木曜日, 7月 08, 2010

一般規則をやめるというのはどう?

 6月27日「常連さんからのスパムが減った」で、論文中のブラックリスト例に掲載したドメインからのスパムアクセスが非常に少なくなったことを述べた。また、6月6日から7月8日までの約1ヶ月のログから抽出した不正メール送信元ホストは2243個で、2006年11月には7245個だったのに比べて減っている。これらのことから、OP25Bが世界で普及しつつあることが推測される。国内では、ご存じのとおりOP25Bが普及したので、jpドメインからの不正メールアクセスは、皆無ではないもののまれにしか来ないようになっている。
 このような状況になったからには、ルール0以外の一般規則をやめて、エンドユーザー回線から不正メールを送って来るドメインのブラックリストだけでブロックする方法も運用可能ではないか。そうすれば、IPアドレス1個割り当てのメールサーバや、多数のサーバを持つ事業者の連番入りホスト名など、一般規則で偽陽性判定されるホストは、(ドメインブラックリストにない限り)逆引きできさえすれば偽陽性判定されなくなる。
 そう考えて、2243個の不正メール送信元ホストのうち、unknownのホストと、サーバと思われるホストを除いた616個に基づいて、何件のドメインブラックリストが必要になるかを調べてみた。その結果、232件になった。もっと観測すればこれ以外のドメインが発見されるかもしれないが、いつまでも増え続けることはないだろうと思う。公開ホワイトリストの登録数が現在1297件になっていることを思えば、200~300件程度のドメインブラックリストのメンテナンスは大した手間ではないだろう。
 一般規則を廃止すれば、ホワイトリストに登録するのは、逆引きできないホストだけで済むようになる。現在、公開ホワイトリストの中で逆引きできないホストの登録は726件。つまり、ホワイトリストは半分強の大きさに減ることになる。そして、逆引きできさえすれば(ドメインブラックリストにない限り)遅延なく受信するので、逆引き名がS25Rに引っかかっていたホストの持ち主が不満を持つこともなくなる。
 一般規則をやめるとしても、そのノウハウは、不正メールを送って来るドメインの中のエンドユーザー回線と思われるホストだけを選択的に蹴るようにするために役立つ。いくつか例を挙げる。

# 114-33-77-76.HINET-IP.hinet.net
/^[0-9].*\.hinet\.net$/ 450 S25R check, be patient

# host125-94-static.14-79-b.business.telecomitalia.it
/^[^.]*[0-9]-[0-9].*\.telecomitalia\.it$/ 450 S25R check, be patient

# S010600112f492db3.cg.shawcable.net
/^[^.]*[0-9]{5}.*\.shawcable\.net$/ 450 S25R check, be patient

 もっとも、一般規則をやめる設定方法を提案したとしても、乗り換えてくれる人は少ないかもしれない。一般規則は、OP25Bがほとんど導入されていなかった時期から、スパマーとのいたちごっこをいきなり終わらせるほどの効果を持ち、その後大幅な見直しが必要なかった。S25R方式を導入した人たちの間では、この拒否条件がスタンダードになっている。偽陽性判定を起こすとはいえ、公開ホワイトリストが協力者のおかげで充実したため、国内サイトに関する限り、偽陽性判定が起こる頻度は少なくなった。だから、あえて設定を変更する動機付けに欠ける。ただ、これからS25R方式を導入するサイトや外国のサイトでは、一般規則を使わない設定方法を採用する人がいるかもしれない。

# よろしかったらご意見ください。

2 件のコメント:

deo さんのコメント...

 この記事に対するコメントの投稿がメールで通知されましたが、なぜかブログの方に表示されていませんので、代理投稿します。

自分の所はpostfixでは無かったこともあり、一般規則は使用できなかったので
すが、この一般規則の考え方にはSPAMを拒否する上で、ずいぶん助かりました。

この一般規則を使用する人が増えればデファクトスタンダードとして浸透すると
思います。
ただし、やはりブラックリスト方式に比べ正当なメールを拒否する確立は上がっ
てしまうので、なかなか採用に踏み込めないという点があろうかと思います。

S25Rは強引だけど理にかなっておりますので、個人的にはまだまだ一般規則は需
要はあると思います。



投稿者: にっくす 、ブログ名: S25R雑情報、日付: 2011年1月13日木曜日
15:22:00 JST

deo さんのコメント...

 にっくすさん、こんにちは。
 ここで述べたアイデアは、一般規則による拒否をすべての外部ドメインに適用することはしないで、スパムを送って来た前科のあるドメインについてのみ一般規則*相当*の条件による拒否を適用しようというものです。
 もちろん、一般規則の需要はあるし、すでにS25R方式を導入して公開ホワイトリストも利用している人は、スパム阻止率は十分だし誤判定もめったにないということで満足しておられ、今さらブロック条件を変えようとは思わない人が多いでしょう。
 ただ、公開ホワイトリストはほとんど国内から寄せられた情報でできているので、外国では誤判定防止に十分ではないでしょう。そのようなサイトでは、一般規則を使わない方法の方が都合が良いと考える人がいるかもしれません。そこで、選択の幅を提供したいと思っています。
 2010年10~11月のアーカイブにその後の考察を書いていますので、参考になさってください。