code:7HyD4yl1cNU(本記事は投稿者自身により09/09-22:34に修正されました)

前記、スパムを退治する(1)では、
ダミーのメールアドレスを公開することで、スパマーをわざと誘引し、
その収穫に基づいてブラックリストを作成する方法を示しました。
このブラックリストは、本来のメールアドレスに対してスパマーから送られてくるメールの
質の高いフィルターになりうるものと考えています。
以上は『スパムを回避する』ことを主眼としたものでしたが、
次に、もう一歩踏み込んだ方法を述べたいと思います。

スパムを退治する(1)で作成したブラックリストのIPで、特に繰り返し接続要求をしてくる相手を、
上位のブラックリストである「暗黒リスト」に入れます。
選定は、IPと回数の対を記録・管理することで自動化できます。
この暗黒リストを、ファイアウォールのテーブルに送り込んで、
該当するIPアドレスから25番ポートに入ってくる接続要求信号だけを無応答化するように罠を仕掛けます。
大雑把にいうと、接続要求信号には、メールのエージェントが
承諾応答「オーケー」、拒絶応答「ダメ」、保留応答「今はダメ」の3種類から一つを応答するのですが、
送信側のサーバーは、この応答を待つ間、おそらく時間を消費するかメモリを消費するかのどちらかになります。

受信側は、ファイアウォールがその接続要求信号を捨てるだけなので、負荷は掛からず、
メールのエラーログにも記録されません。
いっぽう、送信側は、応答が返るのをあきらめるまでの間、リソースの浪費を余儀なくされます。
また、応答を諦めた後は、メール送信プロセスが異常終了してエラーログに記録されます。

以上の動作はスパムを退治するのに有効で、抑止力になる可能性を持つものと思います。

記事No.22821/タイトル:Re: スパムを退治する(2)
投稿日:2006/09/10(Sun) 00:18:29 / 投稿者:blackcat2002@ご隠居
★ツリー/親記事[22820]+前記事[22820]
-レス記事[22824]
参照先:http://antispam.domain-kingdom.com/

ID-code:GtruX96zlV2(本記事は投稿者自身により09/10-00:20に修正されました)

補足だけですけどはじめまして
blackcat2002@ご隠居と申します。
すでに撲滅活動からは引退しています

現状日本ではblacklist-dnsを利用した受信拒否は
営利企業クラスのみが利用する事がある。

日本ISPは一切接続せず、提携フィルタを準備しオプション料金(0円も含む)にて提供する。
これが日本ISP界の常識になっています。
*使っているISPもあるようですけど、全体から見たら極端な少数です

ですので、案を利用するとしたら「企業メールサーバ」
しかあり得ない
この点を踏まえて頂ければ、柴崎@銀河企画様の案は
概ね阻止力はあるのかもしれないと思います

antispamサイトの土台であるxreaさんは
http://sb.xrea.com/showthread.php?t=10620
を導入し、高成果をあげているようです。
個人的には逆引き拒否だけで十分だと思うんですけど。

ではでは寝る前ですけど失礼いたします

記事No.22824/タイトル:Re^2: スパムを退治する(2)
投稿日:2006/09/10(Sun) 15:58:20 / 投稿者:柴崎@銀河企画
★ツリー/親記事[22820]++前記事[22821]
-レス記事[22827]

ID-code:7HyD4yl1cNU

解説ありがとうございます。
この種類の対策が使えるのは、ドメインやメールサーバーを自主管理している、特に
「少人数でメールサーバを運用している法人か個人事業者」の方、かなと思っています。

xreaさんのような「IPの逆引きが出来ないサイトからの接続を拒否」をルールに入れるとするなら、
スパムを退治する(1)での規則に次を追加します。
* (3-5) IPの逆引きができない
ただ、『偽fromの常用者を叩く』という今回の大義からは離れていきます。

いずれにしても、スパムを退治する(2)で述べた
相手IPアドレスによって選択的に(拒否応答ではなく)25番ポートを無応答化する方法は、
スパムメール送信サーバーに対して送信遅延やログ増加などの打撃を加えられるので、
多くのサーバーが使えばそれなりの駆除効果があるように思えます。
そうなれば、スパムで苦しむ人すべてにその功用は還元されます。

記事No.22827/タイトル:Re^3: スパムを退治する(2)
投稿日:2006/09/12(Tue) 00:06:02 / 投稿者:blackcat2002@ご隠居
★ツリー/親記事[22820]+++前記事[22824]
-レス記事[22834]
参照先:http://antispam.domain-kingdom.com/

ID-code:GtruX96zlV2(本記事は投稿者自身により09/12-00:12に修正されました)

blackcat2002@ご隠居です
> この種類の対策が使えるのは、ドメインやメールサーバーを自主管>理している、特に
> 「少人数でメールサーバを運用している法人か個人事業者」の方、>かなと思っています。
まさに思っている通りおっしゃる通りで、日本ISPで導入したら大事件になるくらいに導入率は低いと思っている次第です
とはいっても、一部のISPではblacklist-dns接続済みはある
のも確かです

> xreaさんのような「IPの逆引きが出来ないサイトからの接続を拒
>否」をルールに入れるとするなら、
> スパムを退治する(1)での規則に次を追加します。
> * (3-5) IPの逆引きができない
> ただ、『偽fromの常用者を叩く』という今回の大義からは離れてい>きます。
xreaさんのはどちらかというと、海外向けで嘘名乗り(正引き・逆引き違い or 逆引きなし)対策だったようですけど
RFCにないから逆引き設定なしでもOKという
日本業者からのメールも受け取れないと苦情がでて
一見さんお断りも導入したようです

逆引きcheckは
1:逆引きなし=NG
2:逆引きしたドメイン名と正引きしたドメイン名が違う
  =NG
のようで、フレッツ・アッカ等で立てたメールサーバでも受信はします。
あくまで送信に使っているIPアドレスに対しての話ですので
おっしゃる通りにFROMからは離れてしまうのも事実です

一見さんの定義は、1回しか接続しなくて2回目以降は諦める
サーバを指すようです
礼儀正しく2回目の接続で受信してしまうという欠点もあります

以下は独り言ですけど、超究極奥義として・・・
ユーザが企業の社員(当たり前ですが)で、特定のドメイン相手にしか仕事で使わない
という条件であれば、送受信共に
許可:取引先のドメイン名のみ
拒否:その他のドメイン
で、鋼鉄の城に思えるんですけど・・・
なんとなくですね、なんとなくですね
機密情報漏れ防止にもつながりそうな気がするんです。

記事No.22834/タイトル:Re^4: スパムを退治する(2)
投稿日:2006/09/14(Thu) 18:23:20 / 投稿者:柴崎@銀河企画
★ツリー/親記事[22820]++++前記事[22827]

ID-code:7HyD4yl1cNU

とりあえず、スパムを退治する(1)(2)の機能を自社サーバーに実装しました。
進捗がありましたら、またご報告します。
#sage

[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0043番へ]
bokumetusiteki