postfixとspamの関係(2)


postfixの設定に関するページでspam対策に関しても書き、その後具体的設定も書いた。
本ページではspam概論という大げさなものではないにしろ運用ポリシーみたいなものをどう考えていくかを書いてみたい。
spamとは迷惑メールではあるのだが、それは一体誰にとって迷惑なのかという話だ。
例えばバイアグラが欲しくて堪らない人にとって、バイアグラ格安販売のspamはspamではなく有用な情報であるかも知れない。
同じようにエロマニアにとって掘り出し物のDVD情報のspamはspamとは言えない可能性もある。
一体何が誰にとって迷惑なのかは人それぞれであり、例えば不特定多数に一斉に配信される類をspamと決めた場合において、spamまがいメルマガは良いのかというような話にもなってくる。
実際私は楽天メルマガで嫌な思いをしている。
楽天ではメルマガ購読がデフォルト設定なので、そこのチェックを外さないと大変なことになる。
なので毎回チェックしているのだが不意にメルマガがやってくる。
登録解除を行い、他に登録されていないかをチェックして数ヶ月、またメルマガがやってくる。
こうした、勝手に登録されるメルマガはspamである。
メルマガ偽装spamは多数存在し、いわゆるメールアドレス売り的に使われる。
すなわち無料の懸賞(怪しげ系懸賞はメールアドレス集めだけが目的で商品は当選しない)などで集めたメールアドレスをメルマガ偽装spam屋に売るわけだ。
しかしこれは配信元が明確なのでそこを拒否するだけで良いのだが、出会い系spamなどは正規のメールサーバを使ってメールを送信してくるので厄介だ。
F&Fでは以下のSMTPサーバを拒否している。
拒否理由もちゃんと付けている。
cnc-noc.net      REJECT Because there is much spam, I do not receive it
vsnlinternational.com REJECT Because there is much spam, I do not receive it
hostfresh.com     REJECT Because there is much spam, I do not receive it
hinet.net       REJECT Because there is much spam, I do not receive it
francetelecom.com   REJECT Because there is much spam, I do not receive it
iplan.com.ar     REJECT Because there is much spam, I do not receive it
verizon.com      REJECT Because there is much spam, I do not receive it
verison.net      REJECT Because there is much spam, I do not receive it
com.au        REJECT Because there is much spam, I do not receive it
rr.com        REJECT Because there is much spam, I do not receive it
gnsplanet.com     REJECT Because there is much spam, I do not receive it
MyMainServer.com   REJECT Because there is much spam, I do not receive it
static.pacific.net.au REJECT Because there is much spam, I do not receive it
####
chan.ne.jp      REJECT spamers server rejected
pyon.ne.jp      REJECT spamers server rejected
desu.ne.jp      REJECT spamers server rejected
kun.ne.jp       REJECT spamers server rejected
yan.ne.jp       REJECT spamers server rejected
sann.ne.jp      REJECT spamers server rejected
yan.jp        REJECT spamers server rejected
sann.jp        REJECT spamers server rejected
love2.ne.jp      REJECT spamers server rejected
chan.jp        REJECT spamers server rejected
kun.jp        REJECT spamers server rejected
desu.jp        REJECT spamers server rejected
marinenet.jp     REJECT spamers server rejected
neko.chan       REJECT spamers server rejected
momo.chan       REJECT spamers server rejected
tobizaru.jp      REJECT magazine camouflage spam
melmag.jp       REJECT magazine camouflage spam
accessmail.jp     REJECT magazine camouflage spam
interclick-i.net   REJECT magazine camouflage spam spamers server rejectedのメッセージで排除するのはMARINE NETのサービスだ。
ここはいわゆるフリーメールのサービスなのだがSMTPサーバも提供しているために、主に出会い系spam屋が好んで使っている。
IDさえ取ればオープンリレーSMTPとして使えるので、spam屋にとっては非常に便利だろう。
今のところdti接続でここを使ってくるspamが配信されて来ている。
悪名高きインターリンク被害には遭っていないので今のところリストに入れていない。
インターリンクは以前は自らがspam発送業者であり、spam発信を中止してくれと要請したら「正当な商行為であるから配信停止の要求は受けない」と高圧的に断られたばかりか、自社の行うメールアドレス売りリストに私のメールアドレスが入れらた。
これは特定商取引法改正前の話ではあるが、検索してみると未だに状況は余り変わっていないようだ。
F&Fでは自宅サーバ化するときに固定IP対応ISPを捜した。
ら、インターリンクもあったのだが極悪系なのでIPアドレスブロック自体がブラックリストに載っているかも知れないので避けた経緯がある。
ここではこうした、一方的に送りつけられてくる宣伝を含むようなメールをspamとおおざっぱに決めることにする。
spamerもバカばかりではない。
フィルタや各設定に引っかからないようにspamを送ってくる。
その一方で安易に設定された一般企業などのメールサーバもある。
果たしてどこまで助けなければいけないのか?あくまでも救済するという人もいれば、誤りを気づかせてあげた方が良いのではないかと思う人もいる。
こちらはその辺りを深く読めると思う。


【逆引き拒否は是か否か】メール送信サーバが逆引きできないIPアドレスの場合は接続を拒否すべきかどうか。
現在F&Fはこれを拒否している。
しかし拒否すべきでないという意見も強い。
すなわち逆引きをしないのがスタンダードな文化もあるというのである。
しかし昨今のspam事情、更にOP25Bが一般的になってきている現状を見れば正規のメールサーバは逆引き設定がなされていて当然ではないかとも思う。
海外に行ってホットスポットやホテルのLAN接続を行うと逆引き設定が出来ないIPアドレスになっていることもある。
しかしそこにSMTPサーバを立ててメールを送るかという問題だ。
確かに以前は、そう、spam規制がさほど活発ではなかった時代にはWindowsマシンに自前のSMTPアプリを入れてそこからメールを送るようなこともあったしそれ以前にはオープンリレーのSMTPサーバが普通だった。
誰がどこからでもメールの送れた便利な時代はspamerが壊してしまったのである。
それはつまり、こうした回線からspamerはspamを送っているからに他ならず、それを阻止するためにOP25Bが世界的に行われているのだから。
従ってそれら回線とおぼしき逆引き名や、モロに逆引き不可能なSMTPサーバからの接続を許す必要はないと思っている。
しかし万一有用なメールが拒否されると可哀想なので、エラーコード4xxを送信して再送信を要求しておく。
メールのエラーログを見て見覚えのあるアドレスなどであれば後日助ければよい。
昔は街中での歩きタバコも良かったけれど、今はそんな時代じゃないからねと言うのと似ている。
今やspam被害を食い止めることが重要であり、多くのメールサーバが逆引き不可能ホストからのメールを受けなくなったら、世の中はメールサーバの逆引きを設定するようになるだろう。


【架空サーバを許すのか】HELOでもエンベロープfromでも、そこに架空のサーバ(DN
で名前の引けないサーバ)をセットしてくるメールがある。
これも常識的にメールを送信するならば正しいそれがセットされるべきものだがspamerはテキトーなものをセットしてくるケースもある。
しかしfrom行が架空ドメインだと拒否するメールサーバも多いことから、最近ではここに実在の(他人の)ドメインをセットして送られてくるspamも多くなってきている。
そもそもfromが架空だと返信できないのだからメールを受信する意味はないと思う。
一方で日本のちゃんとした(ように見える)企業でもfro
行(メールのFrom ではない)に逆引きできない、LAN内サーバ名などをそのままセットしてくるものもある。
これなど、ハダカで両手に持った包丁を振り回しながら俺は異常ではないと叫んでいる政治家、みたいな感じだ。
立派な企業であってもおかしな設定のメールを送っているようでは正常とは判断できない。
実はこの手の設定を許している元凶は、多少おかしなメールでも受けてしまうISP等にあるのではないかと思う。
メールが正常に送信できて受信できるのだから設定は正常であるとそれら企業が思ったならば、そう思わせてしまった側にも多少の責任はあるだろう。
F&Fの場合は送り先に連絡した上でホワイトリストで救済しているが、この手のケースはHELOもおかしな文字列である場合が多い。


【HELOで拒否する】迷惑電話がかかってくる。
こちらは○○ですがオタクの近所で電話工事がありました。
つきましては認め印をもらいに伺いたいので…みたいな詐欺商法だ。
で、「どちらにおかけですか?」と聞くと03-0000-0000番ですよね?とか言う。
で、「電話番号ではなく誰宛の電話ですか?」と聞いても相手は応えられずに電話を切る。
発着信の関係はこのケースの逆にはなるのだが、あなたは誰?と聞いて正しい答えが得られなかったらメールを受信しないというのがHELOのチェックだ。
HELOはFQDNを入れることになっているので正確なドメイン名がそこにセットされているはずだ。
しかしspamerの多くは他人の回線やマシンにボット的なものを送り込んでspam送信するケースもあるので一々HELOなどセットしていられない。
挙げ句の果てにはHELOにfnf.jpなど送り先のFQDNをセットしてくる。
これは同胞からの送信に勘違いしてメールを受けてしまうサーバを狙うのだろう。
HELO拒否は効果的だが、日本の企業の中にもおかしなHEL
を設定してくるところもある。
これはもう間違っている方がいけないとしか言いようがなく、普通に常識的なメールサーバ構築を行えば誤ることは希だと思うのだが、下手なオリジナリティを出してみようと思うのか?変な名前がそこにあったりする。
実際に受け取ったメールの中では大手建設業者とメール配信業者、メルマガ配信業者のHELOがおかしかった。
大手建設業者にはメールでこれを知らせたが無視された。
メルマガ業者はメルマガ偽装spam屋なのでそのまま放置してあり、そこからのspamまがいメルマガが受信できなくて丁度良い。
JAL(日本航空)はhelo=<linux16019.dn.net>となっている。
当然逆引きは出来ない。
いずれもエラー4xxを返して再送信を促し、エラーログを見て場合に応じて救済しているが、逆引きチェックを行うと受からないメールが多すぎる。
受かるのはフリーメール各業者やISPからのメールだけ、みたいな感じである。


【グレイリスティング】グレイリストとはホワイトでもブラックでもない、よく解らないけれど怪しいものを指す。
例えば逆引きは出来るが明らかにADSL回線やダイアルアップ回線に接続したSMTPサーバから送られているとか、(逆引きを許している場合は)逆引き不能なIPアドレスだとかを一旦リストに入れて保管した上で再送信を促す。
spame
は大量のメールを短時間に送信したいので再送信に対する要求など受けてくれないので再送信は行われない。
再送信してこないメールは受信しなければ良いだけなのでシステムとしては簡単だし、マトモなメールサーバであれば必ず再送が行われるので救済できる。
おそらくはグレイリストだけでも相当な割合のspam排除は出来ると思うのだが、何もせずに全てをグレイリストの任せるとそのリストの量がものすごいことになると思う。
しかし現状ではspam排除率が高く誤排除率が低いという点で有用だ。


【ブラックリスト】指摘に作成するブラックリストの他にRBLなどを活用すると大きな排除効果が得られる。
もちろんそれら全てが悪と言うことではなく、過去に悪人に使われたためにブラックリストに掲載されてしまい、それを放置したままというケースも少なくはない。
いずれにしてもISPなどの線にSMTPサーバをぶら下げたような運用形態が想像でき、マトモ系では自宅サーバ、spam系だとその自宅サーバが利用されたり、ISPと匿名契約するなどしてspamを送りまくる業者と言うことになる。
F&Fに到着するspamの半数はこのブラックリストで拒否できている。
拒否した場合にはエラー(5xx)を返すと共に拒否理由としてRBLに掲載されているからと教えている。
もしもリターンメールをちゃんと見るような正しいメールサーバから送られたメールであれば、送信者は自分のSMT
サーバのアドレスがRBLに掲載されている事を知るはずだ。
日本にもRBLがあるので詳しい説明はそちらで。


【フィルタ方式】F&Fではこれを使っていない。
フィルタとはspamを一旦受信した上で廃棄する仕組みなのだが、その為にはspamを沢山受信してspamのパターンを学習させる必要がある。
メールサービスを行っている商用サイトならspamのサンプルも山ほど集まると思うが、F&Fでは精々200通/日程度であり学習効果にも疑問がある。
また正常なメールがspam判定される事もあればその逆もあり得る(どんな方式にでもこれはあるが)点で、定量的ではない判定にゆだねると言うところが少し私向きではないのかなと思った次第だ。
ただし商用サイトではかなり有効に働く。
Gmailはフィルタのみでspamを判断しているようだが、Gmai
を通したメールのspam除去率は99.9%を超える。
やはりフィルタはspamが沢山受信される、正常メールが沢山受信されるメールサーバでないと実力が発揮できないのかも知れない。