パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPアドレスの最近傍識別を行うSPAM Filter」記事へのコメント

  • ソース見ました。動かしてませんが、バグがあるんじゃないかと思います。
    というのは、メール送信者IPアドレスを抽出する(NNIPF/PERL/header.plの中のmain'HeaderAnalysis)時に、メールヘッダの最初から走査して、Received:行の内、最後にMTAOBのリストに一致したものからメール送信者IPアドレスを抽出しているように見えます(違ったらすまん)。普通、Received:行は、新しいものが最初の方に来ますから、MTAOBのリストと一致するものの中で、一番古いものと一致することになります。
    という事は、MTAOBのリストを知っているスパマーは、偽のReceived:行を紛れ込ませるこ
    • コメントありがとうございます. この指摘はいずれ出てくるだろうと思っていました.最後のMTAOBのみを評価している理由は,うちの大学では外部接続ルータでsmtp接続を強制的にメイルのフィルタリングマシンにredirectしているため,私に来るメイルのReceived行に複数回MTAOBが出てくるため,暫定的に最後のMTAOBの直前のReceived行からIPを引き抜いてくるようにしているためです.ですから,現バージョンでは仰るとおり,偽造されたReceived行には対応できません.ただ,現状ではそんな奇特なスパマーはいないようで,スパマーがこれに気がつくまでは使えるはずです.キッチリやるのなら,メイルの束からオートマトンを作らないといけないのですが,これをやると(事前にメイルの束が必要なので)ただでさえ使いづらいのに,もっとつかいづらくなるため躊躇しております.ご意見を参考にして,もうすこしましな方法を検討してみます. コードが汚いのは仰るとおりです.ちょっと書き直しをしてjcodeとmimerは不用にしました.時間があるときに書き直したいと思います.
      • by Ryo.F (3896) on 2007年04月19日 14時52分 (#1145112) 日記
        キッチリやるのなら,メイルの束からオートマトン
        いや、キッチリやるなら、taka2さんの様なやり方 [srad.jp]でしょう。
        過去のReceived:列を正しく喰うオートマトンを作ったところで、それがすべてのケースを網羅しているとは限りませんよね。障害が起こった場合、別の経路でメールを受け取る仕組みになってるかも知れないわけだし。

        スパマーがこれに気がつくまでは使えるはずです.
        「Macではウイルスを心配しなくてよい」程度の話ですね。あまりカッコのイイ主張ではない気がします。
        親コメント
        • by twada (33858) on 2007年04月19日 15時59分 (#1145143) 日記
          taka2さんの方法は,最初のMTAOBのIPアドレスを把握して,それに対してそれ以外のアドレスからの接続があった場合,そのIPを拾うということでした.ですが,私の場合,先のコメントで書いたように,下記のようなReceived行のメイルを受けています.(by 以下に mgate が6回も表れており,最後の by mgateが本来のIPアドレスをつかまえています.)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [133.42.248.34])
              by wada5.cv (Postfix) with ESMTP id 7B0D3E982FE
              for <twada@wada1.sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:05:32 +0900 (JST)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [127.0.0.1])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l3GGHprR012095
              for <twada@wada1.sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:17:51 +0900
          Received: from leo.ieee.org (leo.ieee.org [140.98.193.29])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l3GGHmxA012065
              for <twada@wada1.sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:17:49 +0900
          Received: from gemini3.ieee.org (gemini3.ieee.org [140.98.193.188])
              by leo.ieee.org (8.12.10/8.12.10) with ESMTP id l3GGHhvL011239
              for <twada@ieee.org>; Mon, 16 Apr 2007 12:17:43 -0400
          Received: from hormel8.ieee.org (hormel8.ieee.org [140.98.193.231])
              by gemini3.ieee.org (Postfix) with ESMTP id B1CA84D178
              for <twada@ieee.org>; Mon, 16 Apr 2007 12:17:42 -0400 (EDT)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [133.42.248.34])
              by hormel8.ieee.org (8.13.8+Sun/8.13.8) with ESMTP id l3GGHc8f020641
              for <twada@ieee.org>; Mon, 16 Apr 2007 12:17:39 -0400 (EDT)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [127.0.0.1])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l3GGHcvO012055
              for <twada@ieee.org>; Tue, 17 Apr 2007 01:17:38 +0900
          Received: from mail.sys.wakayama-u.ac.jp (mail.sys.wakayama-u.ac.jp [133.42.159.1])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l3GGHbn6012050
              for <twada@ieee.org>; Tue, 17 Apr 2007 01:17:37 +0900
          Received: by mail.sys.wakayama-u.ac.jp (Postfix, from userid 1086)
              id CBA673823E3; Tue, 17 Apr 2007 01:17:37 +0900 (JST)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [133.42.248.34])
              by mail.sys.wakayama-u.ac.jp (Postfix) with ESMTP id AB0ED3823E2
              for <twada@sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:17:37 +0900 (JST)
          Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp [127.0.0.1])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l3GGHbYb012047
              for <twada@sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:17:37 +0900
          Received: from alert.hindawi.org ([82.129.218.7])
              by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with SMTP id l3GGGuca011900
              for <twada@sys.wakayama-u.ac.jp>; Tue, 17 Apr 2007 01:17:36 +0900
          x-esmtp: 0 0 1
          Message-ID: <twadasyswakayama-uacjpvtcsatwadasyswakayama-uacjp@hindawi>
          こういうメイルの設定をしているやつが悪いといえば,それまでですが,私の場合,これでも(とりあえず)動くようにしたかった訳です.このように,私の場合,最初にこだわっても正しい答えには至りません.ですので,将来現れるかもしれないbyの偽造にどう「かっこよく」対処すべきか悩んでおります.良いアイデアがあったら教えてください.
          親コメント
          • by twada (33858) on 2007年04月19日 18時20分 (#1145221) 日記
            自分で自分にコメントします.by MTAOBのfrom部分全てで弁別度を計算し,それの最大値を取るという方法なら,偽造しても影響はないはず.唯一の問題点は,GIPやBIPへの反映をさせるためのプログラムがややこしくなるということです.
            親コメント
        • by twada (33858) on 2007年04月21日 2時04分 (#1145971) 日記
          MTAOBがbyに出てきたときの弁別度の最大値を使うバージョン(コードも前よりだいぶまし)0.05-betaを作りました.自分でヘッダのbyの偽造を試してみましたが,騙されずにきちんと検出できました.これで,もし正常なIPの近辺からスパムが来たらどうするかという問題だけが残りました.これは基本的にスパム・非スパムのIPがもし入り混じった部分ができてしまい,そこからメイルが来たら,NNIPFではなく別途作っているBayesianフィルタにかますという対処を予定しています.
          皆さんコメントありがとうございます.
          ちなみに,httpdのログを調べ,6000台ほどのアクセス元IPアドレスの弁別度を調べたところ,99%以上の弁別度をもつものが約4%くらい含まれていました.ある意味,感心しました.
          親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...