2009年6月22日

[postfix-jp: 3516] Re:RBL 等 DNS 情報を使用して action を指定

荻野です。

YAMAGUCHI Takanori said the following on 09.6.21 11:27 PM:
> 標準でもメジャーでもありませんが、だいぶ前にまさにそういうパッチを書きました。
> http://ya.maya.st/d/200609a.html#s20060901_2
> 当時の最新バージョン(2.3.x だったと思う)用に作ってそれ以来ずっと
> 放置してますが、このへんのソースはほとんど変わってないようなので
> 今でもそのまま使えるんじゃないかと思います。

> # ちなみに最低限の動作確認をしただけで、実戦投入されたことはありません。

本当にまさに、という感じですね。

RBL 方式などで特定または不特定の値が返ってきたかどうかではなく、値そのも
のでテーブルを書けると、うれしい人も多いように思いますが。一般の RBL は
127.0.0.xx を返すようですが、127.0.xx.yy で xx に信頼性を入れるとか、
127.xx.yy.zz で、xx に RIR、yyzz に国別コードを返す DNS とかがあれば、
MTA とのインターフェイスがシンプルになるように思うのです。


> メジャーなものならば、spamassasin のようなスコアベースの spam フィルタが
> そうですね。RBL の結果を完全に信頼してそれだけを理由に判定するのではなく、
> いくつもの判定ルールのうちのひとつとして RBL も使うというだけ。
> postfix とは流儀が異なるので access(5) の右辺で、というわけにはいきませんが。

spamassasin を milter として使うとかも考えましたが、もう少し簡単な方法が
ないものかと。


>> この考え方についてもご意見をいただければ幸いです。
>
> spam 送信は以前は特定の IP アドレスから大量に送るのが主流でしたが、
> 今はそれがほとんどなくなり、大量の bot PC からごくわずかずつ送るように
> 変わってきていて、その大量の bot をリストしなければならない RBL は
> もう役目を終えたと個人的には思ってます。
> 何らかの方法で bot をひっかけて排除した後であれば、残りは旧来の
> 大量送信型 spammer である可能性が高いので、旧来の RBL でもそれなりに
> 効果はあるとは思いますが。

「大量の bot PC からごくわずかずつ送るように変わってきていて」というのは
こちらにも実感があります。過去に廃止されたドメインを MAIL FROM に騙るも
のや囮用アドレスへのアクセスから自動的に自前の RBL を更新するというアイ
ディアを検討したのですが、実際のログで検討するととても労力に見合うもので
はない、という結論に達しました。多数のサイトみんなでやれば効果も高いと思
うのですが、広げると攻撃されやすくなりますし…

それであまり期待をしないまま、囮用アドレスへの送信元ログを Spamhaus と照
合してみると、8割以上がカバーされていたため、びっくりしたというのが実態
です。(もっとも実際の送受信のタイミングでもカバーされているかどうかの検
証はこれからですが)

ボランティアベースの RBL は栄枯盛衰があるのは仕方がないと思いますが、少
なくとも数ヶ月は様子をみたいと思います。可能であれば報告します。


ところで、実はトレンドマイクロの有料サービスの方を期待していたのですが、
どなたか試された方はいらっしゃいますでしょうか。
Trend Micro Email Reputation Services
http://jp.trendmicro.com/jp/products/enterprise/ers/ersa/index.html
またはお薦めの有料サービスとかはあるのでしょうか。

--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617 10B7 C117 07AE 1691 9BD1

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2009年6月22日 21:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/86104
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。