スパムの処理
インターネット上には、お使いのシステムに対して常にスパムを送りつけようとする個人やサイトが存在します。このため、ご利用のシステムが不要なメールだらけになってしまう恐れがあります。そこで、FirstClassでは、スパムに対応するためのツールを用意しています。
[Filters]フォルダとフィルタリング用ドキュメントの利用
不要なIPアドレスやドメイン名をフィルタリングすることは、スパムに対処する最も重要な手段の1つです。これを行うには、管理者デスクトップの[Internet Services]フォルダ内にある[Filters]フォルダで、フィルタリング用ドキュメントを使用または作成します。アドレスをブロックするためにフィルタリング用ドキュメント使用する場合は、[Basic Internet Setup(インターネットの基本設定)]フォームの[接続]タブで、[[Filters]フォルダの設定に基づいて接続を拒否]を有効にする必要があります。
警告
[[Filters]フォルダの設定に基づいて接続を拒否]を有効にすると、SMTP接続だけでなくすべてのインターネットサービスへの接続がブロックされます。
このフォルダにはフィルタリング用ドキュメント(およびルール用ドキュメント)があり、承認または遮断する個人かサイトの正確なIPアドレス、IPマスク(類似のIPアドレス群)、メールアドレス、およびドメイン名を登録できます。同時に、[Basic Internet Setup(インターネットの基本設定)]フォームの[接続]タブで、[[Filters]フォルダの設定に基づいて接続を拒否]を有効にします。これにより、ご利用のシステム上で不要なスパムを制御するFirstClassの基本機能が動作することになります
フィルタリング用ドキュメントは、必要なときにいつでも更新できます。
この[Filters]フォルダの設定は、他のどのサイト設定よりも優先的に適用されます。例えば、ご自分のサイトでRBLの参照を有効にしているときに、RBLサービスにブラックリストとして登録されているIPアドレスから接続が試みられた場合、そのアドレスが[Filters]フォルダで信頼済みサイトとして登録していれば、インターネットサービスはその接続を受け入れます。
一方、フィルタリング用ドキュメントでサイトを遮断すればその接続はただちに拒否されるため、プロセスとシステムリソースの消費を最小限に抑えられます。このため、ご利用のシステムをハッキングしたり、ユーザにサービス拒否攻撃を仕掛けたりするインターネット上の悪意あるマシンから逃れるための手段として、IPアドレスによるブロックは非常に有効です。
以下に、フィルタリング用ドキュメントで使用する適切な構文の例を示します。
ブロックするIPアドレス、ドメイン名、メールアドレス、プロトコルを指定する構文
フィルタリング用ドキュメントは、FirstClassのドキュメントで作成することも、テキストファイルとして作成してこのフォルダにアップロードすることもできます。フィルタリング用ドキュメントの書式は、さまざまなインターネットのアンチスパムサイトで使われている書式に準じています。登録は1行ごとに行い、必要であればドメイン名の前に@を付けることができます。コメントは常に#で始めます。正しいフィルタ構文の例は以下の通りです。
• 123.123.123.123
#123.123.123.123からのメールをブロック。
• 123.123.12.*
#123.123.12で始まるIPアドレスのSMTPサーバからのメールをすべてブロック。
• 111.*.*.*
#111で始まるIPアドレスのSMTPサーバからのメールをすべてブロック。
• 123.123.12.123/130
#123.123.12.123、123.123.12.124から123.123.12.130までのIPアドレスをブロック。
• 123.123.12.123 - 123.123.12.130
#上の例と同じIPアドレスをブロック。ただし書式が異なる。
・@spamdomain.com
・spamdomain2.com
#上の例と似ているが、少し異なる構文。
#このアドレスがSMTPメール形式かRFC-822形式のFromヘッダに書かれている場合、そのメールをすべて拒否。
・*.badplace.com
・regexp:[bB][pP][0-9*\badplace\.com
#badplace.comのサブドメインのうち、bpまたはBPで始まる0桁から9桁のドメインをブロック(例えば、bp.badplace.com、bp1.badplace.com、bp12345.badplace.comなど)。
・pop3,imap:192.168.123.234
#192.168.123.234からのPOP3接続とIMAP接続のみをブロック。
信頼するIPアドレス、ドメイン名、メールアドレス、プロトコルを指定する構文
IPアドレスまたはドメイン名の前に「+」を付けると、信頼済みのアドレスまたはドメインとして登録できます。信頼済みとして登録されているアドレスがある場合、インターネットサービスはそのアドレスのメッセージに対してはどのメールルールも適用しません。信頼済みアドレスの設定は、ブロックするIPアドレスより優先的に適用されます。ある範囲のIPアドレスをブロックした状態で、その中のある1つのIPアドレスだけを受け入れる場合は、その特定のIPアドレスかドメイン名を信頼済みとして登録してください。
信頼できるIPアドレスを登録するには、1行ごとにIPアドレスを登録するか、IPマスクを登録します。
• +111.222.111.222
#111.222.111.222からのメールを信頼。
• +111.*.*.*
#111で始まるIPアドレスをすべて信頼。
・+*.goodplace.com
・+smtp:192.168.123.123
#192.168.123.123からのSMTP接続のみを信頼。
あらかじめ作成されているメールルールのカスタマイズ
警告
rules.MailRulesファイルには大量のコードが書かれているため、最初から理解するのは難しいかもしれません。したがって、[Basic Internet Setup(インターネットの基本設定)]の[迷惑メール/スパム]タブにある[メールルール]タブの設定や、rules.MailRulesファイルの値の変更を行うにあたっては、事前に内容をよく理解し、特にコメント行をよくお読みになることを強くお勧めします。
このrules,MailRulesファイルは、受信するSMTPメッセージのヘッダの内容を調べて特定の動作を行うことで、配信されるスパムのスコアリングや拒否、および疑わしいメッセージのチェックを行います(詳細は「スパムスコアについて」を参照)。
また、[迷惑メール/スパム]タブの[メールルール]タブでスパムスコアのパラメータを指定することで、rules.MailRulesファイルがスパムをスコアリングする範囲と方法を設定できます。デフォルトのrules.MailRulesファイルのコードは、このタブ上の設定値を取り出し、その値および他のタブの設定内容に応じた動作を行うように記述されています。
疑わしいSMTPサーバをRBLとSURBLで参照
ご自分のサイトに接続してくるSMTPサーバのIPアドレスを、RBL(Realtime Blocklists)とSURBL(Spam URI Realtime Blocklists)を利用して問い合わせ、そのIPがスパムメールの発信元としてよく知られているアドレスかどうか調べることができます。
RBLリストでは、ご利用のサーバに接続してくるIPアドレスの所有者が確認されます。RBLサービスは、スパムの配信に関与したことのあるIPアドレスやスパムリレーに利用するために他のサーバを乗っ取ったことのあるIPアドレスのリストを作成しています。
SURBLリストでは、ご利用のサーバに送られてくるメッセージのドメイン名が確認されます。スパムを配信しているドメインが検出されたら、あらかじめ備わっているrule.MailRulesドキュメントの設定に基づいてスパムスコアが101ポイント加算され、SPAM_LINKがスパムのテストに追加されます。インターネットサービスは、RBLとSURBLの両方の参照結果をキャッシュに保存し、システムに負荷がかからないようにします。SURBLは、ご利用のシステムに不正なIPアドレスから接続される前に対処しようとする場合には、大変効果的です。RBLやSURBLのサービスを有効にすれば、ご利用のシステムに大きな負荷が余分にかかる心配はありません。
RBLやSURBLのサービスによって、SMTP接続時に不正なIPアドレスや疑わしいIPアドレスが通知されるため、インターネットサービスのオプションを使用してそれらのIPアドレスを適切に管理できるようになります。
適切なRBLサービスの選択
利用できるRBLサービスは数多くあります。さまざまな質のサービスがあり、登録している不正IPの数、種類、それに利用コストも大きく異なっています。RBLを有効にする前に、どのサービスがご利用の組織のニーズに最も適しているか調べる必要があります。RBLサービスの多くが、SURBL参照サービスも提供しています。
特定のサービスをお勧めすることはできませんが、さまざまなRBLホストの比較に利用できる以下のWebサイトをご覧になることをお勧めします。
このサイトは、サイト制作者が使用しているいくつかのサービスの比較と感想が掲載されています。
このサイトは、さまざまな種類のスパムとオープンリレーからの防御に特化したサービスの一覧を掲載しています。
また、Web上にある疑わしいIPアドレスをすべて網羅しているサービスは存在しないため、複数のサービスを利用することをお勧めします。
管理者にできることはご利用のサイトとユーザにとって最適なサービスを選ぶことだけですが、留意したい点を以下に挙げておきます。
・実際に送られてくるスパムの配信先を検出できるRBLサービスを使用すること
・インターネットモニタの[RBL統計値]を常にチェックすること
・スパムをあまり検出しているように思われないRBLサービスは、他のサービスに換えること
・効果的なメールルールを作成する方法をユーザに教えること
RBLやSURBLを有効にする方法
利用するRBLサービスやSURBLサービスを決定したら、RBLを利用するための設定は簡単です。
注意
フィルタリング用ドキュメントで「信頼済み」として登録されているIPアドレスやドメインは、このRBL参照機能より常に優先的に適用されます。したがって、ある受信IPアドレスがRBLサービスによってスパム配信者であると特定されても、そのIPアドレスがフィルタリング用ドキュメントで信頼済みアドレスとして登録されていたら、インターネットサービスはそのIPアドレスがサーバに接続して処理を行うことを許可します。
RBLやSURBLを有効にするには、以下の手順に従ってください。
1 [Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、[RBLを参照する]または[SURBLを参照する]を選択します。
両方のオプションを有効にすることをお勧めします。インターネットサービスは、参照結果をキャッシュに保存するため、システムへの負荷が軽減されます。
2 利用するRBLホスト、またはSURBLホストのドメイン名を入力します。
3 不達メッセージを[不達メッセージ文]の欄に入力します。
このフィールドには、受信を拒否した差出人に送られる不達メッセージに記述される内容を入力します(例:あなたのIPアドレスまたはドメイン名は、RBLサービスによって検出されました。したがって、このメッセージは配信されませんでした。詳細については、yourRBLhost.com(利用しているRBLホストまたはSURBLホストの名前)までご連絡ください。
この設定では、受信IPアドレスがRBLリストで発見されなかった場合(かつ、そのIPアドレスがフィルタリング用ドキュメントで信頼済みアドレスとして登録されていない場合)、インターネットサービスはそのサーバからのメッセージを拒否します。RBLサービスのリストは、先頭のフィールドに設定したリストから順番にチェックされ、アドレスが見つかるとすぐにチェックは停止されます。例えば、あるメッセージのIPアドレスが先頭のフィールドのサービス(rbl.spamcop.org)では見つからず、2番目のフィールドのサービス(sbl.spamhaus.org)で見つかった場合、それ以上のチェックは行われません。
受信されるスパムの数を減らそうとすると、接続を処理するたびにRBLホストへの参照が行われようになるため、サーバに余分な負荷がかかります。しかし、この機能を有効にしても、アクティブな受信SMTP接続の数はわずかに増えるだけです。ご利用のシステムへの負荷を減らすために、インターネットサービスにはRBL参照結果をキャッシュに保存する機能があらかじめ備わっており、参照を繰り返さなくても済むようになっています。
送信者をすぐに拒否したくない場合の対処方法
RBLに登録されているサイトを拒否したくない場合は、拒否する代わりに受信SMTPメッセージにwarningヘッダを挿入することもできます。このためには、[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、[不達メッセージを送信せず、X-RBL-Wariningをインターネットヘッダに挿入する]を選択します。
注意
このヘッダオプションを利用するには、[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、[RBLを参照する]を有効にする必要があります。
このヘッダオプションを有効にすると、[不達メッセージ文]の内容が、この疑わしいメッセージのX-RBL-Warningヘッダのデータ部に挿入されます。この場合、ヘッダが挿入されることになったRBLサイト名を識別して、簡単に解析できるように、[不達メッセージ文]の内容を書き換える必要があります。そうすれば、最終的にメールを受け取るユーザが、FirstClassのメールルールを作成してそのメッセージを簡単に処理できるようになります。また、「不正」を行っている可能性があるとされた送信者についてよく知らないため、その送信者からのメールを受け取りたくないとユーザが考えている場合は、フィルタリング用ドキュメントでそのIPアドレスを拒否するよう設定できます。
このオプションを設定したら、ユーザは、FirstClassのメニューから[表示]>[インターネットヘッダの表示]を選択し、受信したメッセージのヘッダ部にそのメッセージを識別するタグが付けられているかどうかを確認する必要があります。
下図は、メッセージのインターネットヘッダの一部です。
RBLサービスの登録順
RBLサービスを登録する順番は、ご利用のサイトによく送られてくるスパムの種類によって異なります。大半のスパムがある特定の種類のスパム配信業者(例えば、薬品関係や金融関係など)である場合は、その配信業者の識別が得意なRBLサービスを選んで、RBLリストの1番目か2番目に登録する必要があります。その後で異なる種類のスパム業者の特定が得意なサービス(または、より汎用的なサービス)を登録すれば、サイトに送られてくる残りのスパムを識別できるようになります。
識別されたすべてのメッセージに対して不達通知を送信したい場合は、より多くのスパム業者を登録しているRBLサービスを利用します。これにより、インターネットサービスがスパム業者をサーバから遮断できるようになります。ただし、スパムではないメッセージに対しても不達通知を送ってしまう危険性があります。これは非常に厳重な設定ですが、サイトの運営がスパムによって著しく困難になっている場合には、このような設定が必要になることもあります。ご利用のRBLサービスがスパムと思われるIPアドレスを登録しすぎていると思われる場合は、もう少し登録数の少ないRBLサービスを利用してもよいでしょう。
先に登録したRBLサービスがスパムを判別できれば、システムに対する負荷はより少なくなります。例えば、1番目に登録したサービスがメッセージを識別できなかった場合、インターネットサービスはリストに登録されている次のサービスを利用します。この動作によってリソースが余計に消費され、システムの処理速度が落ちる可能性があります。しかし、1番目のRBLサービスがメッセージをスパムと識別できれば、インターネットサービスはそれ以上RBLサービスを利用せず、追加の処理は必要なくなります。
また、不要な接続を自動的に拒否するのではなく、X-RBL-Warningヘッダを挿入するよう設定している場合は、疑わしいIPアドレスの登録数が少ないサービスから多いサービスの順に登録すると、ユーザが自分で処理しやすくなります。ユーザは、自分のメールルールを設定して、RBLサービスが識別用のタグを挿入したメールをメールボックス以外のコンテナに転送しておき、後で並べ替えて確認できます。
ご利用のサイトまたはユーザにとって最適なRBLの設定を決めることができるのは、管理者だけです。したがって、以下の作業を実行することをお勧めします。
・実際に送られてくるスパムの配信先を検出できるRBLサービスを使用すること
・インターネットモニタの[RBL統計値]を常にチェックすること
・スパムをあまり検出しているように思われないRBLサービスは、他のサービスに換えること
RBLの動作状況をシステム上で確認する方法
ここに表示される情報から、次の内容を知ることができます。
・機能しているRBLサービス
・RBLサービスにアクセスした回数
・RBLサービスが疑わしいIPアドレスを検出した回数
・識別したIPアドレスの参照割合(RBLサービスの効率性を判断できます)
・RBLサービスが参照に応答しなかった回数
・参照にかかった平均応答時間
・参照にかかった最長応答時間
[オフ/オン]ボタンを押すと参照先を一時的に無効にできます。[Basic Internet Setup(インターネットの基本設定)]フォームから参照先を完全に削除する必要はありません。この機能は、テストを行う場合や登録しているRBLサービスのどれかがDoS攻撃に遭っている場合などに便利です。[RBL/SURBL統計値のリセット]ボタンを押せば、RBL統計値はリセットされます。
自分のサイトがオープンリレーとしてブラックリストに登録された場合
スパムメールはますます広がりを見せ、阻止するのが大変難しいため、(RBL提供機関を含む)多くの組織が、オープンリレーのサイトを積極的に調べて自分たちのブラックリストに登録しています。自分のサイトがブラックリストに追加されてしまった場合は、次のように対処してください。
1 リレーに関する設定(インターネットサービスとユーザ権限)をチェックします。
多くの場合、ブラックリストに登録される理由は、自分のサイトからスパムが発信されたためです。この項で説明する方法で調査を行い、問題を特定します。問題が発見できなかった場合は、ブラックリストに登録した組織に問い合わせてください。
2 リレーの問題を見つけて修正したら、ブラックリストに登録した組織に対して、自分にサイトをもう一度テストするよう依頼します。
ORBSのように、FirstClassのメールホストを「sendmail」とみなして、誤ったリレーのテストを行っている組織もあります。システムを正しく設定したにもかかわらず、まだテストに合格しない場合は、次の作業を試してみてください。
・インターネットサービスがsendmailのように動作するように再設定する
このようなテストでは、インターネットサービスがリレーを吸収してしまうため、メッセージを配信しているように見えるという問題がよく起こりますが、実際には、インターネットサービスは少し時間が経過したら不達通知を送信します。しかし、テストでは不達通知が届くまで待つことはないため、リレーが行われたと判断されてしまいます。[ディレクトリの詳細設定]フォームの[メールエイリアス]タブの[受信メールアドレス]で[メールエイリアスのみ]を選択すると、配信されてきたテストメールをインターネットサービスに拒否させることができます。
このオプションを選択すると、[ディレクトリの詳細設定]フォームでインターネットメールを利用するユーザのエイリアスを手動で設定する(または、自動メールエイリアスを設定する)作業が必要になります。
・ブラックリストに登録した組織に対して、自分のサイトがリレーをしていないことを伝え、自分のサイトからいくつかの宛先にリレーを試みてもらう
正常に運営されている組織であれば、このような要請に対応してもらえる可能性があります。
SMTPサーバの受信IPアドレスの問い合わせ
自分のサイトに接続を試みるSMTPサーバのIPアドレスに対して、対応付けられたドメイン名があるかどうかを調べることができます。ドメイン名が見つからない場合、インターネットサービスはそのサーバからのメールを拒否します。この機能を有効にするには、[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[ジャンクメール]タブで、[不明なドメイン名を拒否する]を選択します。
この処理では、SMTP接続を受信するたびにDNSサーバへの問い合わせが行われるため、ご利用のシステムに余分な負荷がかかる場合があります。ご利用のDNSサーバ(「DNSサーバの役割を参照」)を調整して、パフォーマンスが維持されるようにしてください。
|