日曜日, 12月 23, 2007

ITproで紹介された

 日経BP社・ITproの連載「こちらセキュリティ相談室」の「第10回 迷惑メール対策(後編)」で、「即効対策はS25R」と紹介されている。著名なマスコミサイトで取り上げられたことで、ますます多くの人に知られて普及することになるだろう。
 図では、迷惑メールを送信するパソコンからの接続を拒否する際の返答が吹き出しで「出直してきなさい」と記されている。ここが重要なポイントであり、誤判定からの救済まで考えた方式であることがわかるように表してくれたのはうれしい。
 ただ、2ページ目

 S25Rを使うと,正しいメール・サーバーからの接続を拒否してしまう可能性がある。そこで誤認に備え,怪しい送信元には再送要求を出し,ちゃんと再送してきたら受け取るのがグレイリスティングという方法だ。

という記述は、

 S25Rを使うと,正しいメール・サーバーからの接続を拒否してしまう可能性がある。そこで誤認に備え,怪しい送信元には再送要求を出し,ちゃんと再送してきたらホワイトリストに登録して受信する。これは,グレイリスティングという方法を併用することによって自動化することができる。

と書いてくれた方が、より正確である。
 サーバで阻止できなかったスパムをPC上のメーラーまたは付加ソフトウェアでフィルタリングする方法も述べられている。これはこれで有用な情報ではあるが、私としては、そこまでする必要があるだろうかと思う。素のS25R方式で97~99%、Rgreyで95%(佐藤さんの発表による)の阻止率があるのだから、一日100通のスパムを受けていた人の場合もすり抜けは平均5通以下。手動で捨てても大した手間ではないだろう。少しとはいえスパムを受けたらムカッとする気持ちはわかるが、PC上のスパムフィルタにも必ず偽陽性判定のリスクが伴うことを勘案した方がよい。スパムの受信が多ければ、偽陽性判定もそれなりに起こるので、ごみ箱に振り分けられたメールを確認することは習慣化するだろう。しかし、スパムの受信が減れば、偽陽性判定がめったに起こらなくなるので、ごみ箱を確認するのを忘れ、偽陽性判定が起こった時に気付くのがかえって遅れるかもしれない。
 最後に

今回のポイント
●迷惑メールの送信方法は進化しています。同じ対策がいつまでも通用するものではありません。
●メール・サーバーで迷惑メールの受信を拒否するには,相手のIPアドレスからドメイン名を確認するS25Rという対策が今のところ有効です。

と記されている。S25R方式とていつまでも通用するものではないかもしれないというのは認める。2006年10月8日「S25Rが敗北する時は来るか?」で、「(受けてから送信元の逆引き名を検査する方法もあるから)S25R方式は半永久的にスパムに敗北しないと考える」と述べたが、もしたくさんのボットが正当なメールサーバと同じように長時間リトライし、またタールピッティング(応答遅延)にも耐えるようになれば、S25Rでスパムを受けずにはじくための運用は困難を極めるのは確かである。
 とはいえ、それは言い換えれば、S25R方式がより大きな攻撃コストをスパマーに強いるということである。そんなコスト高な攻撃をスパマーがこぞって始めるとしたら、それは、S25R方式がもっと普及してスパムの送達率が大幅に下がった時だろう。そのころにはきっとOP25B(Outbound Port 25 Blocking)や送信ドメイン認証が進展している。それらは、スパムの受信を減らす即効策にはならないが、スパム包囲網として徐々に世界に普及するだろう。そうなるまでの期間、S25R方式は、強力な即効策として役立ち続けると思う。

日曜日, 12月 16, 2007

サブジェクトにスパム判定の痕跡

 私が運用しているメーリングリストで配信したメールに対する返信で、サブジェクトが

Subject: RE: [SPAM] …(元のサブジェクト)

となっているものがあった。配信されたメールが誤ってスパム判定されたらしい。11月24日「失礼な受信拒否」で述べたケースと同じく、メールの内容は会合案内であり、スパム判定された理由がわからないものである。サーバでスパム判定されたか、スパム判定機能付きのメーラーあるいは付加ソフトウェアを使っていたのだろう。
 スパム判定されたメールのサブジェクトに「[SPAM]」などの印を埋め込んで受信者に届けるのは、応答コード「550」で受信拒否するよりもましである。しかし、偽陽性判定の痕跡をサブジェクトに残したまま返信するのは、元のメールの送信者に失礼であろう。トレンドマイクロのウイルスバスターの迷惑メール対策機能も、サブジェクトの先頭に「[MEIWAKU]」という文字を埋め込むようになっている。偽陽性判定された正当なメールに返信する時は、これらの印を削除して送信するように注意すべきである。
 とはいえ、返信の時にはサブジェクトには注意が行き届かないことが多い。偽陽性判定されたメールに返信する際にサブジェクトの修正を忘れても失礼に思われないためには、スパム判定の印にそれとわからない文字を使ったらどうだろうか。たとえば、ドット+スペースはサブジェクトの先頭に書かれることはまずないと思われるので、それをスパム判定の印にする。うっかりサブジェクトを直さずに返信しても、

Subject: Re: . 会合のご案内

のようになり、返信を受けた人は「あれ?変だな」とは思うかもしれないが、自分が出した元メールが迷惑メール扱いされたとはあからさまにはわからないからよいだろう。