17.迷惑メ−ルとメ−ルサ−バ 17-1. 迷惑メ−ルの状況と対策方法 (1) 2005年迷惑メ−ルの状況 -------------------------------------------------------------------------------- 以前やった SPAM 対策は、第三者中継(オ−プンリレ−)をさせないようにすることだった。 -------------------------------------------------------------------------------- * 日本はいつからこんな国になったんだ! 電話はもう社会的インフラとしては崩壊している。電話を取ればオレオレ詐欺、投資など の勧誘、奥さんパンツ何色と言ういかれ野郎。まともな電話の方が少ないかも。もう無茶 苦茶だ。家の電話番号はよほど知った人でなければ、絶対に教えるな。ガソリンスタンド の会員とかマンションのモデルル−ムでのアンケ−トとか、相手から電話が欲しいという ことでなければ、電話番号は教える必要はそもそもない。もう電話は通信手段のインフラ としては用をなさない。メ−ルもだんだんそうなりつつある。`24 初め お友達メ−ルが頻繁に来るぞ。朝日新聞にも載った。半年位前からかな。なれなれなしく メ−ルくれた?、来ないだのコンパ楽しかったネ、間違ってメ−ル来たみたいだけどよか った?。最初分からんかった。安易に返事のメ−ル送らんでよかった。`24/12のこと。同 じような話があった「UNIX MAGAZINE」2005/02 の "NetNews便り"、2004/12現在の今月の 話題から。お忙しいところすいません、というタイトルで知らない人から最近メ−ルが多 く来る。これはフィッシング・メ−ルでないのか。30秒ぐらい考えてしまった。という 投稿記事の紹介。自分がそういうメ−ルを受け取ったのも、同じ時期だった。 以前の InterScan のログを見ると、 1ヶ月に1000件ぐらいウィルス入りのメ−ルが 来ていた。侵入防御装置の DefensePro を入れたら、それが1日に0か1つになった。そ の後、ウィルス入りメ−ルが増えて来ているのか減っているのか、 DefensePro がかんで いるため掴めない。迷惑メ−ルは少なかったが、だんだん増えてきたのは確かである。自 分は1日に20から30、あるSI業者さんに尋ねたら、その人もそのぐらいと言ってい た。あるプロバイダの人は50とか多いと1日に100。社内の普通の人は1日に1とか 2通だろう。稀に多い人がいれば20前後という感じである。`25/09 * 迷惑メ−ルの対策 `25/09 スパムは大量のメ−ルを送りつけられること、または自分とこのメ−ルサ−バを大量メ− ルを送る踏台にされること。迷惑メ−ルは不必要なメ−ルである。郵便受けに毎日いらん ダイレクトメ−ルが何通も来るのと同じ話である。自分はだいたい1日20から30通で 日本語8割、英語2割という感じ。ほとんどエッチな内容のだ。自分はこうしてホ−ムペ −ジを持っていて、メ−ルアドレスもある程度流出してしまっている。どうも普通の人は 1日に4、5通かたまに来る程度みたいである。会社にその程度、迷惑メ−ルが来たとこ ろで、パッパと消して終わりである。それでも問題になってきたことがあった。営業さん が携帯電話に転送している場合である。しょっちゅう携帯電話がピロピロなって、メ−ル を見たらおかしな奴だった。変なメ−ルは転送しないようにするとか、メ−ルサ−バで削 除するとかして欲しいという訳である。いずれにせよ、今後迷惑メ−ルはどんどん増える だろう。対策を検討し始める時期が来たのかも知れない。 ・メ−ルサ−バでブロックする。DNS 逆引きチェック、お馴染みさん方式。 ・携帯ヘのメ−ル転送をやめる。禁止している会社もある。 ・メ−ルアドレスを変更する。とりあえず手っ取り早く対策できる。 ・メ−ル転送制御する。Procmail とかいろいろ、Usermin のメ−ル転送機能。 ・メ−ルをフィルタリングする。フリ−の SpamAssassin、処理が重たいとか。 ・メ−ルをフィルタリングする。InterScan eManager、慎重に使わないと。 ・メ−ルソフトのベイジアンフィルタ利用。Thunderbird、Outlook 2003、Becky!。 「iij.news」2005/3-4, vol.69, "spamからメ−ルを守れ(管理者編)"。他にも vol.66, > vol.70, vol.72 に SPAM や迷惑メ−ルのことが記載されている。IIJはメ−ルのサ−ビ スに 2004/10/28 から迷惑メ−ル対策機能を追加した。 MX Logic 社の迷惑メ−ルの度 合を判断するソフトを使用している。メ−ルリレ−を IIJ側にして、このサ−ビスをお 試しで使ってみませんかと営業さんが来た。メ−ルリレ−の場所を動かす、なかなかそ ういう訳にはいかない。この冊子からキ−ワ−ドを抜き出しておく。送信者認証、ドメ イン認証、フィッシング、ゾンビPC。迷惑メ−ル対策に2003年ぐらいから業界が 動き出している。APWG, MAAWG, JEAG といった団体ができた。 「Software Design」2005/08,"特集:オ−プンソ−ス+αでキメる完全無欠のメ−ルサ−バ"。 > ベイズ理論という原理による SPAM メ−ルを判断するフィルタ−のソフトSpamAssassin、 ブラックリストとホワイトリストも併用する。~/.forward ファイルに procmailを指定 する。procmail は ~/.procmailrc ファイルを見て、spamc を起動する。spamc を利用 するには spamd デ−モンが稼働していること。おなじみさん方式の Postfix が外部で 使えるサ−バに Postgrey という SPAM メ−ル対策ソフトがある。グレイリスト。 「UNIX MAGAZINE」2005/09, P.134〜137, "ワ−クステ−ションの音"。 > スロットリングで迷惑メ−ル対策。情報処理学会 分散システム/インタ−ネット運用 技術研究会であった大分大学の発表を参考。sendmail 8.13 で導入された throttling 機能、メ−ルの送受信の応答を遅らせる機能を利用して迷惑メ−ルを減らす。1週間7 万通のメ−ルから1万通の迷惑メ−ルを遮断した。sendmail でなく Postfix で同じこ とをやってみたという記事、全てのメ−ル受信で3秒待つというル−ル、効果ありそう。 経験上 DNSに登録されていないサ−バからのメ−ルはほとんど迷惑メ−ルという記事も。 「UNIX MAGAZINE」2002/12,"横着プログラミング 高林哲 scmail -- Scheme によるメ−ル > フィルタ"。P.145〜155。Lisp の方言の Scheme で高林氏が作成。scmailを利用するに は Gauche という Schemeの処理系をマシンにインスト−ルする。振分けはS式(Symbol Expression)か Scheme でプログラミング。余談の procmail恐怖症、使うのはかなりめ んどう。フィルタリングのル−ルの記述は、究めて記号的で直感的ではない。UNIX で使われるメ−ルボックスには mbox, MH, Maildir 形式がある。scmail は MH 形式に 対応する。scmail はメ−ル転送ル−ルの記述もできる。 * メモ 聞いたことなど。隣の隣の国は DNS のIPアドレスの逆引きは全くやらないとか。 お馴 染みさん方式も、誤検知はままあるらしい?。2004年の初めの時点では、逆引きので きないメ−ルは、問答無用で破棄してもよかったのに。変わってしまった。 @nifty のこと。2005/03/30 に迷惑メ−ルのお問い合わせが急増していますのアナウンス。 http://www.nifty.com/antispam/ 迷惑メ−ル対策、内容充実している。2005/06から迷惑 メ−ルの判定フィルタ−に Symantec Brightmail AntiSpam を加えた。 最初 IIJの営業さんが迷惑メ−ルのことで来た時、あまり関係ないねと、ふ−んと聞き流 した。2004年ぐらい。JEAG( Japan Email Anti-Abuse Group ) IIJなどが 2005/03発 起、迷惑メ−ルの撲滅に防止を掲げる。迷惑メ−ルは予想外の広がりになっている。 * 参考 「テクインフォ」2003/07, VOL.44, P.5〜7。Sieve を利用したメ−ルのフィルタリングに > ついて、RFC3028 E-Mail をフィルタリングする。Sieveはフィルタリングするル−ルを 記述する言語。SunONE Messaging Server 5.x には実装されている。 「UNIX MAGAZINE」2005/04, P.34〜38, "UNIX Communicatin Notes, SPAM だらけのメ−ル > ボックス(2), Mozilla Thunderbird での SPAM フィルタの利用"。 「日経パソコン」2005/04/25, P.64〜85, "特集1:さらば迷惑メ−ル"。体を張ったおとり > 捜査で、迷惑メ−ルの実態を探った。この時点の編集部でのアンケ−トで、迷惑メ−ル はほとんどない人が 30% 弱。毎日10通以下が 50% 強。`27/01 記事は見た。 (2) 2006年迷惑メ−ルの状況 -------------------------------------------------------------------------------- スパムメ−ルは2006年後半から急激に増加し始めた。自分には一日に30から50通。 -------------------------------------------------------------------------------- * 迷惑メ−ルの状況 どれぐらい迷惑メ−ルが来ているか。2005年末から2006年早々、自分には会社に はほとんど来てない。個人のメ−ルアドレスには毎日20ぐらいか。会社の info@xxx 宛 で100ぐらい。全社に一度アンケ−トとってみないといけないか。とりあえず周りの人 らに聞いてみたら10通ぐらいおかしげなのが来ているという人、一日に1通ぐらいの人。 多いと見るべきか少ないと見るべきか。2006年12月時点、自分の個人宛に60から 80、英語と日本語で4:6ぐらいか。先に20というのは、プロバイダで .com からの メ−ルは受け取らないようにフィルタリングしていたので、少なかったこともある。さら に .cn も受け取らないようしていた、.cn からのもあれば80以上になっていたはず。 自分に来る迷惑メ−ルを見ているとアジアから発信されたかと思われる女性を装った勧誘 みたいなメ−ル。それらしい日本人の女性の名前が差出人になっている。これらは迷惑な だけで、リンクをクリックしなければ実害はあまりない。銀行やクレジット会社を語った フィッシングメ−ルは、これまで1つぐらいしかなかった。エラ−メ−ルを装ったような のもある、怪しげな添付ファイルがついている。自分は怪しそうなのはクリックしないが、 普通の社員の人らはクリックしないとは限らない。セキュリティ教育をがんがんやるか?。 それで問題なくなる?。やはりそもそもできるだけ安全なようにしなければならない。 電子メ−ルを捨てるという選択もあり、アメリカでは実際そういう人もでてきているとか。 あまにも迷惑メ−ルが多いという。「iij.news」によれば、欧米では2005年には7割、 2006年では8割が迷惑メ−ルとのこと。日本には1年から2年遅れて上陸だ。5年後 にはメ−ルの利用は半分になると予測するITの調査会社もある、2006年12月の話。 SNSなど Web2.0 系のコミュニケ−ションツ−ルが企業でも増えていくだろうとのこと。 小生は5年といわない、2〜3年でそうした変化が顕著になっていくと思う。でもメ−ル の仕組み自体は5年では無くならないと思う。多分、迷惑メ−ルも減ることはない。 * 迷惑メ−ルのメモ 迷惑メ−ルはボットからの発信が大半を占めるようになっている。常時接続の家庭のパソ コンなんかを使っている。家の主が普通にインタ−ネットで遊んでいる最中に、ボットが 何食わぬ顔でせっせと働いている。ボットは自分の方から親に連絡をとって、命令を受け 取ったりセルフコンパイルして自分自身を変えていく。 RFID について以前、小生が書い たことそのままが実際に起こっている。ボットは検出ができにくい。どんどん変わってい くので、検体の入手と比較というシグネチャによるチェックは効かない。最悪だ。 大容量のファイルをやりとりできる無料サイトがある。メ−ルが来て、誰それさんよりの ファイルを預かっています、何日以内にここをクリックしてファイルを受け取って下さい と書いてある。僕もそれでファイルをもらったことがある。素性の知れないサイトのサ− ビスを使うのはいかがなものか。企業によっては禁止のお触れを出すところもある。そり ゃそうだ。ただほど怖いものはない。そうしたファイルを溜めるだけ溜めて、どこかに売 ってしまって、とんずらこくとか。 フィッシングが日本では少ないのは、オレオレ詐欺で十分だますことができるかららしい。 振り込め詐欺という。フィッシングサイトは国内では数十例しかない、アメリカはいっぱ いあるらしい。まるで本物、本物サイトからコピ−して作りこむから。URL表示のとこ ろがIPアドレスになっているので変だなと分かる。でも、ここも偽造してしまう。まる で分からなくなる。DNS のキャッシュ情報を書き換えるなり、入れるなりして偽サイトに 誘い込む。パソコンの hosts ファイルにサイトの嘘のIPアドレスを書き込んだりも。 どうも内では、エラ−メ−ルは InterScanのウィルスチェックソフトが弾いているようだ が。管理者である自分に毎日20通ぐらいそのようなメ−ルが来る。メ−ルサ−バに何が 起こっているか状況を掴むために、異常が生じたメ−ルは自分に送るように設定している。 いや InterScan だけでない、メ−ルリレ−からもエラ−メ−ルが来る。 エラ−メ−ルの 宛先を別なところにできる?。普通は差出人のところに、そんな人はいませんでしたとか えっていく。詳しく見てみないことにはいけない。 HTMLメ−ルは問題だった、Outlook はデフォルトのメ−ル形式に一時なっていた。メ−ル を見ただけでウィルスに感染した。メ−ルの開封確認もよろしくなかった。一時、開封確 認を要求するメ−ルも、ままあったが、ほとんど使われることはなくなった。新しい技術 や便利なサ−ビスが出て来るたびに、悪用されてしまう。 そもそもの問題の発端は SMTP が20年以上前にできて、ほとんど変わってないことによる。セキュアな新しいメ−ルシ ステムの提案が必要である。 伊藤忠テクノサイエンスから、スパムやフィッシングなどのセミナ−を名古屋で 2006/09 にやると案内がきていた。セッション1でWeb、メ−ルを取り巻くセキュリティの脅威、 McAfee の Secure Content Management (SCM) Appliance 紹介。セッション2で情報漏洩 に対する保護環境の構築ということで、IPS の活用と McAfee IntruShield 最新バ−ジョ ンのご紹介。出席もせず、この時点ではまだスパムの事の重大さに気付いていなかった。 * 迷惑メ−ル対策のアプライアンス製品には注意 RBL ではじく。RBL は問題のないところまで載せてしまっている。ボランティアでやって いるから、文句は言うなという感じらしい。申告のあったIPアドレスは何も調べること なく登録してしまう。へたすると ./24 クラスC相当で、がさっと登録することもあるら しい。そんなことで製品を入れて稼働し始めたら、社内のユ−ザからメ−ルが届かないと いう苦情が1〜2ヶ月の間にどんどん出て来る。上の方から何とかしろ、そんなチェック は止めろと圧力がかかって、とりあえず RBLのチェックは外すというのがお決まりらしい。 するとかなりのメ−ルがRBL で弾かれていたのが、迷惑メ−ルフィルタ−を通ることにな る。するとその量に迷惑メ−ルフィルタ−の機能が追い付いていかない。メ−ルの配送遅 延が生じてくる。業者に相談すると、アプライアンス製品をもう1台入れましょう、ある いは処理能力の高いモデルに変えましょうということになる。迷惑メ−ル対策アプライア ンスにソフトは、外国で作られた製品が多いので、2バイトコ−ドつまり日本語にそもそ も、ちゃんと対応してない迷惑メ−ルフィルタ−が多いらしい。あまり弾いてくれない。 * Outbound Port 25 Blocking ( 略して OP25 という ) プロバイダがこれで制限、Inbound を制限するのもでてきた。個人ユ−ザがプロバイダの メ−ルサ−バにアクセスする際のこと。企業などでは改めて設定することはないのでない か。25 番ポ−トのブロック。代わりにサブミッションポ−ト587番を使えるようにするプ ロバイダもある。メ−ル送信に 587番を指定する。Outlook Express 6.x はサポ−ト。暗 号化とは別な話のようである。Nifty は 2006/02 に実施、IP25 も 2006/06 に実施。 IIJは個人向けインタ−ネット接続サ−ビスで 2005/10 に実施。プロバイダのメ−ルサ− バを経由せず、直接相手先のメ−ルサ−バに送ってしまう。自分とかのポストに投函せず に、相手の家の前のポストに投函する。企業ではファイアウォ−ルで、内部から外部への 25番ポ−トへのアクセスは、最初からできないようにル−ル設定で禁止しているはずであ る。デフォルト禁止の設定で、許可するもののみル−ルに明示的に記述する。 * S/MIME の状況は 三井住友銀行は2006年5月から、銀行から送信するメ−ルに電子署名を付与している。 個々のパソコンのメ−ルソフトにデジタルIDを入れて暗号化する。もらった方は、送信 者のデジタルIDの公開鍵で暗号を解いて内容を見ることができる。Webメ−ル、携帯 メ−ルは対応してない。親デジタルIDが携帯電話には入ってないから、Webメ−ルの ソフトがデジタルIDに対応してないから。過去に暗号化したメ−ルは期限が切れた証明 書でも復号化はできる。BIGLOBE、@nifty も S/MIME に対応。 * RBL はもうだめだ Realtime Blackhole List 『Email Security Conference 2006,11/28,29』"迷惑メ−ル対策としての RBL その効用と 功罪"、パネルディスカッションにて。RBL で弊害が出ている。一番使われている RBL の 1つの Spamhause の人も出席。ブロック単位で登録しないで欲しい。 画像イメ−ジによ る迷惑メ−ルが復活してきている。第1回の時のチケットをSI業者さんがくれたことが ある、参加費用は2日通し5万円。今回も同じく。2006/12/20にも知り合いと話していて、 ORDB.org という RBL サイトが無くなるらしいと聞いた。どうも訴訟問題らしい?。この ようなサ−ビスをボランティアでやる時代ではない。国内のブラックリストの RBL.JP プ ロジェクト http://www.rbl.jp/ は、まだきちんとメンテナンスされているもよう。しか し RBL はもう役にたたない、2006年12月のセミナ−での講師もそう話していた。 最近は有料の RBLというのが出てきた。主に迷惑メ−ル対策のアプライアンス製品の一つ の機能として入っている。Reputation Services という。Reputationは評判という意味で そのメ−カが独自にデ−タを収集し、評価値を付けているのである。DNS でそのメ−カの 評価サ−バに問い合わせしたりするようになっている。2007年の NET&COMでブ−スを 回っている際、そうした製品を幾つか目にした。雑誌を見てたら IronPort が提供してい るhttp://www.senderbase.org/というのがあった。『Email Security Conference 2006』 の案内状が来ていた。封を開けて一度見たのに、記憶に残っていなかった。場所は神田駅 のすぐ近く。封筒裏の弊社が招待します、の所には何も書いてなかった。左端の所に主催 者である CMPテクノロジ−ジャパン(株)とあっただけ。一体どこが招待してくれたのかな。 ※Spamhause、DNSBL サイト http://sbl.spamhaus.org。SPAM メ−ルを送信、中継してい るサイトのIPアドレスのリスト。 * メモ メ−ルの監査、金融機関はやっているところが多い。民間企業ではほとんどやっていない。 メ−ルのア−カイブしているところの話、ある日IT部門に誰それのメ−ルを1年分全部 出せと言っていくる。経営企画部門とか、ともかく上の方から。 狙い撃ちされると、一挙に数十万通というメ−ルを送り付けられる。そうなるとメ−ルサ −バの機能は完全に麻痺してしまう。2006年8月頃そういうのがあったという。 TIC でもあったがその時期だった、丸一日メ−ルサ−バが麻痺していた模様。 ボットに寄生されたゾンビPCからの発信されるメ−ル。スパマ−が使う専用メ−ル送信 ソフト、バルクメイラ−というらしい。メ−ルのヘッダ−にこの特殊名メイラ−の名前が かつては書かれていたとか。それで迷惑メ−ルも判断することもできた。 画像スパムが1年で急増、2006年初めは30%、末には65%。サイズもテキストの から3〜4倍。画像スパムは文字列のフィルタリングを回避する。機械の OCRは読めなく ても人間は読んでしまう。しかし明らかにスパムと分かるのを誰が読むというのだ。 SonicWALL Email Security、2006/08。LDAP サ−バと同期がとれる、リアルタイムに連携 ができる。ジャンクボックスは個人が管理できる。個人でフィルタリングの強度を調整で きる。50ユ−ザ版で50万円弱、アンチウィルスはオプションで別料金。 新聞記事2007/01/17。2006年7、8月に54億通の出会い系の迷惑メ−ルを送ってい た。名簿業者から230億件のアドレスリストを使って、中国から100台あまりのパソ コンから送った。ボットではないみたい。迷惑メ−ル防止法違反で逮捕された。 2007/01/17 の新聞記事。 2006年7、8月に54億通の出会い系の迷惑メ−ルを送っ ていた。名簿業者から230億件のアドレスリストを使って、中国から100台あまりの パソコンから送った。ボットではないみたい。迷惑メ−ル防止法違反で逮捕された。 Apache 1.3.33 セキュリティホ−ルをついて SPAM を発信する、バッファオ−バフロ−を 起こして sendmail を制御する、長崎のハ−トより 2006/12/20。`27/04 追記、中部地区 のとある大学で Apache をそのままにしてたら rootkit 仕掛けられたと聞いたバイ。 Outlook のメ−ルを開いていると、数分すると以下のメッセ−ジが Outlookの画面に出て くる。(i)2007/01/12 11:37 に返信しました。関連のあるメッセ−ジを検索するには、こ こをクリックして下さい。勝手にメ−ルを出しているのか?。 ハニ−ポット。Blacklist の作成。ホ−ムペ−ジに適当なメ−ルアドレスを載せて、収集 業者につかます。このメ−ルアドレスへのメ−ルは、迷惑メ−ルとほぼ言える。同じ内容 のメ−ルが他にも来たら、それは迷惑メ−ルと言える。鮎の友釣り方式とでもいうか。 Source Address Validation。不正な送信元のネットワ−クのIPアドレスを防ぐ。IIJが 2006年5月から導入。まともなIPアドレスからきているかどうか、かな?。IIJ の 中のネットワ−ク部でチェックするみたい。エンドユ−ザには関係はない。 qsv系というスパムはボットは使ってないので Greylisting は効かない。 ボットネッ トは専用のレンタル業者がいる、利用するのに金がかかる。もはや愉快犯ではなく、仕事 としてspamメ−ルを送っている。非常に困った事態になったもんだ。 DHA( Directory Harvesting Attack )、メ−ルアドレスの収集を目的にしたアタック。適 当なメ−ルアドレスにどんどん送って、エラ−で返って来た以外が有効なメ−ルアドレス。 ドメイン名が nix.co.jj なら kkk@nix.co.jj 次が jjj@nix.co.jj というように。 * 参考 「Software Design」 2006/05, P.66〜75, "spamヘの抜本的対策! 次世代メ−ル環境 >「Petmail」の魅力"。(株)テンア−トニの人の記事。ほとんど普及してない模様。 「安全メ−ル環境構築ガイド」 2006/08/04, アスキ−ムック, 1,764円(税込)。 > 今どきの企業向けウィルス対策、日本版SOX法対応メ−ルセキュリティ。 http://www.promark-inc.com/Product/antispam.html ProScan の Antispam オプション > グレイリスト方式採用 但し Postfix の After queue filter では利用できない。 「UNIX MAGAZINE」 2006/01, P.41〜52, "連載 ネット−クとセキュリティ16, SPAM送信手 > 法の変遷と対策"。 送り先のメ−ルサ−バに直接接続しておくる Direct to MX。プロ キシ・サ−バが SPAM を中継するか調べる pxytest プログラム。 (3) いろいろな迷惑メ−ル対策の方法 `26/10〜 * 概要 ユ−ザには不用意にメ−ルアドレスを外に出さないように指導、啓蒙する。会社のメ−ル アドレスを個人用でも使っている人が7割とか。まあ名刺をスナックで、あまり考えもせ ず出すようなものだ。それは置いといて、どういうことがメ−ルアドレスの流出になるの か。そこのところがよく分かっていないことにはいけない。例えば、おかしなメ−ルを一 応どんなものか確認する。あるいはネットでいろいろ調べていて検索でひかっかたサイト をクリックしてみる。それだけでメ−ルアドレスが流出するか。その可能性があるか。な いとは思うのだけれどないと言い切れるほど、まだ自分は理解してないのだが。いやクリ ックしただけでボットに感染したりして、メ−ルアドレスも流出すると考えた方がいい。 家庭なんかのパソコンに巣くったボットから、タ−ゲットのメ−ルサ−バに直接メ−ルを 送る。これは OP25 でプロバイダが止めるようになるだろう。しかし、プロバイダのメ− ルサ−バをちゃんと経由するメ−ルは抜ける。これは自分とこにやってくる迷惑メ−ルで、 逆に自分とこが発信元になる場合もある。企業など組織に侵入したボットからのメ−ルで ある。これらのメ−ルで、同じ宛先に連続して送るのを検知するとか、おかしな振る舞い をするメ−ルを止めるとか。しかしボットはプログラムだから、どないにでもなる。例え ば適当に時間をおいて xxx@nix.co.jj, yyy@nix.co.jj, zzz@nix.co.jjへ送るとか。他の ドメイン名の宛先のメ−ルをランダムに混ぜて送るとか。 * Greet Pause 方式 sendmail-8.13 からサポ−トされた Greet Pause というオプションがある。 メ−ルサ− バにアクセスされた時に、SMTP Greeting Message 応答を一定時間、意図的に遅らせて迷 惑メ−ルを撃退するというものである。これは国内では先ず、大分大学の情報処理センタ −が実施した。その研究論文を元に、序々に国内でも広まりつつある。遅らせる時間によ って2割から8割、迷惑メ−ルを排除できるという。長崎のspam対策を以前からやっ ている会社のサイトに Greet Pause をやっている話がある。 結構いろいろ調整しないと いけないみたいで大変そうである。5秒から60秒で調整している。InterScan eManager のような基本的にテキストマッチングでは、誤検知が避けられない。一見さんお断り方式 では、メ−ルの即時性が失われる。Greet Pause にはそうした副作用はない。 Greet Pause は Mail-Relay で使う。このホストで #telnet localhost 25 とやると、普 通はすぐに 220 mail.nix.co.jj ESMTP ... と出てくる。そしたら続けてコマンドを入れ てメ−ルを送ることができる。 Greet Pause はこの 220 挨拶文を出すのにインタ−バル をおく。迷惑メ−ルはその時間を待とうとせず、すぐに次のコマンドを送ってこようとす る。それはまともでないメ−ルとみなして拒絶するのである。相手メ−ルサ−バを接続し てきた時に一定時間待たせるのであって、一見さんお断り方式のようにメ−ルを再送させ るのではない。この方式の欠点は、まっとうなメ−ルサ−バも待たせてしまうことである。 Greet Pause をどこの組織でも設定したら、大変なことになるのでないか。 * Greylisting 方式/お馴染みさん方式/GION Blacklist と Whitelist と Greylist を使う。黒、白、灰色リスト。 Blacklist は拒否 Whitelist は許可、Greylistは判断保留で一時的に拒否して(5分以上)して再送してきた ら許可する。岐阜の大学でも試験導入していた、`26/12。Greylisting による対策をする かどうか、近くの大学の先生も様子見だという。対策をしてもすぐに SPAM 屋さんは対策 を打ってくるだろうし。一時凌ぎにしかならないかも知れないが、しばらくはいいだろう。 お馴染みさん方式、いちげんさんお断わり方式ともいう。鈴木先生と前野先生が取り組ん だ。http://spam.qmail.jp/onazimi.html。 鈴木先生がやった2004年2月頃からの実 験レポ−トがある "TICによるspam対策"、http://www.tokai-ic.or.jp/spam/。お 馴染みさん方式は Greylisting と同じ原理ということでいいのでないか。sendmail 8.13 で導入された throttling 機能である。throttle とは絞る、スロットルのことである。 リフレクションの"GION"。鈴木先生が "お馴染みさん方式" を発展させた、リフレクショ ンの http://www.reflection.co.jp/spam/, 2004/12/06。メ−ルリレ−をやってスパムを 排除するサ−ビス。DNS の MX レコ−ドをリフレクションのサ−ビスの方に向ける。専用 サ−バでチュ−ニングすれば 90〜99% の SPAM を排除するという。 中部地方の大学で一 部利用され始めているみたい。そのうち鈴木先生に会って、話を聞いてみたい。 * Trend Micro のサ−ビスは 2006/09 電話がかかってきた。Trend Micro Network Reputation Services をご存じです かとのこと。最大約80%のスパムメ−ルを遮断できる。アプリケ−ションの追加やハ− ドウェアの追加は必要なし。DNS を指定する。接続元IPアドレスから判断する。おかし なIPアドレスを16億個のデ−タベ−スと照合する。Reputation Services は2つのサ −ビスがある。2005/08。InterScan Messaging Security Suite でコンテンツフィルタリ ングもやること、組み合わせて対処する。メ−ルサ−バへの負荷も小さくなる。体験もで きるようになっている。sendmailに対応。ボットネットからもブロックできる。一般価格 アカウント数 250-499 で単価 (a) 500 円、(b) 1000 円。(a) はまさに RBL の商用サ− ビスである。トレンドマイクロが独自に作成した RBL を、MTA ソフトが DNS を利用して Trend Micro DNS サ−バに登録されているか調べる。 (a) Trend Micro RBL + Service (b) Trend Micro Network Anti-Spam Service (a) の機能も含む。 * ベイジアンフィルタ−の SpamAssassin はどうか Usermin のメニュ−の中に SpamAssassin によるフィルタリング機能がある。UNIXと Linux での利用ということになる。メ−ルソフトの Procmail を媒介にする。日本のユ− ザ会 http://spamassassin.jp/。「Software Design」2004/04, 2004/06, 2005/08 に記 事あり。結局、メ−ルに判定の文字を入れて、各ユ−ザに配送する。ユ−ザが自分のメ− ルソフトで振り分ける。メ−ルソフトでキ−ワ−ドでフォルダの振り分けするのと同じこ とである。SpamAssassin で迷惑メ−ルをタグ付けして、Procmail でおかしなメ−ルを排 除するのならいいが。Procmail 自体の設定、ル−ルの記述がめんどくさそう。 アプライアンスの製品 ThreatWall を紹介しておく。SpamAssasin でフィルタ−する製品 である。SPF や送信者IDで、先ずIPアドレスでもってブロックをする。その次にベイ ジアンフィルタ−で判断する。各ユ−ザが削除や受取りができる。IPアドレスの逆引き は誤検知が、やはりどうも多いらしい。その度にホワイトリストに、これはいいよと登録 することになる。Graylist + SpamAssasinなどのコンテンツフィルタ−がいいのでないか。 この製品を販売している知り合いの人と、そう話していました。ThreatWallは価格が安い というのがいい。大学なんかで少しずつ入っているようである。 * S25R スパム対策方式( Selective SMTP Rejection ) と taRgrey 方式 IPアドレスの逆引き。 スパム対策技術 http://www.gabacho-net/anti-spam/ が参考に なる。OP25 の対策をプロパイダがやれば、この方式は有効ではなくなる。 全世界のプロ パイダで実施されればだが。これで対策してみる価値はあるかと思う。普通は DNSに逆引 きは MX レコ−ドに mail.nix.co.jj というようなドメイン名を記載している。プロパイ ダのメ−ルサ−バ経由していればこうなる。それが経由せずに直接メ−ルを送りつけてく ると、そのプロバイダから接続期間中だけ一時的につけられたドメイン名からになる。一 般的にへたら長い名称になる。それで判別する。乗っ取られたパソコンであるボットから のメ−ルがほとんどだとすると、かなり有効だと思う。その後、更に調べたら taRgreyと いうのもあった。http://k2net.hakuba.jp/targrey/ で紹介されていた。 taRgrey は S25R + tarpitting + greylisting を組合せて、 迷惑メ−ルを98%程度弾 くと書いてあった。ここには、どのように迷惑メ−ルをフィルタリングしていくのか流れ 図も描いてあった。[IPアドレスで判定White Listで通過]->[ホスト名にして判定 S25R で動的IPぽいのを次へ]->[IPアドレスで判定Black Listで排除]->[次の応答を待たせ るtarpittingで65秒遅延]->[greylisting で再送要求]。実装は Postfix。 tarpitting は Greet Pause のこと。greylisting は再送と説明している。sendmail の Greet Pause は HELO/EHLO の前にポ−ズを挟む。postfix の tarpitting は RCPT TO の前にポ−ズを 挟む違いがある。この taRgrey を考案した人はブログの日記や「Open Source Magazine」 `26/02号にもspamのことを書いている。ただの Greet Pause より、かなりよさそう。 * フィッシング対策は 偽のサイトに誘導する詐欺メ−ル。Webのコンテンツフィルタリングでないと、最終的 には防ぐことはできないのでないか。BlueCoatをやっぱりいれるか。だまされるな、とい っても人はだまされるものである。マジックを少しかじってみて、いかに人は簡単に注意 をそらされるか、よく分かった。どんな迷惑メ−ルなのか、内容を確認しようとURLを クリックしてみる。これだけで、メ−ルアドレスを収集されてしまう可能性がある。誰で も一度ぐらいはやることである。怪しいメ−ルは絶対に即、消去せよと言ってもこういう ことは起きるものである。不用意に何も考えず、おかしなメ−ルを開くのは問題外として も。パソコン用のウィルスチェックソフトに迷惑メ−ル対策の機能が入ってきているみた いである。でも、少なくとも会社で使用しているパソコンのウィルスチェックには入って ない。どうしようか、先ずは迷惑メ−ル対策をするのが先決だ。 * アプライアンス製品 Barracuda スパムファイアウォ−ル。ライセンス数での価格でなく機能での価格、安いと のこと。よく紹介されている。モデル300が86万円、2年目から35。モデル400 は181万円、2年目から74万円。オンサイト保守平日9時から17時、エネルギ−充 填サ−ビス。2005/06 時点での価格。選ぶとしたらモデル300だろう、ユ−ザ毎の設定 と隔離領域が200にはない。1Uミニサイズ 42.4x4.3x35.6cm。モデル300の隔離領 域 5MB。ベイジアンアルゴリズム、URL フィルタリング(フィッシング対応)、RBL/DNSRBL 対応、キ−ワ−ドフィルタリング、レ−トコントロ−ル、ウィルスチェック、サ−ビス拒 否攻撃防止(DoS)、日本語対応、他。DMZのメ−ルリレ−の前に設置する。既存メ−ルシス テムには変更なし。ドメインって、何のこと、ドメインのことか。上位モデルは LDAP 対 応も。2006/2 日本語版を販売開始。 * POPFile パソコン用メ−ル便利ソフト 自動メ−ル振り分けツ−ル。フリ−ソフト http://popfile.sourceforge.net/。各自のパ ソコンに入れ常駐させバックグランドで稼働させる。メ−ルソフトに代わりにメ−ルを取 る。取って来てメ−ルの振り分けを行なう。迷惑メ−ルをベイジアンフィルタ−で学習さ せる。ユ−ザが、これは迷惑メ−ルですと指定する、それで学習してだんだん精度が上が っていく。日本語対応は KAKASI を利用。KAKASIとは文章を単語に分ける、分かち書きの アルゴリズムのこと。Windows 用、Perl を使用。POP3 のプロキシとして動く。IMAPには 正式対応はしてないが、実験モジュ−ルはある。ベイジアンフィルタ−をやるフィルタリ ングソフトは幾つかある。どれも仕組みや性能は一緒なのか。しかしどれでも結構優秀で ある。Thunderbird にもベイジアンフィルタ−が搭載されている。 * まとめ プロトコル制御 Greet Pause 方式 SMTP 接続の最初で待たせる。よい子で試してみる。 プロトコル制御 Greylisting 方式 SMTP いったん拒絶する。再度きたら通す。 S25R ( Selective SMTP Rejection ) taRgrey とか組み合わせも種々出て来ている。 GION 方式 (SMTP & DNS の仕組利用) 1次 MX のアクセスを拒絶、2次 MX へ行く。 OP25 ( Outbound Port 25 Blocking ) プロバイダのメ−ルサ−バを経由のこと。 RBL( Realtime Blackhole List ) 無料のは減って、有料のが出てきた。 送信ドメイン認証 DKIM, SPF 正しいメ−ルかどうかの証明。 コンテンツ制御 SpamAssassin ベイジアンフィルタ−。9割程度はじく。 コンテンツ制御 InterScan eManager 単純なテキストマッチング。"17-2. (1)" を参照。 アプライアンス製品 例えば Barracuda スパムファイアウォ−ル。 メ−ルソフト 学習型フィルタ− Thunderbird、Outlook ベイジアンフィルタ−搭載。 メ−ルソフト ル−ル型フィルタ− Outlook Express、Outlook 2003 英語のみ対応。 パソコン用メ−ル便利ソフト POPFile ベイジアンフィルタ−搭載。 パソコン用の迷惑メ−ル対策ソフト 各社からいろいろ、パソコンに常駐する。 プロバイダのル−ル型フィルタ− From などの特定キ−ワ−ド、ドメイン名の指定。 携帯電話会社のフィルタ− 本文までチェックするサ−ビスはなし。 S/MIME による電子署名に暗号化 ベリサインが 2005/4 開始のセキュアメ−ルID。 * 用語 Throttling : Greet Pause。 Filtering : キ−ワ−ドのパタ−ンマッチングやベイジアンフィルタ−。 Blocking : RBL、Gray Listing、一見さんお断り、Reputation。 false positive : 誤検知、問題がないにも関わらず誤って検知する。 false negative : 非検知、問題があるのを不正であると検知しない。 (4) 迷惑メ−ルの中身と実態は `27/01〜 * どういう風におかしのかその実態は 変なメ−ルをどこからとか確認するのも注意がいる。パソコンのネットワ−クを切ってお いて、来たメ−ルの本文を見てみる。ソフトで差出人のところの表示がメ−ルアドレスが 出て来ない。メ−ルをクリックしてメ−ル本文を開けてみないと、メ−ルアドレスが分か らない。おかしなスクリプトがパソコンに入らへんか。ネットにつないでいたら変なのを ダウンロ−ドしてこうへんか。mixi に登録したメ−ルアドレスが漏れてへんか。 かとう個人宛に、迷惑メ−ルが1日に約50通ぐらいくる。加入プロバイダでxxx.net.cn からのは受け取らないようにしての数である。さらに To: または From: が空白だったら 受取りを拒否するようにもしている。個人のホ−ムペ−ジには、一箇所にメ−ルアドレス を載せておいた。2006年末頃、削ってikkenアットマ−クtcp-ip.or.jj とした。しか し昔々の内容がア−カイブみたいなところに一箇所、メ−ルアドレスが残っていた。 個人で入っているプロバイダのメ−ルが、2007年3月5日から迷惑メ−ルにタグ付け されるようになった。件名に "[TASS SPAM] へのもへ" というように付く。プロバイダで 用意されているメ−ルの振り分けも利用すると、来ないようにできる。ちょっと様子を見 ているとたまに誤検知している。ちょい前から迷惑メ−ルが少し減ったのでないか、30 通ぐらい。いや、3月15日ぐらいからまた増えてきて50通ぐらいになっている。 Mail-Relay でプロセスを見ると sendmailが20前後、キュ−に溜まったのが3千ファイ ル。Mail-Relayはメ−ルを通過させるだけだから、正常な状態ならどちらも0である。し かしこんなこと、エラ−メ−ルも一杯出ている。おかしなメ−ルは返えって行く先がない メ−ルだと思う。おかしなメ−ルは外ヘのと管理者である内部への2種類がある。そして よい子の構成では侵入防御装置も、おかしなメ−ルの挙動に一枚噛んでくる。ややこしい。 * どこでどれだけ止められているか 外部から内部へメ−ルを止める可能性のある装置やソフトは、侵入防御装置のDefensePro、 FireWall-1、InterScan がある。DefensePro は FireWall-1のWAN側すぐ上を見るよう にしている。FireWall-1 は迷惑メ−ルに関しては何の働きもさせてはいない。InterScan は eManager でキ−ワ−ドフィルタリングをさせている。日本語のエッチなキ−ワ−ドを 50個ぐらい登録して、日本語文章についてはそこそこ弾いている。 InterScan はメ−ル本文や、件名のFrom:、To: をチェックする。ikken@tcp-ip.or.jj ヘ のメ−ルを会社に katou@nix.co.jj ヘ転送している。 毎日40〜50通の迷惑メ−ルが ikken@tcp-ip.or.jj へ来るのだが、10通程度 InterScan の eManager は検出している。 その時の InterScan のログが宛先が katou@nix.co.jj でなく、ikken@tcp-ip.or.jjと出 ている。会社へ来る迷惑メ−ル全体の1/10位が自分ので、ちょっと恥ずかしい気も。 Mail-Store の mqueue-rx ディレクトリに溜まっていたメ−ルがあった。やって来たメ− ルを InterScan がここに止めたようである。InterScan がメ−ルのヘッダ−をみて、To: のメ−ルアドレスの記述が多過ぎるということで、Malformed Email Rejected. というワ −ニングを出して止めていたのである。マシンのモニタ画面にもログにもsavemail panic とは出ていたが、その理由が何なのか、なかなか分からなかった。 おかしなメ−ルで Mail-Relay から外へメ−ルを5日間、再送していて結局だめだったと いうメ−ルを Postmaster へ送る。Mail-Relay の /etc/aliases に "Postmaster:katou" としていた。この記述では Mail-Store へ katou@nix.co.jj が行かなかった。 これでも また再送を繰り返していたみたいで、Mail-Relayにずっと溜まったままのメ−ルになって いた。これまで強制的に6日以上溜まっているメ−ルキュ−のファイルを消去していた。 DefensePro が外から来たウィルス入りメ−ルを弾いている。DefensePro を設置してすぐ から、月に数件しか InterScanでウィルスを検出してない。これまで来るベキメ−ルが来 ないというクレ−ムはきてないので、 DefensePro がウィルス入りメ−ルを弾くのは問題 ないみたい。しかし、どれだけウィルス入りメ−ルが来ているのか分からない。それはそ れで問題である。DefensePro の使い方を勉強すれば、いろいろ分かるのかも知れないが。 * 外にspamを出しているのでないか --- DefensePro のログを見て --- Mail-Relay の実IPアドレス(DMZ上のIPアドレス)から外部のIPアドレスへのメ−ル が DefensePro でブロックされている。連続して Mail-Relay のIPアドレスから、異な る外のIPアドレスへアクセスしている。異なる外のIPアドレスはランダムな番号であ る。送り先のIPアドレスを羅列したファイルかメモリか。 DefensePro で Mail-Store のIPアドレス [192.168.1.1] にアクセスできないというロ グも出ている。何らかの理由で Mail-Relay から Mail-Store にアクセスできない。どう もウィルス入りメ−ルということで DefensePro が止めているようである。メ−ルを破棄 まではしないので、Mail-Relay から何度も Mail-Store へアクセスしているようである。 Mail-Relay から外へ "SMTP-IE-IFRAME Radware ID 3526"、これは DefensePro のどこで 定義しているル−ルだ?。外からワ−ムの入ったメ−ルも一杯来ている。ブロックしたの は例えば Worm-NetSky.Y、レ−ダチャ−トの top-nに入っている。このメ−ルを生デ−タ として持って来て自分宛に送ってみた。InterScan で止めた名は WORM_NETSKY.DAMだった。 ブロックした中身は見ることができない。ブロックしているのがあるのならば、ブロック をすり抜けたのもあるかも知れないということである。このメ−ルは一体どこが発信源な のか。社内のどこかのパソコンにボットが仕掛けられたのか、いや内部ネットからそんな メ−ルは出てない。それとも Mail-Relay ホストに仕掛けられたか。違う気がする。 こりゃたちが悪い。送信元を他のところをわざと書いて、自社の存在しないユ−ザにメ− ルを送る。エラ−メ−ルがその書かれたところへ行く。かつてのメ−ルの不正中継の新手 の手口だ。このspamはバウンスメ−ルまたはバックスケ−タ( Backscatter ) と言う らしい。自分とこに迷惑がかかるのはまだしも、よそさんに迷惑をかけることになる。 ------------------------------------------------------------------------------- ウィルス入りメ−ルなら、DefensePro はなぜ最初にメ−ルが来た時点で跳ねないのか?。 ------------------------------------------------------------------------------- * よそ様の対策の実態や評判 2007年1月末、中部の電力系のネットワ−ク会社の営業マンが来社したので聞いてみ た。自社では迷惑メ−ル対策はまだとのこと。訪問企業でも対策しているというのは聞か ない。またSI業者の人にも同じく聞いてみた。対策はまだしてない模様、振り分けぐら いで、まともまメ−ルがなかったかチェックしているとのこと。お客さんに提案している のはアプライアンス製品で、しかしあまりお勧めという感じではなかった。 携帯電話会社のメ−ルのフィルタ−・サ−ビスはどうか。NTTドコモの販売員にもどう しているか尋ねてみた。知り合いや取り引き先など間違いないメ−ルアドレスを、フィル タ−に登録してメ−ルを受けるようにしている。これでほとんど迷惑メ−ルは来ない。メ −ル本文を見ての判断はサ−ビスしてないとのこと。 ベイジアンフィルタ−をやるフィルタリングソフトは幾つかある。「日経パソコン」なん か読むと結構優秀みたいである。Thunderbird も POPFile もユ−ザが、 これは迷惑メ− ルですと指定することにより学習する。だんだんフィルタ−する精度が上がっていく。し かし、単なるテキストのマッチングより誤検知は少ないが、数%はあるもようである。 2007年2月の展示会で聞いた。バラク−ダは8、9割弾くとか。各人がフィルタ−さ れた迷惑メ−ルをチェックができる、これは必須である。InterScan では管理者がチェッ クするしかなく、管理者の負担はどんどん増していく。しかしできるだけ製品、ソフトは 増やしたくない。ネットワ−クが複雑化して障害の切り分けがどんどん難しくなる。 自宅でのプロバイダが2007年3月初めに迷惑メ−ル対策を始めた。[TASS SPAM] とい う件名のメ−ルが来るようになり、アレっと思った。何がしかハ−ドウェアを導入してベ イジアン解析をやりタグ付けしていた。しかしすぐにハ−ドの不調ということで4月末に なるのに再開してない。やっぱり、ばかちょんという訳にはいかないようだ。 * 迷惑メ−ルについてのメモ `27/05〜 プロバイダやホスティングなどのメ−ルのサ−ビスでは、法律的なことがどうも関係して、 メ−ルの内容までをチェックしてフィルタリングするというのはやりにくいらしい。ドコ モショップのお兄さんも、同じことを言っていた。ホスティングじゃない、何というんだ。 それゆえ外のメ−ルサ−バのサ−ビスでは、迷惑メ−ル対策は遅れていると言われる。出 入りの業者さんなどに聞くに、どこへ言っても何かいい対策はない?、と聞かれるという。 外部のメ−ルサ−ビスを使っていても、迷惑メ−ルまではめんどうみてくれていない訳で ある。一応、spamメ−ル対策をしたら、メ−リングリストのメ−ルが来なくなる、対 策ソフトに拒否された、というのはよくある話。そんなことも言っていた。 最近は迷惑メ−ルを出している、あるいは中継しているサ−バを迷惑メ−ルのブラックリ ストに載せるのが増えてきているとか。メ−ルが届かないといった場合、相手の方でそう した迷惑メ−ルのソフトウェアなりアプライアンスを導入しているかも知れない。以前の SPAM、不正メ−ル中継のブラックリストの復活みたいなことである。前は他人さんの メ−ルサ−バを利用してメ−ルを送るのがSPAMだった。今回のはメ−ルサ−バのエラ −の処理を利用したものである。仕組みが分かりにくく、だんだん巧妙になってきている。 アプライアンスといえどもばかちょんは禁物である。何をやってくれているかきちんと押 えておかないと。そんなことでさえ、ようやく少しずつ分かって来た段階である。 もう一つ、spam屋さんは他のメ−ルサ−バを利用するのでなく、自前でメ−ルサ−バ を立てて、正当なメ−ルとしてspamを発信する例も増えてきているとか。2007年 の1月早々に発覚したspamは中国にパソコンをずらりと並べて発信していた。これだ と Greet Pause や Greylisting では弾くことはできない。メ−ル本文のキ−ワ−ドでフ ィルタリングするしかない。Greet Pause を、よい子では用いることにしたが、そう長く は持たないかも知れない。まだ Greet Pause方式は、そんなにネットでも知られていない。 効力は、どんどん雑誌やネットに記事が載るようになるまでの間のものかも知れない。 eManager のログで、件名 "FDA approved on-line pharmacies" というのが、この1ヶ月 位増えてきた。フィルタリングに引っかかったのが1日で50ペ−ジ、その中で FDAと言 うのが半分ぐらい出ていた。これは一体、何。誰彼宛かまわず出ている。同じところから の発信なのか。そうなら、こういうのはレピュテ−ション・サ−ビスは有効だろう。せっ かく mixi に入っているのだから、探してみるか。迷惑メ−ルを集めているコミュニティ が一杯あった、見て行くのは疲れる。google で ["FDA approved" 迷惑メ−ル] と引いた ら、ちゃんと分析しているところがあり、FDA approved は1番の迷惑メ−ルだった。 2007年7月、迷惑メ−ルの数が急に減ってきた。自宅に来るのも一日10通ぐらいに なっている。 会社にも転送しているが、週明けでも InterScan などで止められているの が10通程度、すり抜けたのが10通ぐらい。8月も同じような感じだった。大学の先生 で会社もやっていて、spam対策に取り組んでいる人にも聞いてみた。spam対策の サ−ビスで、spamの量を計測したグラフのURLを示してくれた。そこでも減少傾向 がはっきりと出ていた。動画スパムが吹き荒れる嵐の前の静けさか。2007年9月また ぞろ増えてきたような感じ。自分の個人宛が1日30ぐらいになってきたぞ。 NTTドコモが 2007/11/01 より、なりすましメ−ル対策の提供を行なうと、懇意にして いるSI業者のエンジニアが教えてくれた。要は、まだ一般に広まっていない SPFのチェ ックをやるという話。かなり混乱が起きるのでないかと彼は話していた。ドコモのサイト のどこにアナウンスがあるか分からなかったので SPF で検索したらでてきた。 ユ−ザが なりすましメ−ル、迷惑メ−ル対策で「全て拒否する」にすると、送信ドメイン認証技術 を利用して、メ−ルの受信可否を判定する。メ−ルサ−バおよび DNSサ−バ管理者の方へ、 のお願いもあった。DNSサ−バの記述の仕方が書いてあった。2007/09/11 付けの報道発表 資料の "iモ−ドメ−ルにおける迷惑メ−ル対策機能の拡充について"、も参照のこと。 spamは夜にやってくる、昼間はあまりこないぞ。スパマ−の活動の状況を調べた人が いる。傾向はやっぱりあるみたいだ。仕事みたいにきっちりといつ始まって、休憩が2時 間ぐらいあって、それからまたspamが増えるとか。迷惑メ−ルが一杯来るんだけどと いう人。同じ職場の人にでもどれぐらい来ているものか、先ず聞いてみろ。一杯たくさん という表現は癖者である。他と比較しないから主観だけでものを言う。よくよく聞いてみ たら1日、10通。僕なんか1日に50通はくるよ、多い時は百通ぐらいきていたよ。そ う話すとへ−という `27/12。FortiGateが来たのでspamのフォルタリングを試してみ た。かなり誤検知がある。見た目、全然問題ない普通のメ−ルでも誤っていた。`27/01 * 迷惑メ−ルとスパム -------------------------------------------------------------------------------- SPAMは Hormel Foods 社の商標登録。使わないで欲しいとのこと。スパムは今後、小 文字でspamと表わすこととしよう。迷惑メ−ルとspamの関係は、どちらかに包含 されるかということを考えたら、大量メ−ルのspamも迷惑メ−ルの一種と考えるのが 自然だろう。迷惑かどうかということを考えるならば、量の多い少ないは関係ない。 -------------------------------------------------------------------------------- (5) メ−ルの送信ドメイン認証の設定 `29/03〜05 * これまで書き留めたの DKIM は Yahoo と Cisco が採用した。DKIM も SPFも自分と相手のメ−ルサ−バ両方でサ ポ−トしていなければ有効ではない。SPF は自社DNSにちょっと追加記述するだけだか ら、自前でも対応できるのでないか。SPF は MAIL From: コマンドで記述されるドメイン 名がまっとうかどうか調べる。DKIM はDNSも使ったデジタルIDの確認である。 ヤフ−の Yahoo!メ−ル、2006/12/12 に SPF 導入した。 SPF レコ−ドを公開することで、 メ−ルの受取り時に確認できる。2005/07 から DomainKeys も導入した。 2007/01/12 に もSPF 導入したと記事があった。2006/12 は SPFの一部を導入したのかな。NTTドコモ 2007/11/01 から SPF に対応した。これ以降 SPF 対応したサイトが急に増えたとのこと。 DomainKeys はヤフ−が提唱。シスコは IIM( Identified Internet Mail ) を提唱。合意 して DKIM として統合された。Sender ID はマイクロソフト提唱。マイクロソフトがパテ ントをとっている。どうもかなり反感をかった模様。 話をみていくと Sender ID を送信 側はいいが、受信側で利用するにはマイクロソフトに届けがいると書いてある記事を見た。 Sender ID は Pobox.com 社が作成した仕様 SPF とマイクロソフトが作成した Caller ID for E-mail という2つの仕様を統合したもの。Sender ID の SPF と、元の SPFを区別す るため、オリジナルの SPFは SPF Classic とも呼ばれる。Sender ID は SPF Classic の 上位互換ということだが、どうもここのところ小生は理解できない。 DKIM のデジタルIDはいかに。ベリサインのでないとダメか。 相手がデジタルIDを確 認できないけないので、多分自前発行のCAではだめだと思う。sendmail や Postfix の メ−ルサ−バでメ−ルに署名する。一人一人がデジタルIDを申請しなくても、メ−ルサ −バで一括してデジタルIDを付与することができる。 SPF は受信サ−バ側も対応していることが必要。まだ大手プロバイダや携帯電話会社が対 応しているのみ。DNSでSPF レコ−ドを公開し、メ−ルを受ける側が送信者を確認する。 # nslookup -type=TXT xxx.xxx.xx で SPF レコ−ドを記述しているか分かる。iij.ad.jp には記述されていた。自分が入っているプロバイダは記述されてなかった。`26/12 SPF はメ−ルの発信元のエンベロ−プをみる。Sender ID は発信元のエンベロ−プだけで なくメ−ルのヘッダ−の From などもみる。一見、ヘッダ−情報もみれば転送メ−ルのエ ンベロ−プとヘッダ−の発信元情報の食い違い問題も解決できるだろう。しかし Windows の名前解決のややこしさで見るように、選択肢が幾つかあるのは混乱の基になる。 ※ DKIM( Domain Keys Identified Mail )、DKIM RFC4871。 SPF( Sender Policy Framework )、SPF RFC4408。Sender ID RFC4406。 * SPF の送信側設定をそろそろやる 「NETWORK MAGAZINE」2009/04、こんな雑誌まで SPF の記事が載るようになった。 もうそ ろそろ対応しておいた方がよさそうである。何もしなければ、そのうちメ−ルが届かない ようになるぞ。 誰かが、あるいは公的な機関がそろそろ SPF に対応した方がいいですよ なんて、忠告してくれたりはしない。自分自身で気をつけていて調べ自分で判断しなけれ ばならない。インタ−ネットの黎明期の頃の14〜5年前の状況と全然それは変わってい ない。早ければ2006年ぐらいに対策を打っていてもいい話だ。後先になるがこの章に SPF のことを書くことにしよう。ちょっと調べたら、やはり結構めんどくさそう。あまり 考えていなかったが、こりゃ他のことをおいておいても先にやらないといけない気がする。 どうもマイクロソフトがかんでいるので話がややこしくなっている。 日本レジストリサ−ビス JPRS とWIDEプロジェクトが、SPF 普及率の調査を共同で行 なっている。http://member.wide.ad.jp/wg/antispam/stats/index.html.ja。2009年 3月現在 SPF は 34.32%、Domainkeys は 0.36% である。メ−ルの受け側のメ−ルサ−バ で SPF 認証するのが当り前になるのは、まだだいぶ先のような気がする。 ざくっと手元 の名刺で DNS に SPF を記述しているドメインを調べてみた。大手のSI業者と通信事業 者は対応、そこそこのSI業者や大手の製造業での対応はまちまちで、21ドメインを調 べたところ対応は7だった。ほぼ SPF 普及率の調査結果にあっていた。調査の数でSPFは SPF/SenderID の記述があるドメインの数、 Domainkeys は DKIM/DomainKeys のポリシが 記述されているドメインの数と表記されている。ちょっと紛らわしい。 # dig @202.241.128.3 secom-sts.co.jp. TXT SPFレコ−ド記述無かった。 # dig @202.241.128.3 ctc-g.co.jp. TXT SPFレコ−ド記述は有った。 ctc-g.co.jp. 3D IN TXT "v=spf1 +ip4:131.248.58.1 +ip4:131.248.58.2 ~all" 実際に調べた結果です。2社、有名税だと思ってお許しを。下記 "TXT" のところを"SPF" にしたら、どのサイトも記述はなかった。"TXT" 指定ではこの SPFレコ−ドのみ出てきた。 "ANY" 指定でも他のレコ−ドと一緒にでてくる。 * 自社DNSに SPF レコ−ドを記述する メ−ルの外部ヘの送信は Mail-Relay からでなくてもできる。それは自身でも以前に確認 した。DMZ上のおいた Mail-Relay でないマシンから、テストかあるいは一時的にメ− ルを外に送信する。 そういう場合に SPF レコ−ドにそのマシンのIPアドレスを書いて おくのだ。そうすると相手が、ああまとまなメ−ルサ−バから発信されたんだなと認識が できるという訳である。MXレコ−ドはメ−ルを送信する際に相手先のメ−ル−バを探す、 知る情報である。だいたい普通には自分とこのMXレコ−ドのIPアドレス=Mail-Relay である。SPF レコ−ドは下の b) で直接 Mail-Relay のIPアドレスを記述すればいいと 思う。ただの "mx" や "ip4" と記述すると "+mx" や "+ip4" を意味する。これらで指定 されたIPアドレスであれば認証がOKということ。'+' は Pass、'-' は Fail、'~' は SoftFail を表わす。~all は受信側で認証できなかった際に拒否しないことを表わす。 a) example.co.jp. IN TXT "v=spf1 mx ~all" MXレコ−ド指定 b) example.co.jp. IN TXT "v=spf1 +ip4:xxx.xxx.xxx.xxx ~all" IPアドレス指定 * SPF についての疑問 MXレコ−ドの逆引きチェックとどう違うのか、これは相手の発信元IPアドレスを調べ る。SPF ではメ−ルのエンベロ−プのドメイン名を調べる。v=spf1 に "ptr" が使えるが、 これは発信元IPアドレスからドメイン名を調べる。メ−ルの受信側で SPFチェックする ようにして、spamを減らすことができるのだろうか。今日spamは100%近くが ボットによるものでないのか。だとするとどこかの会社の社内から発信されたメ−ル、即 ち一応形は正規なメ−ルでないのか。MXレコ−ドを引かずに直接 Mail-Relay にメ−ル を送ってくるスパマ−がいる。このspamメ−ルは SPFのメ−ル受信チェックで弾くこ とができるかも。もう一つ疑問、DNSの BIND のバ−ジョンは関係ないのか。多分関係 ないと思う。SPF レコ−ドというのが10年前の BIND に入っていたかは知らない。 TXT レコ−ドは10年前にもあったと思う。確かコメント的な扱いじゃなかったか。 * 受信側で SPF チェックするには SPF のチェックをメ−ルの受信側で、MTA を sendmail でやるには milter モジュ−ルの spfmilter がいる。spfmilter はメ−ルの認証システムである SPF用のプログラムである。 milter モジュ−ルは sendmail 8.10.x で実験的に入った。sendmail 8.13.x では標準で 入った。milter モジュ−ルはメ−ルのフィルタリングなどを、sendmail とは別のプログ ラムでやる。sendmail をコンパイルし直さなくても別プログラムを使える。sendmail.cf の記述をし別プログラムを起動しておく。受信側 SPFチェックは Mail-Relay のマシンで やること。メ−ルを送信した相手サ−バを確認しないといけないので、メ−ルのEnvelope From をチェックする。spfmilter プログラムで SPF の判定をするのだが、spfmilter で メ−ルを破棄したりする。あるいはメ−ルのヘッダ−情報の Received-SPF に none,pass, fail,softfail とか付け、パソコンのメ−ルソフトで処理するかだ。 * 参考 http://www.atmarkit.co.jp/ の記事。@IT > Security&Trust > "2006/01/12 電子署名方式の最新技術「DKIM」とは"。 "2005/12/14 Sender ID:受信者 側の設定作業"、"2005/10/27 Sender ID:送信者側の設定作業"。 「UNIX MAGAZINE」2005/07, P.46〜56, "連載 ネットワ−クとセキュリティ11 Sender > Policy Framework"。送信側の DNSの SPF レコ−ドの記述。SPF 受信側の sendmail の spfmilter の設定が詳しい。米では16%のspam業者が正規ドメイン名を取得。 http://www.sendmail.com/jp/support/Sendmail_Auth_Reco_wp.html > 送信者認証技術の導入におけるレコメンデ−ション。 Sendmail 2004年11月作成。 まとまったドキュメンテ−ション。これが大本かも。 「IIJ.news」October 2008 vol.89, "特集 最新迷惑メ−ル対策 P.14〜15, "送信ドメイン > 認証フィルタのソ−ス公開"。SPF の受信側のフィルタソフト。IIJが作成した認証フィ ルタのソフト。2008年8月時点 .jp ドメインの1/4が SPF 対応と推測。 「NETWORK MAGAZINE」2009/04, P.54〜97, "送信者認証の重要性とその設定"。SPF の設定 > についての記載あり。何かややこしげなことが書いてある。DNS ゾ−ンファイルに SPF レコ−ドを記述。example.jp. IN SPF "v=spf1 +mx a:example.jp/28 -all"。 「設定から運用管理までBIND9によるDNSサ−バ構築」2,780円+税、平成18年12月1日、 > 技術評論社。第8章BINDで行う迷惑メ−ル対策。P.181〜190, "8.3 SPFによるアドレス 偽造防止"。自前購入。SPF設定の確認 check-auth@verifiler.port25.com にメ−ル。 http://www.iajapan.org/anti_spam/portal/Operation/Suggestion/sugg_a02_01.html > 有害情報対策ポ−タルサイト ―迷惑メ−ル対策編―。 SPF と転送の相性問題に対する 解決案(1) など、IIJ技術研究所山本和彦 2006年3月。メ−ルのエンベロ−プが詳しい。 * SPFレコ−ドを設定してみました `29/04 [ 1行追加した ] ゾ−ンの記述を view で社内用と社外用に分けているなら、社外用のみに IN TXT うんぬ んを記述する。シリアル番号はとりあえずいじらない。自社のDNSサ−バにうまく SPF レコ−ドが設定できたことを確認してからシリアル番号を上げればいい。 /usr/local/bind/etc/nix.co.jj.zone ------------------------------------------------- |$TTL 3600 |@ IN SOA ns0.nix.co.jj. ikken.nix.co.jj. ( | | | IN MX 10 mail.nix.co.jj. | IN TXT "v=spf1 +ip4:202.241.128.3 ~all" | | # cd /usr/local/bind/sbin; ls dnssec-keygen named named-compilezone dnssec-signzone named-checkconf rndc lwresd named-checkzone rndc-confgen # ./rndc reload << rndc.conf ファイルは無いけどできている。 server reload successful # dig @202.241.128.3 nix.co.jj. TXT | ;; ANSWER SECTION: nix.co.jj. 1H IN TXT "v=spf1 +IP4:202.241.128.3 ~all" | [ チェックしてみた ] 社内から check-auth@verifiler.port25.com にメ−ルしてみた。 すぐに返事がかえって きた。DNSサ−バは自社設置のだけ調べている。プロバイダのセカンダリDNSサ−バは見て ないみたい。Sender-ID check details: では nix.co.jj. TXT (no records) とでていた。 ============================== Summary of Results neutral は未設定。SenderID の設定をしたら ============================== "SPF check:" と "Sender-ID check:" の結果 SPF check: neutral が pass に変わるはず。 DomainKeys check: neutral DKIM check: neutral DomainKeys と DKIM は同じだと思っていたが、 Sender-ID check: neutral 異なるものである。 Spam Assasin check: ham 技術評論社の本「設定から運用管理までBIND9によるDNSサ−バ構築」に紹介されていたチ ェックサイト http://senderid.espcoalition.org/、これはもうサ−ビスしてない?。ブ ラウザ画面は真っ白だった。ひょっとしてパソコンのウィルスチェックソフトに入ってい たURLフィルタリングが止めた?、分からないが。まあ、特にこれらのサ−ビスを利用 するまでもない。dig か nslookup コマンドを叩いてもすぐ分かる。 [ sendmail が milter 対応しているか ] 手元の予備の Mail-Store、Sun Solaris 9 だが、sendmail が milter 機能に対応してい るか調べたところ。「UNIX MAGAZINE」2005/07 の記事を参考にコマンドを叩いてみた。 # /usr/lib/sendmail -d0.1 -bt < /dev/null | grep MILTER Compiled with: DNSMAP LDAPMAP LOG MAP_REGEX MATCHGECOS MILTER MIME7TO8 [ IIJ のDNSサ−バを指定して ] tcp-ip.or.jj の SPF レコ−ドを表示した様子 IIJ のDNSサ−バは 20.20.20.1 としてみた、実際は違うよ。ADSLのインタ−ネッ トの回線を契約しているので、参照できるDNSサ−バはこれこれとあるのである。これ を表示したのは2012年12月のこと。 # dig @20.20.20.1 tcp-ip.or.jj. TXT ; <<>> DiG 8.3 <<>> @20.20.20.1 tcp-ip.or.jj. TXT ; (1 server found) ;; res options: init recurs defnam dnsrch ;; got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUERY SECTION: ;; tcp-ip.or.jj, type = TXT, class = IN ;; ANSWER SECTION: tcp-ip.or.jj. 23h8m57s IN TXT "v=spf1 include:spf.tcp-net.ad.jj ?all" ;; Total query time: 43 msec ;; FROM: netv to SERVER: 20.20.20.1 20.20.20.1 ;; WHEN: Thu Dec 13 15:23:41 2012 ;; MSG SIZE sent: 30 rcvd: 80