MoinQ:

1. ps07 概要

情報処理学会第48回 プログラミング・シンポジウムで発表しました。

spam 送信ホストを少ない資源で精度よく判別する手法を評価した。
    
これまでの spam 対策法で問題とされた受信遅延(一時エラー返答法)や
システム資源の消費(牛歩戦術、throttling)などを軽減する方法を検討した。
DNS 逆引きを使って対象を選択する方法もあるが、それも避けることにして、
複数 MX を利用した spam 判別法と SMTP helo コマンドを利用する判別法を評価した
ところ、有効性が確認できた。

複数 MX 判定法の効率よい実装法が課題である。

前野年紀、鈴木常彦

1.1. これまでの spam 対策

メイル受信サーバにおいて、メイル受信時に牛歩対応したり一時エラー返答する ことはspam を受信しない有効な手法である\cite{ps04}が、 利用環境によっては問題点となることもある。

牛歩対応(throttling)では 1 分程度の sleep であっても受信プロセスに システム資源が占有されるので、大規模メイルサーバでは資源を圧迫することになる。 spam を受信処理することに比べれば、負荷は減っているはずではあるが。

一時エラー返答(tempfailing)は多くの spam 送信プログラムが再送してこないことを 利用している。通常サーバからのメイルは再送を待つことになる。 この 15 分から 30 分程度の再送による遅延を避けるためには、即時受け取りのためのホワイトリストの充実が欠かせない。 一方で初見のホストからのメイルについても遅延発生を嫌う人達がいる。送信側の立場からは再送の手間そのものを非難する声もあるが、 インターネットメイルというものの性質なので、これは相手にしない。

これらの理由から、上記の対策を適用する相手を限定できるとよい。 ホワイトリストやブラックリストを使うなら、その充実が欠かせない。 リスト作成を容易にする道具や代替手段が望まれる。 逆引きの功罪 さて、多くの spam は spam 送信者にあやつられるゾンビ PC (bots)経由で送られていて、 それらでは動的割りあての IP アドレスが使われていることが判明している。 そして、動的割りあての IP アドレスは それと分かる名前をもつ DNS 逆引きレコード(PTR)が設定されていたり、 逆引きレコードがなかったりするなどの特徴があることが知られている。

このことから、送信ホスト選別手段として送信元の IP アドレスを DNS 逆引きして 判定材料にする方法が有効であり、すでに広く使われている \cite{dsm04}。 ただし、逆引きは逆引き DNS サーバやネットワーク全体の負荷となる。

また、逆引き DNS サーバはきちんと管理されているとは言えない状態であることにも 注意すべきである。つまり、安定しているとは言えないサービス、セキュリティ面での心配のあるサービス である DNS に依存することになる。 DNS ブラックリストも有効な手法であるが、逆引き同様の問題がある。 検討内容 これらの理由から、DNS に頼らない判断方法を検討すべきだと考えた。

以下に、 複数の受信サーバを使いわける MX 遷移検査法と SMTP helo コマンドを 利用する判別法を説明し、これまでの方法と比較してみる。