パスワードを忘れた? アカウント作成
Close
15086 story

SMTPの応答を数秒遅らせてスパマーを撃退 38

ストーリー by kazekiri
いたちごっこ 部門より

JonMoo 曰く、

MIT Spam Conference 2007に関する記事がOpen Tech Pressに掲載されているのだが、そこでSMTPサーバの応答をわざと遅らせてスパマーをいらいらさせ、メール送信をあきらめさせるという手法が話題になっていたようだ。メールサーバの応答を接続から最初の数秒だけ遅らせて、その後通常のスピードに戻すという手法を発表した講演者によれば、SPAMの量を80%削減できるということだ。確かに一般のユーザであればメールの10秒遅延は気にならないが、スパマーは気にするのだろう。だが、この手法が広まりすぎると、あちこちで微妙にメールが遅延していくのかもしれない?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SMTPの応答を数秒遅らせてスパマーを撃退 More

  • それなんて役人仕事? (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年04月06日 16時10分 (#1138371)
    そーか、役人の対応はあきらめさせて仕事を減らすためだったのか。

  • いたちごっこ? (スコア:3, 興味深い)

    by SNT (23129) on 2007年04月06日 15時37分 (#1138345)
    同じSMTP鯖を使わないで、複数のSMTP鯖で並列で送信してやればいいんじゃないかな?
    ボットネットが既に十分に広まっているから、それとセットにすれば、意味なさげ。

    • Re:いたちごっこ? (スコア:0)

      by Anonymous Coward
      たしかにいたちごっこで、問題は平衡点がどこに動くか、動いた先がそれぞれの立場にどんな利害をもたらすかってことですね。

      XPsp1以前のWindowsが減ってくればボットネットの規模もそれなりにしぼむと思うので、スパマーの間ではボット確保競争が激化しそうな気がします。手口の巧妙化も進むでしょうが、それだけ工数も増えて資源も不安定になるはずなのでspamの相場が上がって結果的に量が減ることはあるかもしれません。

      個人ユーザができるのはボット対策でしょうか。これだけ仮想化技術が進んでるのだから、ネットサーフィンやメールブラウズはバーチャルマシンから(そんで使用後は初期化)なんてのが常識になってくれたらかなりマシになるのだろうけど。
      # OSの標準機能でサンドボックスとか装備したら独禁法でヤバいのかな?

      • Re:いたちごっこ? (スコア:1)

        by soryu (13825) on 2007年04月06日 16時52分 (#1138412)
        たしかVISTAのIEは通常時の権限より低い権限で動作してたと思います。
        特定のフォルダ以外に書き込めないとかそんな感じで。

        ゾーンの考えがはいって、ダウンロードしたファイルを実行する時に警告出るようになったのはXP sp2でしたっけ?
        当然デフォルトでは危険なActiveX等は実行されません。(最近の適切なIEなら)

        結局、デフォルトなら大丈夫なはずだけど、使用者によって(わけわからず)「実行or許可」されちゃうからダメなわけで、そうなると仕組み上はどうしようもないような。
        ユーザーのインターネット使用時のモラル向上が一番重要ですよね。

        シェア
        親コメント

        • Re:いたちごっこ? (スコア:0)

          by Anonymous Coward
          > デフォルトなら大丈夫なはずだけど、使用者によって(わけわからず)「実行or許可」されちゃうからダメなわけで、そうなると仕組み上はどうしようもないような。

          「実行or許可」のためには複数の難解な問題に回答し、一定以上の正解率を出さなきゃいけないようにしてはどうだろう。

          ...遠回しに「デフォルト以外で使うな」と言ってるようなもんだけど、

  • 似たようなもの (スコア:2, 興味深い)

    by akira_t_t (31146) on 2007年04月06日 15時52分 (#1138356) ホームページ
    にたものは色々あるみたいですね。
    http://moin.qmail.jp/MTA_20_a4_c7_20spam_20_a4_f2_b7_e2_c2_e0_a4_b9_a4... [qmail.jp]

    でも、昔は携帯メールがこの方法だとspam判定を受けてしまうというのがあったんですが、、、
    最近は大丈夫なのかな?

  • 遅延 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年04月06日 15時36分 (#1138343)
    サーバーのスレッド数が限定されていれば、DoS攻撃喰らう可能性
    もありそうだが。遅延は複数回連続で受信した場合に発動させるようにすればいい
    スパマーのスレッドが遅延すると複数の接続からの配信性能は寧ろ向上
    する。少なくとも連続投稿すると拒否メッセージに移行する
    サーバーは大手では結構ある。それでいいと思う。

    • Re:遅延 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2007年04月06日 18時20分 (#1138484)
      >サーバーのスレッド数が限定されていれば、DoS攻撃喰らう可能性
      >もありそうだが。遅延は複数回連続で受信した場合に発動させるようにすればいい

      いや、たぶんこれは多くのメールサーバが数秒ずつ遅らせることにより、
      大量送信する場合は完了するのにすごく時間がかかるようになるので
      spammerが諦めるのではないかという話だと思います。

      普通の数通程度しか送らないメールは数十秒程度で完了するので
      支障は少ないが、10万通送るspammerにとっては数日かかってしまう
      という対策なんですから。

      同じサーバに複数回連続で接続してきて初めて遅延させるだけじゃ
      効果は少ないでしょうね。
      Greylistingくらいしなきゃ。
      シェア
      親コメント

    • Re:遅延 (スコア:0)

      by Anonymous Coward
      さすがに一発で発動されると困りますね。
      「一般のユーザであればメールの10秒遅延は気にならない」とあるけど、
      携帯メールユーザからすれば10秒の遅延は凄く長く感じます。
      (中継の話ではなくて、あくまでユーザとのI/Fですよね)

      結局スパマーもzombie networkを使って並列かすれば終了か・・・。

      • Re:遅延 (スコア:1, 興味深い)

        by Anonymous Coward on 2007年04月06日 16時38分 (#1138396)
        >携帯メールユーザからすれば10秒の遅延は凄く長く感じます。
        >(中継の話ではなくて、あくまでユーザとのI/Fですよね)

        spammerは、恐らく着信側のSMTPサーバにダイレクトに来てて
        そこでの話であって、携帯からインターフェースとなる送信側とは別だと思いますよ。
        (Willcom以外の携帯がSMTPをしゃべっているかどうかもしりませんが)

        # 着信と送信は分けて・・・ますよね?
        シェア
        親コメント

  • 発表の趣旨 (スコア:1, 参考になる)

    by Anonymous Coward on 2007年04月06日 15時38分 (#1138346)
    わざと遅らせるというのは、ずいぶん前にどこかで読んだ気があるけど、前からなかったっけ?

    多分今回の発表の趣旨は、既存の方法に改善を加え、後半は通常の速度に戻すというアイデアの方だと思う。

    • Re:発表の趣旨 (スコア:3, 参考になる)

      by celibidache (14043) on 2007年04月06日 15時58分 (#1138362)
      http://www.hart.co.jp/spam/greetpause.html
      >> 220番の応答をわざと遅らせておき、それを送る前に
      >> 次のメッセージが来たらエラーとしてその先に
      >> 進めないようにするテクニック
      というのは読んだことがある
      シェア
      親コメント

      • Re:発表の趣旨 (スコア:3, 参考になる)

        by Anonymous Coward on 2007年04月06日 17時17分 (#1138436)
        管理している小さなサーバで、 去年の9月末から7週間、greet pauseだけでspam対策をしてみたことがあります。 その間のspamは、週あたり12,000通前後でした。greet pauseだけにする直前の週までは、手作業でblack listを登録したものと併用して、16,000通以上でした。 また,7週後にgreet pauseとRBLの併用に変更した週が15,000通以上でした。

        今は、週あたり20,000通前後をgreet pauseとRBLで拒絶しています。Spamassassinでspamと判定されて届くのが、週あたり1,500通位です。さらにこの後に、Pro Scanでウイルスチェックをしているのですけれど、ウイルスのメールの数は、週あたり10通以下になっています。

        逆引きできないと拒絶するのは、中国や韓国からのメールを拒否することが多くなるので、 私のところでは採用していません。
        シェア
        親コメント

        • Re:発表の趣旨 (スコア:0)

          by Anonymous Coward
          >> 逆引きできないと拒絶するのは、中国や韓国からのメールを拒否することが多くなるので、私のところでは採用していません。

          僕は逆に個人用アドレスは.cnと.krをはじいてます。スパムが半分以下になります。

          • Re:発表の趣旨 (スコア:0)

            by Anonymous Coward
            個人用アドレスって、サーバの対策からクライアント側の対策に話がすり替わってるような…。

            # 見知らぬ中国人から日本語でファンレターをもらって嬉しいのでAC

    • Re:発表の趣旨 (スコア:3, 興味深い)

      by lunatic_sparc (15416) on 2007年04月06日 15時59分 (#1138366)
      greet pause [google.co.jp]とは違うのかな?

      greet pause という手法自体は結構前からありますよね。
      シェア
      親コメント

    • Re:発表の趣旨 (スコア:2, 参考になる)

      by Anonymous Coward on 2007年04月06日 15時58分 (#1138363)
      OpenBSD spamd [openbsd.org]
      シェア
      親コメント

    • Re:発表の趣旨 (スコア:2, 興味深い)

      by k_f (18123) on 2007年04月06日 16時39分 (#1138397)
      受信側がわざと応答を遅らせるのは、いわゆるtarpitting [hatena.ne.jp]という手法ですね。

      Open Tech Pressの記事にも書いてありますが、大量のメール受信が必要なエンタープライズ用途ではtarpittingそのものは受け入れにくいため、tarpittingをしている「ふり」をする(tarpit simulation)のだと思います。
      シェア
      親コメント

      • Re:発表の趣旨 (スコア:0)

        by Anonymous Coward
        >Open Tech Pressの記事にも書いてありますが、大量のメール受信が必要なエンタープライズ用途ではtarpittingそのものは受け入れにくいため、tarpittingをしている「ふり」をする(tarpit simulation)のだと思います

        日本では、任意のIPに対して、ごりごりのHWで遅延を発生させる製品もでていますよ。
        PDFの9ページ目 [nec-mobilesolutions.com]

    • Re:発表の趣旨 (スコア:1)

      by Rutice (31742) on 2007年04月06日 15時59分 (#1138368)
      RBLを参照するとか、逆引きできないホストからのアクセスは
      わざと遅らせる方法は以前からありましたね。
      シェア
      親コメント

      • Re:発表の趣旨 (スコア:2, 参考になる)

        by rnk (11502) on 2007年04月06日 16時28分 (#1138384)
        > RBLを参照するとか、逆引きできないホストからのアクセスは
        > わざと遅らせる方法は以前からありましたね。

        これやっているんですが,プライマリとしてMXで指定したサーバで(一時)拒否しても,すぐにセカンダリに送ってくるspammerがいますね.
        シェア
        親コメント

  • どっちの会合? (スコア:0)

    by Anonymous Coward on 2007年04月06日 15時53分 (#1138358)
    だめだよ~、そういう方法を大っぴらに発表したらスパム側が対策取っちゃうじゃないか~。

    と思ったが、MIT Spam Conference 2007? Anti Spam Conference じゃないってことはこれスパム業者側のカンファレンス?
    こんな手法が出てるから気をつけろ!っていう発表ってこと?

  • どの段階で遅らせるか (スコア:0)

    by Anonymous Coward on 2007年04月06日 16時51分 (#1138410)
    connect() の応答を遅らせてその後は通常速度で応答と言うことジャマイカ? アドレスを公開されているユーザーは何秒でも待つけど、 あてずっぽうに接続してくるスパマーはサービスを行なっていないと 判断して接続を切るという仕組みかね。

  • イライラ (スコア:0)

    by Anonymous Coward on 2007年04月06日 18時33分 (#1138494)
    数秒の遅延でspamerをイライラさせるのが目的ではなくて、
    spamツールの死活確認をタイムアウトさせるのが目的ではなかろうか。

    • Re:イライラ (スコア:0)

      by Anonymous Coward
      タイムアウトまではさせなくて、人間が使うには耐えられる時間で遅らせるところがミソなんだと思うけど。

      • Re:イライラ (スコア:1)

        by Stealth (5277) on 2007年04月06日 22時28分 (#1138631)

        迷惑というレベルの spammer は大抵 botnet からなり、MTA なりを使って送ってくるので、普通の MTA が繋げられる場合にはほとんど意味が無いかと。

        # とはいえ、ここ最近妙に spam が減った気はする。

        シェア
        親コメント

    • Re:イライラ (スコア:0)

      by Anonymous Coward
      そのうちspamerの若年化が進むことで,

      イライラさせる→spamerがキレる→DOS攻撃食らって,より悲惨なことに

      みたいな時代がやってきますよ.(ぉ
      • > イライラさせる→spamerがキレる→DOS攻撃食らって,より悲惨なことに
        > みたいな時代がやってきますよ.(ぉ

        児童ポルノDVDなんかを宣伝していたスパマー「ロリムトー」は、アンチスパムサイトへDoS攻撃を繰り返していたそうです。
        あそこの社長は年配のオッサンだったはず。

    • Re:イライラ (スコア:0)

      by Anonymous Coward
      spammerの利益は大局的に見て単位時間に送れるspamの量に比例するから (もちろん他の要素もあるけど)、そこのスループットを下げるだけでもspamの旨味が減る→spammerはもっと楽な商売を見つけて鞍替え、という効果があるのでは。

      • Re:イライラ (スコア:0)

        by Anonymous Coward
        他に行き場がないのでスパマー、だったりすると、
        そうもいかないのでは・・・。
        裏にその手の団体とかあって、やらざるをえないとかありそうですが。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー