いよいよ動的IPでのメールサーバは御法度か! 140
ストーリー by yoosee
そもそも動的IPでMTAって色々恐くないですか? 部門より
そもそも動的IPでMTAって色々恐くないですか? 部門より
自宅でwebサーバは上げているがsmtpサーバは上げていない弱虫のAC曰く、"いよいよ Outbound port 25 Blocking (Op25B) の本格的な実施がおぼろげながら見えて来た。これは国内でも幾つかの ISP では既に導入されているが、動的 IP アドレスから ISP 外への smtp 接続を遮断するもので、そうした動的IPの PC から spam がバラまかれることを抑制する目的がある。
パシフィコ横浜で開催されているInternetWeek2005の第二回迷惑メール対策カンファレンス の席上、JEAGの提出した資料では「2007年の半ばにはOutbound port 25 blockig(OP25B)を実施すべき」と言うロードマップが出ていた。あくまでもfixはなされておらず今後のJEAG内の議論では変更になるとは言え、自宅でSMTPサーバを立てている人間にとっては気になるところ。
IPリーチャビリティーは最大限確保するのが理想とは言えるが、そんな悠長な事は言っていられないほど事態は悪化しているということか。"
自宅サーバなら (スコア:3, 参考になる)
さくっとぐぐったところ、postfixなら http://www.usupi.org/info/postfix.html な設定が見つかりました。
携帯電話へのe-mailを動的IPから送信するとそもそもキャリア側で破棄されるケースも多かったので、自宅サーバで現実的に使うにはプロバイダサーバへの配送依頼は欠かせなくなってきていると感じます。
問題は外から自宅サーバを使うときですが……そこらの無線LANスポットからならPaketiX、これ最強w
Re:自宅サーバなら (スコア:1, 参考になる)
SenderID/SPF との相性が悪いです。
ISP のサーバの出口の IP アドレスがわかれば
それを列挙してやればいいんですが、
公表している ISP は皆無です。
Re:自宅サーバなら (スコア:1, 参考になる)
nifty を利用していますが、
niftyのSMTPサーバ経由でメールを出す場合、
From: がniftyのアドレスでなくてはなりません.
独自domainのアドレスを使っているので、
自宅のサーバから直接送っていたのですが、
これからどうすれば良いのでしょうか...
ばんざーい (スコア:2, 興味深い)
動的範囲であると確認したら範囲まるごとRejectするようにしてます。
効果が出るまで2~3ヶ月かかりますが、メールの9割がspam
だという事が判明した瞬間でもありました。
ちなみに、いまだにReject listは追加傾向にあります。
今どき固定IPサービス安いし (スコア:3, 参考になる)
ただ、1 IP アドレス提供サービスだと、逆引きが ISP ドメインのホスト名になってしまって自前ドメインのホスト名にできないことが多いのが難点でしょうか。8 IP 以上だと自由度は高いものの値段もちょっと高めですね。
Outbound port 25 制限するなら、固定 IP アドレスサービスを充実させてほしいものです。
# そうすると固定 IP アドレスサービスを契約→ spam 送信 →解約、という spammer が出てくるかも……。
Re:今どき固定IPサービス安いし (スコア:2, 参考になる)
全国的に見てもかなり低価格で固定IP8個を提供している
プロバイダー [kamome.or.jp]があったりするんですよねえ。
(経済的に)固定IPに移行しやすい地域ではあるんですが。
全国でもこれくらいの価格帯で使えるようになるといいですね。
メールサーバというのは固定されてこそのものだと思うので、
OP25Bは実行されてしかるべきだと思います。
#自ドメイン固定IPで鯖運用中gesaku
Re:今どき固定IPサービス安いし (スコア:1)
Re:今どき固定IPサービス安いし (スコア:1)
言えない場合もあります。
まー、どっちにしろ動的IPでSMTPサーバを運用すること自体は止めて欲しい、SMTPクライアントはともかく。
Re:今どき固定IPサービス安いし (スコア:1)
おいらもやっている (スコア:3, 興味深い)
最近は日本国内のホストより
韓国、中国、台湾、そしてヨーロッパが増えてきています
(っていっても一日の集計ではyournetやnttpcも多い。)
で最近思うことは
リジェクトしているドメインを調べている組織があるのではないかと感じています。
と言うのが、最近ではリジェクトしているドメインを
避けるように
ヨーロッパからのSPAMが増えている事です。
作業頻度としてリジェクトリストは増えている傾向にあります
ちなみにやっている事はそうむずかしくなく (スコア:2, 興味深い)
逆引きと逆引きが変なホストからメイルを受け付けなくするのと
sendmailのaccessファイルだけでやっています。
(ちょっと昔は、SpamAssassinとProcmailを使おうかと
思っていましたが今はそこまでしなくてもって程度です)
でそこで問題になっているの、普通は逆引きできないホストでも
メイルを受け付けるのが筋であり、それを排除するのは
問題であると言う話が割と多いと言う事でした。
確かにその話は当然であるともおもいましたが
当ホストに接続してくる逆引きできないホストからの
メイルは100%spamだったので今はすべて削除しています。
最近、私がspamより問題にしているのは大手企業からのメイルです。
なぜかというと、mailhop数を二桁で送ってくる組織が
以外と多い事です。
その企業内でかなりリレーしているので
たまに排除していることがあります(爆死!
dnsに登録されてないホストからのメール (スコア:2, 参考になる)
reject したいとこだけど、会社間の立場によっては、
結構リスクあったりする。
うちの場合、そんなとこと付き合いができるとは思ってもなくて、
rejectしてたら、メールが届かないと、ちょいとした騒ぎになるとこでした。
IP Revolution Inc配下のIPアドレスって、軒並み、逆引きできないみたいですね。
あと、逆引きだけ登録してあって、正引きを登録してない会社(co.jp)がありました。
そこは、なんと通販やってたんですね。カード決済したんですが、確認メールが来ない。
で、電話したら、メールが戻ってきてるっていうんですよね。
その後の対応のこともありましたが、ちょっとあきれてしまいました。
Re:おいらもやっている (スコア:1)
効果はやはり大きく、だいたいのものを拒否してくれています。
もちろん中国からであったも米国中継とかされると効果なかったりしますけどね。
個人的にはsenderのアドレスが存在するものかどうかを確認することで、さらに確実にブロックできてます。
極一部、まっとうなメルマガとかで無効なアドレスで出してきて拒絶されてますが、そんなので出すほうが悪いということで無視してます(笑)
-- やさいはけんこうにいちば〜ん!
Re:ばんざーい (スコア:1, すばらしい洞察)
greylistingでかなりのSPAMメールが防げますよ
Port25 (スコア:2, 参考になる)
インターネットは誰のもの?と思ってしまう。
答えは、みんなのもの。プロバイダのものではない。プロバイダは黒子に徹するべき。黒子としてできることが、Port25をふさぐことか、ヨーク考えよう。
でも、Port25をふさがれるのであれば、別のポートから、SMTPで、デレゲート経由で配信するというサービスがどこかで運用できように。だから、いたちごっこになるだけだから、本質的に、スパマー対策になんない。
Re:Port25 (スコア:3, すばらしい洞察)
Re:Port25 (スコア:2, 興味深い)
The internetを公共財と考えるならば、公共の福祉に反しない範囲で、
権利は保護されるべきというのが一般的な考え方かと思います。
但し、動的IPアドレスからのSMTP Outboundを認め続けることが、
公共に害するような状況の場合、個人の権利を制限することも
やむを得ないのではないでしょうか。
一番いい対策は、SPAM送信が割にあわなくなるようにすることでしょう。
彼らはSPAMという低コストな手段で金儲けしたいわけですから、
SPAMを低コストで出来なくすればいいのです。
携帯電話のワンギリ対策でも、実施はされなかったですが極端に
短い不完了呼にアクセスチャージを課金してしまうという案があったと思います。
あれと同じで、外部へのport25のセッション数をカウントし、一定時間内に
規定値以上を超えたら課金してしまうなどを行えばよいのです。
Re:Port25 (スコア:2, すばらしい洞察)
それですと、不本意ながら bot に侵食されてしまった PC から大量の メールが送信されたとき、被害者(PC所有者)が悲劇になってしまいますね。
「固定料金」も名乗れなくなってしまう可能性が高いので、やはり 25/tcp を使いたい人は事前登録…というのが現実的そうです。
Takeshi HASEGAWA
Re:Port25 (スコア:2, すばらしい洞察)
Re:Port25 (スコア:1)
Re:Port25 (スコア:1, オフトピック)
Re:Port25 (スコア:3, おもしろおかしい)
という意見でしょうか
#そんな…
Re:Port25 (スコア:1, すばらしい洞察)
Re:Port25 (スコア:1, すばらしい洞察)
受益者負担ということで。
SPAM減るなら25番制限もいいんじゃないかな。
いたちごっこは起きるかもしれないけど、発信源が制限しやすくなるかもしれないし。
今は対象が広すぎるからなぁ。
Re:Port25 (スコア:1, 興味深い)
手先になってるような気がします。
そういった場合の対策としては根本的に間違っているのですが
おきてる現象や個人でやらないといけない対策に対しても当然
無知&説明しても「よく分からない」と言って放置するので
ブロックをISPでやるのは適切ではないにしろ妥当だと思います。
Re:Port25 (スコア:1)
メールサービスを提供していなかったり、有料だったりするプロバイダもあるでしょうが、
選択の自由はあなたが持っているので、考えているほど深刻な問題とは思えませんが。
妥当だけど (スコア:2, 参考になる)
今、複数のアカウントがある上にノートPC(で移動して)上の自前SMTPから送信してるんで...
# 自前なのはプロキシ他でSMTPサーバに接続できないこと多数なんですよ
M-FalconSky (暑いか寒い)
Re:妥当だけど (スコア:1)
DomainKeys, SPF や固定IPもそうですが、送信元が特定できるのならば制限するのも比較的ですが楽になります。
SMTP自体を廃止 (スコア:2, 興味深い)
Re:SMTP自体を廃止 (スコア:1, すばらしい洞察)
普及にも時間はかかるが、
次のプロトコルを決めるとところでまずもめる。
Re:SMTP自体を廃止 (スコア:2, 参考になる)
私も実行に移したことはないけど、今のメールシステムがあまりにも古いと思うことはよくあります。
前に感じたのはspamではなく、エンコーディングの問題でしたが。
あんまり好きじゃないけど、マイクロソフトとか、
大企業が組織した次世代メールプロトコル策定委員会があってもいいと思います。
POP3とIMAP4に両対応したメールクライアントのように、
しばらくの間は共存してもらうことも可能だろうし、
まずは行動しないと。
動的IP (スコア:2, 参考になる)
仮にも技術系雑談サイトで。
Re:動的IP (スコア:2, すばらしい洞察)
IPアドレスをIPというのは郵便番号を郵便と呼ぶようなものなのでとても奇妙なのですが、2つの概念のうち一方(特に名前の短い方で、それは大抵の場合中心的な概念)がその人にとって縁遠いと誤用をしてもなんら恥じない人が多いですね。
哀しいことに、後の部類ほど人数が多い気がします。
幼児期には近い関係の概念やその名前の混同がままあり(私もそうだったらしいのですが)、そういう大人を見ると、(当然理解としては区別できるでしょうが)思考の明瞭さに対する意識のレベルは幼児と大差ないのかなあ、と思ってしまいます。
Mew (スコア:2, 参考になる)
submission ポートをデフォルトで使う実験 [mew.org]が行われています.
どうやって動的IPアドレスと判断するの? (スコア:2, 興味深い)
「動的IPアドレス」かどうかをどうやって判断するのでしょうか?
Interlink の ZOOT を使って1アドレスでサーバを運用しているのですが、
先日、某プロバイダ宛に出したメールがエラーになりました。調べたら
「逆引きが動的IPアドレスっぽいので拒否します。そうじゃないなら連絡してね。」
ということで、WEB上にホワイトリスト申請フォームがあったのですが、
そこに申請しても、結局対処されないままです…
たしかに、逆引きサービスには入っていないので、逆引きは
プロバイダが付けた、IPアドレスから機械的に変換された名前なのですが、
それを根拠に動的と判断されるのは困ります。
まじめに動的IPアドレスかどうか調べよう思ったら、
プロバイダごとに一件一件問い合わせるしかないと思うのですが、
実際にはそんなの実現不可能ですよね…
Re:どうやって動的IPアドレスと判断するの? (スコア:2, 興味深い)
被害者は自宅でサーバな人じゃない気がする (スコア:2, 興味深い)
僕はそれよりも、ISP以外のSMTPサービスを使ってる人が接続できなくなるのが心配なんですが。
例えば今時は少ないのかもしれないけど、ISPのメールサーバからメールを送信する場合は From がそのISPのドメインじゃなきゃ送れないというのを経験したことがあります。でもメールのFromは自由に設定したいから外部のSMTPサービスを使うわけです。
それなのに外向き25番を防がれると好きなFromでメールを送れなくなってとても困る。
上記はユーザの立場からですが、逆に独自ドメインでPOP,SMTP等が利用できるサービスを提供している立場からすると。
今まではユーザに僕の管理するサーバをメールの送受信に使って貰っていたが、ある日いろいろなISPで外向き25番が出れなくなると、僕のメールサーバを使っているユーザさんは当然僕のメールサーバにも繋がらなくなるわけですよ。
そしたら「突然メールを送信できなくなった!」って苦情が全て僕(独自メールサービス提供者)のところに来て、そのユーザさんが使ってるISPを聞いて、こうこうこういう理由で繋がらなくなったんですよ、と原因もそうですが、更にそのISP毎にこういう設定に変えて下さい、と説明してあげなければならなくなります。
更に運悪くそのユーザさんが最初に例に上げたようなISPを使っていたらそのユーザさんは独自ドメインでのメール送信は出来ないということになってしまいます。
そうなるとそのユーザさんは、最悪、僕のメールサービスを使ってくれなくなるかもしれません。
そういう点にはだれも突っ込んでないように見えますが、同じような立場の人は居ないのかな?
Re:被害者は自宅でサーバな人じゃない気がする (スコア:2, 参考になる)
つまり25番をエンドユーザのメール送信に利用する時代は終わるんですね。
25番は今後はサーバ同士のメールの送受信にだけ利用して、エンドユーザがメール送信で利用するポートとは分離する世の中にしましょうねってことですか。
ついでに (スコア:1, 参考になる)
ISP跨いで使うことないっしょ。
# 受信側で塞ぐべきかもしれないけど、
# くさいものは元から、、、ね。
Re:ついでに (スコア:1)
ユーザーが対応すればいいだけ。
なんでもかんでもプロバイダで制限すればいいってもんじゃない。
25番ポート全部遮断するんじゃなくて (スコア:1, 参考になる)
http://itpro.nikkeibp.co.jp/article/NEWS/20051024/223270/ [nikkeibp.co.jp]
http://www.editnet.ad.jp/abuse/op25-restriction/ [editnet.ad.jp]
# このプロバイダとはほぼ10年にわたる付き合いなのでAC
Re:25番ポート全部遮断するんじゃなくて (スコア:2, 興味深い)
全部遮断するなら適当な箇所のルータに適切にフィルタ書けばすむ。しかしEditNetがやっているような遅延系対策はユーザとルーティングコアとの間に全トラフィックを眺めつつSMTPのトラフィックだけを抽出してTCPのコネクションに遅延を発生させる機械をはさまねばならない。(具体的製品名がわからんけどいまのPacketShaperならできるのかな?)
EditNetのような小規模ISPならばある程度簡単にできるだろうけれど、ある程度以上の規模のISPだとなかなかできることではないと思う。それでもがんばってやっているBiglobeは偉いかもしれない。
http://security.biglobe.ne.jp/spam/
(上記SMBA-FCの項目)
NEC自社製品でがんばってるのかな?
radish (スコア:1)
And now for something completely different...
Re:radish (スコア:1)
メール送信時は localhost へ投げるだけ,という使い方をしているので,
こういう規制はありがたくない.
毎日の自宅と職場の往復とか,出張先とかで接続方法が変わるたびに
送信先 smtp サーバを変更するのはかなり面倒だし,
そもそもそれが分からないとか,存在しないこともある.
たとえば b-mobile は smtp サーバを提供してないし.
どこかで固定IPアドレスのマシンを仕立てて,
smtp 認証が出来るように設定するしかないのかなあ..
Re:radish (スコア:1)
という流れなら固定IPでなくてもOKかと。
#めんどうなことには変りないですが。
コミュニティのMLなんか困るでしょ。 (スコア:1)
とっても困るんだけど。
固定IPアドレスのサービスしてる所は良いでしょうが、そうじゃ無いこところも多いし。
たしかに、言ってる事は分かるし、その通りだとも思うけど・・・。
プロバイダ変えますか。固定IPアドレスサービスしてる所に。
hoihoi-p 得意淡然、失意泰然。
Re:コミュニティのMLなんか困るでしょ。 (スコア:2, 参考になる)
2箇所に支払うのとどっちが安いかしだいですが。
typo (スコア:1)
Re:MAIL-RELAYサービス (スコア:1)
受信はOKだよね?
それから、送信に関しても、
たいていの場合はプロバイダの提供する SMTP サーバ
経由でリレーすれば OK だよね?
MUA と MTA を両方いじれる状況にある人なら
どうとでも対応できそう。
でも、それが許されない場合というのもあるだろうしなぁ。
# mishimaは本田透先生を熱烈に応援しています
Re:MAIL-RELAYサービス (スコア:1)
すんません、勘違いしてました。ご指摘感謝。
# #844476はなかったことに...