« spammer の相手めんどい | Home | まさに温床 »

2005年11月10日

うちのスパム対策ポリシー

そろそろ出来上がってきたので、公表しても問題あるまい。

 1. MTA
MTA は qmail を利用している。特に理由もないが、まあ強いて言うなら慣れているというくらいか。

2. ipfwを用いたパケットフィルタリング
 対策前のSPAMの90%を占めていた特定アジア圏からのSYNは、ACKを返さないようにフィルタリング。アドレス群は apnic から引っ張ってくる。やり方はこちら。

3.S25R を用いたMTAフィルタ
最近流行のS25Rを使った対策を施している。qmail向けの実装はこちら。悪い習慣でドキュメントもロクに読まずソースを見ただけで運用開始してしまったがためにうまく動かない部分があった。あとは運用上面倒いところを適当に直して(whitelistもIPアドレスじゃなくドメイン/ホストネームの正規表現にしたい、とかログの出力先とか)運用を開始した。動作の概要は、

(1) まず、whitelist に入っているかをチェック。評価はコネクションを張って来たホストのIPアドレス及び逆引きしたFQDNを用いる。入っていたら下記を全てすっ飛ばして配送開始。
(2) S25R blacklist に入っているかをチェック。逆引きしたFQDNを評価に用いる。入っていたら相手に投げやりなエラーを返してコネクションを閉じる。
(3) S25R に掛からなかった場合は、greylistに入れる。普通の設定がなされているサーバならば、再送を行うのでそれを待つ。
(4) 同ホストから再送してきたら、ローカル配信する。
(5) S25Rでreject したものは一応チェックしておく。対応が早ければ、次の再送時に受け取れる。

4. thunderbird
学習型のSPAMフィルタが載っているthunderbirdをMUAとして利用。必死になってかいくぐって来ても、最後にはココで読まれずゴミ箱へブチ込まれる訳である。

よって、

・whitelist に入っている
・blacklist に入っていない
・dhcp等プロバイダのIPアドレスではない(S25R)
・再送を行うサーバから配信
・内容がちゃんとしてる(thunderbirdの学習次第)

というものしか手元に届かないようになっている。これでも送りつける奴は送りつけてくるだろうけど、ちゃんと逆引きのできるサーバを用意して、倍のトラフィック(再送を要求するから)を割く覚悟をしたとして、手間をかけて作ったサーバも結局は blacklist に入れられてしまう訳で。

ORDB その他を使った対策もメジャーになってきたし、そろそろspammerも終わりかね。
真面目に働きなさい。

トラックバック(0)

トラックバックURL: http://blog.unnamed.jp/cms/mt-tb.cgi/305

コメントする

この記事について

このページは、sakura2kが2005年11月10日 14:04に書いた記事です。

ひとつ前の記事は「spammer の相手めんどい」です。

次の記事は「まさに温床」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。