読者です 読者をやめる 読者になる 読者になる

ドメイン名でspam拒絶

迷惑メールに関するオピニオンを見ていると、やはりこういう技術が絡む世界では理系が圧倒的に文系に対しアドバンテージを持つものだなと感じます。新聞なんかのコラムで迷惑メールに関わることを書いていても、結論は何年も前から変わりません。「国際的な体制作りと、インターネット自体の仕組みを変えることが必要だ」。そういう抽象論までしか出しようのない文系の評論家に比べると、実際の防止策自体を打ち出せる技術者は圧倒的に優位です。

オープンリレーブラックリストはもはや役に立っていない。有効なスパム対策は、メール中継サーバからのSMTPアクセスを受け入れる一方で、エンドユーザー用回線からのSMTPアクセスを拒絶することである。それらは、IPアドレスの逆引き名の特徴に基づいて識別できる。

で、最近知ったのがこれ。S25R - 選択的SMTP拒絶方式というspam対策手法。
最近はspam発信元としてオープンリレーのSMTPサーバを踏み台にするではなくブロードバンド回線につながったPCから直接送信し、IPアドレスを頻繁に変えてしまうことで拒絶を逃れようとすることが多いことへの対策です。ワームで一般ユーザのPCをソンビに仕立て、そこから発信させている場合もやはり一般回線が送信元になりますし。
ブロードバンド回線のIPアドレスは、逆引きしてもドメイン名を持っていないか、あからさまに「回線っぽい」ドメイン名を付けられていることが多いことを利用し、正規表現でそういうドメイン名をみつけて排除するというのがこの方式。現時点でかなりの撃墜率を保っているようです。
しかし、この方式の破り方はちょっと考えてみると比較的簡単でした。特にゾンビPCを利用して送信させる場合。SMTPエンジンから直接送信するのでなく、プロバイダの正規のメールサーバに送ってそこから送信してもらえばいいのです。回線ユーザならプロバイダも受け取ってくれるし、外部から見ればまったく正規の、オープンリレーでもないSMTPサーバからなので拒絶されようがない。
プロバイダのメールサーバを調べる方法も簡単です。ゾンビPC内のOutlookExpressの設定情報をのぞき見てもいいし、IPパケットを監視してSMTP呼び出しの宛先を調べてもいい。特に、IPパケットの監視ならPOP before SMTP方式にも対応できます。ユーザーがメール送信した直後の「門が開いている」タイミングを狙ってspam送信できるから。
さあ、この破り方の対策も考えないとな。