木曜日, 8月 24, 2006

Non-FQDN HELO address

 スパムアクセスの中には、HELOアドレスがFQDNの形になっていないもの(「localhost」など)がけっこう目に付く。そこで、smtpd_helo_restrictionsパラメータに「reject_non_fqdn_hostname」を指定していたことがある。
 しかし、これはやめた方がよい。あるオンラインショッピングの確認メール送信サーバを「554」で蹴飛ばしてしまった。HELOアドレスもまともに設定してくれよと言いたいところだが、受信できなくて困るのはこちらなので、それ以来、この指定はやめている。「reject_unknown_hostname」(HELOアドレスのAレコードもMXレコードも検索できなければ蹴る)というのも指定できるが、正当だけれどもHELOアドレスの設定が不備なメールサーバが存在する以上、これはますます危険である。
 これらの指定を使わなくても、逆引き検査によって十分にスパムを阻止できているので、阻止率はほとんど変わらない…と思う。

2 件のコメント:

匿名 さんのコメント...

200人くらいの職場の代表アドレスのメールが自分宛に転送されてくるのですが徐々に増えてはいたのですが、7月末にはスパムが一日60通くらいに増え、耐えられなくなって、のメールサーバーに見よう見真似で試しにS25Rっぽく設定しました。私もやってしまいました。このNon-FQDN HELOをREJECTする設定。見事554で飛んでしまって、そのメールは二度と送ってきませんでした。たまたま本当に偶然に自分宛のメールでプロバイダからの定期的なお知らせだったので、プロバイダのHPで内容は確認できて幸いでした。

ほかに失敗したのは、試しにSPAMCOPを入れてみて、名前解決できるSPAMMERを450でブロックすることを期待したのですが、結果は芳しくありませんでした。FALSE POSITIVEが多く、ホワイトリストをつくるのもあほらしくて半日ではずしました。

逆に成功したのは、退職した職員や、昔公開していて使われていないアドレス宛のメールを一番最初にCHECK_RECIPIENT_ACCESSでREJECTする設定。再送信してくることはなくなりました。

しかし、5分ごと5回再送信してくるエンドユーザー回線、やたら多いですね、最近。

ではでは。またいろいろ参考にさせてください。

deo さんのコメント...

 コメントありがとうございます。
 SPAMCOPを入れた結果が芳しくありませんでしたか。他人のデータベースに頼ってとてもうまくいったという話はあまり聞きませんね。
 S25R方式もfalse positiveは多いですが、他人のデータベースに頼らないので、どのホストが引っかかるのか引っかからないのかが容易に判断でき、運用しやすいと思います。
 5分ごとに5回再送するスパムは、確かに増えているようです。こういうのがあまり増えると、グレイリスティングが役に立たなくなってしまうでしょう。観測を続けてみて、またそのうち話題にするつもりです。