火曜日, 10月 30, 2007

ホワイトリストの正規表現の原則

 今日(10月30日)、ホワイトリスト情報をいただいて公開ホワイトリストファイルに掲載したついでに、過去の許可条件をいくつか修正した。
 これまで、許可条件の正規表現は、サイトドメインを丸ごと許可したり、サブドメインまで条件に含めたり、末端ホスト名の先頭の綴りを条件に含めたりと、作り方が一定していなかった。今後は、「エンドユーザーPCをインターネットに直結させているISPでないと認められるサイトについては、サイトドメインを丸ごと信用する」という原則で正規表現を作ることにした。
 たとえば、S25Rに引っかかるホストとしてmp-mta01011.bellemaison.jp、およびその数字部分が変わるものが報告されたことがある。この場合、

/^mp-mta[0-9]+\.bellemaison\.jp$/ OK

で許可されるが、末端ホスト名の構文の条件をはずして

/\.bellemaison\.jp$/ OK

としても危険はない。www.bellemaison.jpにアクセスすれば、bellemaison.jpが通販会社のドメインであることがわかる。まともな会社からスパムやウィルスメールが発信されることは、サーバが侵害された時か、サイト内のウィルス感染したPCから通常のメールルートでウィルスメールが出た時(本来、S25R方式では阻止できないケース)以外あり得ない。こういうサイトは丸ごと信用する方が、末端ホスト名の文字が異なる別のメールサーバがあった場合にまた引っかかるということを避けることができて好都合である。
 この原則で見直した過去の許可条件は、コメント行に「(revised)」と記している。
 一方、ISPが逆引き名を決めている接続サービス(通常、IPアドレス1個単位の販売)を使ったメールサーバの許可条件は、たとえば

# Jun 19, 2007: mail.ifscorp.co.jp
/^210-175-254-67\.cust\.bit-drive\.ne\.jp$/ OK

のように、当然ながら従来どおりホスト1個単位で許可するようにしている。

0 件のコメント: