やっぱりまた来た大量の日本語SPAMメール

またお前か!

と思いつつも、

飛んで火に入る夏の虫・・

とも思った。

ヤツがまた来た。それはもう清清しいくらいに同じ手法で。

おなじみの内容、件名におなじみの差出人(似非日本人みたいな差出人名)、おなじみの方法(1025秒前後で再送)で、おなじみの頻度(300通over/1日)だ。

でも内心また来て欲しいとも願っていた。あの後サーバーサイドに導入したSpamassassinの効果を確かめる絶好のチャンス。前回はspam対策として施していた以下の対策が全てスルーされていた。

  1. 送信元ドメインの存在チェック
  2. Greylistingによる受信制限
  3. DNSBLを利用した受信制限

今回は以下の対策を施していた。

  1. 送信元ドメインの存在チェック
  2. Greylistingによる受信制限
  3. Spamassassinによるspam判定

前回まで「3.」で施していた対策はPostfixへの以下の設定によるものであった。

smtpd_client_restrictions =
・・・・・
    reject_rbl_client dsn.rfc-ignorant.org,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client dul.dnsbl.sorbs.net,
    reject_rbl_client bl.spamcop.net,
・・・・・

実はこれ、送信元IPアドレスがDNSBLに含まれる場合に問答無用でrejectするという男気溢れる挙動であった。情け容赦なしにrejectする様をPostfixのログから眺めるのもある種の味わいがあって好きであったし、それはそれで良かったのだが、今回導入したSpamassassinは実はそのあたりのチェックも行ってくれている。

上記のPostfixの設定は送信元のIPアドレスのみをチェックしているのだが、Spamassassinではこれと合わせてメール本文中に含まれるURL(のFQDN部分)もブラックリストと照合してくれている。

Spamassassinでは、その他、様々なチェックを行い、それぞれに「スコア」がつけれれており、最終的な「スコア」がある閾値(任意で設定出来る)を超えたメールをSPAMメールとして判定する。例えば、あるDNSBLチェックに引っかかってしまった場合でも、その他のチェックに引っかからなければ(閾値を超えなければ)SPAMメールとは判定されない。

よってこの慈悲深い挙動を確かめるために今回からPostfixの設定から「reject_rbl_client」の記述を削除することにした。

で、肝心のSpamassassin導入による効果だがヤツらからのほぼ全てのメールを以下の通り判定してくれた。

To: <xxx@fanta-orange.com>
Subject: 究極のスペルおよび英文法チェックツールを体験してください
From: “=?iso-2022-jp?B?iMmNspNjjE4=?=” <uchiumi.ryozo@porchchops.com>
Delivered-To: xxx@fanta-orange.com
X-Spam-Flag: YES
X-Spam-Score: 42.371
X-Spam-Level: ******************************************
X-Spam-Status: Yes, score=42.371 tagged_above=-999 required=13  tests=[BAYES_99=7.5, CONTENT_TYPE_PRESENT=-0.1, DATE_IN_FUTURE_12_24=2.189, DOSMXPBL=3.5, DOS_OE_TO_MX=2.75, \
FH_HELO_EQ_D_D_D_D=0.001, HELO_DYNAMIC_IPADDR=2.426, HTML_MESSAGE=1,    ISO2022JP_BODY=-0.1, MIMEQENC=0.2, MULTIPART_ALTERNATIVE=0.1,   QENCPTR1=0.2, QENCPTR2=0.2, RCVDCB\
L99=3.5, RCVDXBL99=3.5,       RCVD_IN_BL_SPAMCOP_NET=0.1, RCVD_IN_CBL=0.1, RCVD_IN_PBL=0.905, RCVD_IN_SORBS_DUL=0.5, RCVD_IN_XBL=0.5, RDNS_DYNAMIC=0.1,       RIPE_NCC=0.1, S\
ORBSDUL99=2, SPAMCOP99=3, SURBL99=3.5, URIBLSBL99=2,     URIBL_BLACK=1, URIBL_SBL=0.1, URIBL_WS_SURBL=1.5,       X_MAILER_PRESENT=0.1]
X-Greylist: delayed 1024 seconds by postgrey-1.32 at xxx.fanta-orange.com; Tue, 10 Feb 2009 00:55:32 JST
Message-ID: <59b801c98b4f$23023920$1fb60d50@LRouen-151-72-23-31.w80-13.abo.wanadoo.fr>

ちなみにルールセットは TELC様 のものを活用させていただいています。

というわけで、リベンジ成功です。上のスコアを見ると、ベイジアンフィルタによるスコア(BAYES_99=7.5)以外にも色々助けられてるな~と。それぞれの意味の詳細については今後書いていきたいと思います(多分書かない)

関連する投稿

このエントリは 2009年2月12日 10:29:01に投稿されました。 amavisd-new, postfix, postgreyの下にカテゴリされています。 RSS 2.0フィードを通してこのエントリのコメントをフォローすることが出来ます。 コメントするか、あなた自身のサイトからトラックバック出来ます。

add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

コメントする?