Edit Wiki ^ |< << Slide 3 of 9 >> >| |
100 MX fallback 検査方式
『MX fallback する spam は 15% 以下』
- 複数の MX レコードを設定する
- primary MX は packet filter で接続拒否
- secondary MX へ fallback するのを待つ
fallback とみなす時間窓は 1 分程度とする http://moin.qmail.jp/fig/fb.gif
- いきなり secondary に接続するものは接続拒否
[http://www.joreybump.com/code/howto/nolisting.html|Nolisting] Poor Man's Greylisting, [http://www.joreybump.com/code/howto/unlisting.html|Unlisting] Port Knocking for SMTP
二種類の対応
- primary MXホストへの接続にRSTを返す方法
- MX fallbackの検査までに余裕が少い
- primary MXホストでパケットをdropする方法
- 検査までに時間的余裕がある
観察
- qmail.jp では fallback する spam は全ホストの 25% 程度
- 同じホストに二つの IP アドレスを持たせた
- jp.qmail.org では fallback する spam は全ホストの 10% 程度
- 同じホストに三つの IP アドレスを持たせた [:fallbackのデータ2]] --
かなりの spam 接続を排除できる
メイル配送遅延はないと言ってよい
なぜ MX fallback が有効なのか
spammer は bots に配送を分担させている。 [http://moin.qmail.jp/fig/day.gif|日別の接続数]
- 分担は MX レコード毎に分れているのであろう。 3 MX にすることでより効果的に排除できそうな感じがする。
[http://www.joreybump.com/code/howto/nolisting.html|Nolisting]
spammer は MX fallback 検査に対応するか
これまでの観察ではそのような傾向は見られない。
/000 これまでの spam 対策 /050 DNS PTR 利用 /100 MX fallback 方式 /200 helo 検査方式 /800 spam 対策の比較 /900 RFC 適合度の検査 /990 推奨案 /995 課題 /SlideShowHandOut |