Delta's web sites.

　今まで主にブラックリストでSPAM対策をしていた訳ですが、いろいろ試行錯誤してもフィルタ率が80%くらいでした。 　届く宛先の傾向を見ると、やはり過去にWebにメアドを載せていたのが原因ですね。ここのサイトも10年以上公開しているので歴史の重みの一つですね。

　で、結構悩んだんですが、S25R(Selective SMTP Rejection)という仕組みを導入してみることにしました。詳しくは以下のサイトを見てください(始めのページに要点も書いてあります)。 http://www.gabacho-net.jp/anti-spam/

　結果から言うと、ほぼ100%SPAMを駆逐出来てます。かなりすごいですね。ただし、誤フィルタの危険性も捨てきれないので、しばらく監視が必要です。

　とりあえず設定方法については上記アドレスの「阻止率99%のスパム対策方式の研究報告」ってところに、postfix向けの設定サンプルが書かれているのでそれで行けますが、ちょっと注意点などを以下に記載してみたいと思います。

　まず、main.cfの設定ですが、元々ブラックリストによる制限をしてますが、S25Rも同じようなところに定義してます。ですので、ブラックリストとS25Rを両立する設定が必要な訳ですが、私は以下のような感じに設定しました。

main.cfの設定サンプル(ブラックリストとS25Rの両立)

〜以下、抜粋です 　「reject_rbl_client 云々」がブラックリストの設定。「permit_mynetworks」以下が、S25Rのサイトにあったサンプルと同様の設定です。

smtpd_client_restrictions = reject_rbl_client all.rbl.jp, reject_rbl_client sbl.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, permit_mynetworks, check_client_access regexp:〜云々〜, check_client_access regexp:〜云々〜, check_client_access regexp:〜云々〜

　また、S25Rは誤フィルタを防ぐ為にホワイトリスト(許可リスト)を設定する必要があります。ホワイトリストも上記S25Rのサイトの「ホワイトリスト情報」ってところにあります。 　で、この情報は頻繁に更新がなされるので、更新されたらメールで知らせてくれるようにcronに以下のソースを設定しています。

更新お知らせシェル

　頻繁にチェックすると相手のサイトに迷惑なので、一日一回だけのチェックにしてます。ちなみに以下の設定だと、サーバのroot宛にメールを送るので、その辺は環境に応じて旨く設定してください。 　なお、あくまでお知らせするだけで、更新はしてくれません。

#!/bin/csh wget –no-cache -q -O /etc/postfix/white-list.txt.check -T 10 http://www.gabacho-net.jp/anti-spam/white-list.txt if ( $status != 0 ) […]

　うちのメールサーバのSPAM対策は、設定で遮断できるところ遮断し、できないところはRBL(Realtime Blackhole List:ブラックリスト)で遮断しています。ブラックリストはspamcopの効果が圧倒的に大きいですね。誤登録も多いらしいけど。 　サーバ側ではグレイリストは使ってません。誤遮断が怖いのもあるけど、正か誤りかの確認がしづらいのが理由。だから、クライアント側で振り分けて１つ１つ確認しています(Beckyの深海魚フィルタ)。 　で、今回はpostfixの機能の一つを追加してみました。header_checksとbody_checksというのがあるのですが、今回はheader_checksです。メールヘッダーに任意の文字列がある場合に、エラーを返します。やり方は以下のような感じ。 /etc/postfix/main.cfに追加(元々コメントアウトされてる)。 header_checks = regexp:/etc/postfix/header_checks /etc/postfix/header_checksに追加(ファイルは元々ある)。 /^Message-ID:.*xxxxx.jp>/ REJECT 　/etc/postfix/header_checksには元々コメントがいっぱい書いてありますが、すべてコメントで無視されるので、一番下にでも追加すればいいでしょう。 上記の定義の意味は、「^Message-ID:」はヘッダーの中の「Message-ID:」のことです。「^」が文頭を意味しています。「.*」は任意の文字。Message-IDにはいろいろな文字が入りますので、そこを省略しています。「xxxxx.jp」のことろは、そのSPAM特有の文字列を示していています。「Message-Id」はSPAMじゃなくてもヘッダーに入っていますが、SPAMメールのヘッダーをよく調べて、明らかにSPAMにはコレが書かれているという単語がわかればそれを正確に入れましょう。最後のREJECTは、「遮断」の意味ですね。 　他にもX-Mailerとか指定できるので、ググルといろいろ調べてみるといいかもしれません。ちなみに「/~From:.*xxxx.net>/ REJECT」がうまくいきませんでした…何でだろう？ 　この機能は、「マッチした場合にエラーメール(バウンスメール)を返す」ではなく、「マッチした場合に相手サーバにエラーを返す」です。 　バウンスメールってSPAM業者には全く効果が無いので、このすぐにエラーを返すという動作もいいですね。

　うちではブラックリストの設定をこんな感じにしてます(比較的に固め？)。 ・main.cfの一部抜粋 smtpd_client_restrictions = reject_rbl_client all.rbl.jp, reject_rbl_client sbl.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org ※ブラックリストの指定は変化することがあるので、これを丸写しとかしないように注意。 　smtpd_client_restrictionsは、

SMTPサーバがクライアントからSMTP接続の要求を受けた際に適用する、オプションのアクセス制限。

だそうです。 　fedoraとかだと、LogWatchを仕掛ければどのブラックリストでどの位ブロックしたかをサマリーしてくれるけど、家はちょっと独自にシェルを組んでます。 $ cat blocked_mail.csh #!/bin/csh # 前日のブロックされたメールをサマリしてくれる setenv TZ JST+15 setenv LANG C # blockedを集計(rlytestはテストっぽいので除外) grep "^`date ‘+%b %e’`" /var/log/maillog* | \ grep ‘blocked’ | grep -v ‘rlytest’ \ > /tmp/blockedmail.tmp echo ” > /tmp/blockedmail2.tmp echo "- Using Black […]

　qmailの時からSPAMに悩まされていたので、postfixにしたことを機にSPAM対策を強化してみました。 　SPAMが多い理由は過去に海外のMLに入っていたのと、ホームページにメアドを載せてたからかな(メールサーバの解説でもダミーのメアドが載ってるけど、それも全て拾ってるようで、そのアドレスにもよく届きます)。今もメアドを載せてるけど、ここの対策は微妙。 　とりあえず、今までの経過は以下の通り。 qmailからpostfixに変えた。 　qmailはサーバに居ないユーザでも一度受け取っちゃいますが、postfix(っていうか普通のメールサーバは)受け取らずにUserUnknownを返します。qmailは仕組み上しょうがないけど、エラーを送信者(詐称されてる)へ返信し、それがバウンスメールとして管理者に返ってくるので、偉い面倒。 　postfixにしてから統計を取ったけど、一日160通くらいUserUnknownになってるので、もう少し根本的に対策とらないとダメかな。 ブラックリスト機能を有効にした。 　qmailでもできたことだけど…。 　まずは、RBL.jpを設定。現状平均で20通くらいのメールをブロックしてくれています。まぁ、それでも一日10通くらいSPAMが届きます。 　次にSpamCopというブラックリストも追加。ここはちょっと遮断しちゃうところが多すぎるらしいので微妙ですが…。まぁ、ブロックしたメアドを毎日サマリーしてくれるシェルを作ったので、しばらく様子見ですかね。 　まずはこんなところかな。