逆引きDNSレコードのチェックはスパムブロックに有効か 56
ストーリー by headless
拒否 部門より
拒否 部門より
本家/.Ask Slashdot: Is Reverse DNS a Worthy Standard For Fighting Spam?より
先週末に新しいスパムフィルターサーバーをインストールし、逆引きDNSレコードのないサーバーからの接続を拒否する設定にした。しかし、それ以降スパム以外の電子メールも大量に着信拒否されるようになってしまった。逆引きDNSレコードは標準的で、必須なものだろうか。あるいはスパムブロックには役に立たないものだろうか。ご意見をお聞きしたい。
本家/.では役に立つ/立たないで意見が分かれているが、主要な連絡先などによって異なるといった意見もみられる。/.Jerのご意見はいかがだろうか。
IT管理者の権限によってやり方が違ってくるかも。 (スコア:5, 興味深い)
スパムメールにはセキュリティ上の懸念があるという点から、セキュリティ対策の一環ということで見た場合ですが、
IT管理者の権限が利用者より強く選任的なら、逆引きやspfに対応していないサイトからのメールを排除するポリシーも有りだと思いますし、その方が良いと考えています。 ただし、その場合にはこのポリシーを適用する前に、ホワイトリストなども作り込んでおき、逆引きがないホストからのメールも暫定的に受けれる運用にしておくべきでしょう。 また、逆引きができていない組織へはアクティブに連絡して、協力を仰ぐ方が良いでしょう。
(その運用をしている組織を幾つか知っていますし、このご時世、セキュリティを重視するなら当然の対応だと思っています)
立場の弱いIT管理者の場合には、MTAで実施した場合、利用者から叩かれる危険性が高いので、クライアントPC側のセキュリティツールに依存した方が立場を危うくしないで済むと思います。 ただし、クライアント運用のポリシをしっかりとしないとセキュリティが破綻する可能性があります。
あと、いくらMTAで排除しようとしても100%排除はできる訳では無いので、最終的は利用者へのセキュリティ教育といった泥臭い部分をどれだけできるか重要になってくるは云うまでもありません。(システムでできるのは危険性の「低減」だけね)
Re: (スコア:0)
普通のISPでやってるみたいにサーバーでスパム判定のマークをつけて、受信したスパムに対する削除の処理はクライアントPC側でやるのが無難だと思うけど
まあスパムであっぷあっぷしてる企業では強烈にやるしかないんだろうが
逆引きが無いとダメとは誰も決めていない (スコア:3)
逆引きが無いといけないとは、誰も決めていないので、受け取れないのは不具合と言えます。
他にもっと酷いのを見たことがあります。
MX レコードに登録されていないとダメとかありました。
MX は、受信の為のレコードなので、正しくは、SPF レコードを見るなのです。
Re:逆引きが無いとダメとは誰も決めていない (スコア:2)
>MX レコードに登録されていないとダメとかありました。
それならばまだましな方。
こちらからメールを送るとこちらの ehlo のドメインのMXレコードに書いてあるMTAのport25に即座に接続しに来て、
もしそれが動いていないと即時500番台の恒久的エラーを返すというISPがあった。
せめて400番台の一時的エラーにしようよ('A')
Re:逆引きが無いとダメとは誰も決めていない (スコア:1)
それ言い出したら、スパムをフィルタリングすること自体が不具合なんじゃないかと。
1を聞いて0を知れ!
Greylisting (スコア:3)
http://postgrey.schweikert.ch/ [schweikert.ch] を使ってますが、SpamAssassin の負荷を大幅に軽減できますので、とても助かってますよ。
(使ってないところと毎日比較してますので確かです)
Re:Greylisting (スコア:2)
私は milter-greylisting を使ってますが、greylisting って、完全な False Positive が発生しづらい割に、想像よりも効果的です。
もっとも、いたずらに全部を greylisting してしまうと、軒並み遅延が発生するので、事前に DNSRBL や S25R などでふるいをかけた上で greylisting すると、遅延も少なくなります。
で、逆引きの結果も、その greylisting の「ふるい」として使われますが、無かったり、間違っても、再送してくるまでの遅延が発生するだけで、届かなくなる、という事は無いです。
ただ、某ポイントサイトのメールで実際にあったんだけど、逆引きの結果と、それを正引きした結果が合わない場合、sendmail に「may be forged」と、おもいっきりに睨まれます。
# 手前味噌ですが、milter-greylist で検索すると、私のブログに行き当たります。
サポート用はやめたほうがいい (スコア:2)
以前(といっても結構前ですが)とある企業のサポート宛にメールを送ろうとしたところ、見事に spam と判断されて戻ってきました。
結局にっちもさっちもいかず、その企業の製品を使うことを諦めまてしまいました。
企業の spam 設定は気をつけた方がいいんじゃないかと思った時です…
Re:サポート用はやめたほうがいい (スコア:1)
サポート用に限らず会社の代表メルアドみたいなところはできる限りスパムフィルターの判別用件は緩くしておくべきですね。
そういうアドレスが一番たくさんメールが届くから、真っ先に厳しくしたいのはわかりますが、重要なお客を逃してしまっては元も子もありませんし。
DDNSとか (スコア:2)
DDNSとかを使って自宅サーバ立ててる人は、困るだろうな。
しかし、その人たちが全て悪者扱いされるのは短絡的すぎる。
hoihoi-p 得意淡然、失意泰然。
Re:DDNSとか (スコア:1)
日本のISPだとDHCPでもらうIPアドレスには ISPのルールでの正引きと逆引きがつけられています。
そのアドレスをwww.example.comとしもその逆引きを求めると本来のISPでつけられた逆引きが出てくるので問題ないはずだけど。。
Re:DDNSとか (スコア:2)
DDNSを使うって事は、たとえば、「プロバイダから交付されるDHCPアドレスが頻繁に変わる」とか「ISPのルールのホスト名が気にくわない」 つまり、プロバイダが付ける長ったらしいホスト名じゃなく「kw.dip.jp」とかの独自ドメイン・独自ホスト名が欲しいと言う事で、使わせてもらってました。(上記は、過去に私が家サーバーさんから借りていたホスト名です。)
一番手っ取り早かったです。
そのかわり、「逆引きは出来ません」と書いてありました。
しかし、今は違う。
固定IP、独自ホスト名でDNSもちゃんとしてくれるサービスがあります。
管理上、「逆引きが必要」な状態になったのならば、「出来ない」という理由はないと思います。
hoihoi-p 得意淡然、失意泰然。
S/MIMEは? (スコア:2)
スパムメール対策に、S/MIMEが有効だと思うし、主要なメーラーは対応しているのに、何故か普及していませんね。
私有鍵と証明書の管理が面倒くさいのかな。
そういえば、先輩が「S/MIMEを導入しましょう」と声を上げたのですか、上司に「100%今まで通りメール(もちろんスパムメールを除く)届くのか?」と言われ、導入が見合わされたなあ。
Re:S/MIMEは? (スコア:1)
スパムメール対策に、S/MIMEが有効だと思うし
S/MIMEは、ごく限定的な場合を除いて、spam対策にならないんじゃない?
先輩が「S/MIMEを導入しましょう」と声を上げたのですか、上司に「100%今まで通りメール(もちろんスパムメールを除く)届くのか?」と言われ、導入が見合わされたなあ。
S/MIMEを導入しても、メールが到達するかどうかは今まで通り変わらないと思うけど。
MTAで、信頼できるCAが発行した有効な証明書でS/MIME署名されているもの以外をspamと判定しちゃうとしたら、それはいくらなんでもやり過ぎだよなあ。
スパム100%シャットアウト (スコア:2)
何年か前にそういう製品があるのを見かけた。
興味があったので資料を取り寄せたら、方法がホワイトリストのみで運用を行うからだということがわかった。
そりゃこっちが許可したものしか通さないなら100%シャットアウトできると思うけど、新規の人とかもシャットアウトされたりするし面倒だからという理由で当然のことながら採用は見送った。
まあ基本ですが (スコア:1)
MTA のアクセス制御 [ya.maya.st]
tarpitting (スコア:1)
逆引きの有無をtarpittingのパラメータに使ってます
逆引きの無いホストでもRFCまもってタイムアウトまで最大5分待ってるならうけとります。
avex.jpが逆引き無しのホストからメルマガを送るのはいいけど、ちゃんと待ってくれなくて
すぐあきらめるRFC違反の配送はやめてほしい。
受け取った後はspamassassinして判定。
最後にメーラで学習。
Re: (スコア:0)
RFCのどこにも5分待たなければいけない(MUST)なんて書いてませんよ。
SHOULDとは書いてありますが。
褒められた挙動ではないけれどRFC違反とまではいえません。
ドメイン取得管理会社的な問題も… (スコア:1)
そもそもスパムの人が「だったら逆引き登録するよ!」とかだと根本的に意味がなくなってしまう。
NNIPF (スコア:1)
http://vrl.sys.wakayama-u.ac.jp/~twada/NNIPF.html [wakayama-u.ac.jp]
サーバ側に組み込まないといけない為かいつも話題にされないNNIPFですが、
かなりの精度でスパムを弾いてくれて個人的には凄く助かってます。
MTAのスパムフィルタリング等 (スコア:1)
「逆引きDNSレコードのチェックはスパムブロックに有効か」という問に対しては、#2035561 [srad.jp]のリンク先にあるように、「有効でないどころかむしろFalse Positiveを引き起こす」という答えで終了です。
ちょうど、色々なspamフィルタリングの話題が出ているようですので、私の妄想を以下に記します。
先ず、私はMTA上で実施する、IPアドレスレベルのスパムフィルタリングには否定的です。
理由は「中身を見ていないから」です。
spamであるか否かは、最終的には中身を見ない限りわかりません。
どうしても明らかにspamしかよこさないホストが明確に存在する場合に限って、DNSBLは限定的に用いるべきだと考えます。
受信さえしていれば、spamフィルタが誤検出しても、最悪拾い出すことができる可能性が残ります。しかし、受信拒否をしてしまうと、その可能性すら捨て去ってしまい、大変危険です。
私の場合、コンテンツフィルタリングとIPアドレスリストのルールを掛け合わせる、という方法を採っています。(拙作user_prefs [flcl.org]参照)
spamの9割以上は動的IPアドレスから来ます。
動的アドレスか否かの判断は、spamが来たIPアドレスをwhoisで調べて、IPアドレスの範囲を登録しています。
IPアドレスだけの判断は危険ですので、コンテンツに対するルールとの論理式(metaルール)で、スコアを嵩上げします。
ここ10年近くspamフィルタリングを続けていますが、spammerは大変技術力が高いと感じています。
何らかのフィルタリング技術が流行りだすと、spammerはそれを回避する方法を編み出します。
今、spamフィルタリングの技術は閉塞的状況にあるように思います。
ただ、一方ではメイルのspamは減少傾向にあるとの報道もあり、今後大幅に変化するようなことは起きないような気がします。
スパム (スコア:0)
もっと確実な方法があるけど、対策打たれるので書けない
Re:スパム (スコア:2)
証明方法を書き記せない。Re:スパム (スコア:1)
バレたら即対応されるような方法は確実な方法じゃないです。
Re: (スコア:0)
誰もが気づかなければ確実な方法なんだよ
現にこのフォーラムですら逆引き弾くなんて幼稚な方法から逃れられて無いだろ
Re: (スコア:0)
お前が気づく程度のことをどうして誰も気づかないとか自惚れられるのか
Re:スパム (スコア:1)
Postfix の smtpd_banner に「チベット人に人権を」のような記述をしたら中国からのスパムがパッタリやみました。
なぜだろう。
馬鹿が送ってくるメールはspamと区別がつかない (スコア:0)
馬鹿からのメールも拒否出来て一石二鳥だろ
馬鹿は君だよ (スコア:0)
Re:馬鹿は君だよ (スコア:1)
大多数のメールを扱っている大組織のメールサーバが逆引きPTRが対応する設定になっていることが多かった,それゆえに「逆引きでフィルタリングすると,確率的にはSPAM混入比率を下げることが出来る(が副作用アリ)」というのが正しい説明なのだけれど,いつの間にかメールサーバには逆引きが必要とか,SPAM対策とは逆引き設定でフィルタリングすることみたいに勘違いしている人が増えているのが残念.
本家では逆引き付きだとISP代が高くなるとかあるけど (スコア:0)
Re:本家では逆引き付きだとISP代が高くなるとかあるけど (スコア:2)
>日本でも高くなるんですか?
私の経験から言えば、フレッツ光回線普及初期には一時期逆引き設定を別途有償対応するISPもありましたが、
自由競争の結果、2011年現時点ではそういうISPはほぼなくなりました。
/28以上のIPv4アドレスブロック割り当てを受けるなら逆引き委任してもらえるのが一般的。
/29以下ならば逆引き委任してもらえなくてもウェブベースのUIでISP側の逆引きレコードを自由に編集できるか、
いずれかが標準サービスとして利用できるのが一般的です。
Re:本家では逆引き付きだとISP代が高くなるとかあるけど (スコア:2)
そもそも逆引きの設定を出来ないISPもあります。
逆引き設定というのはグローバルIPアドレスの固定割り当てに対するものですが、840円とかなり安価な固定グローバルIPアドレスのオプションがあるASAHIネット [asahi-net.jp]では逆引きはIPアドレスベースの自動設定です。委譲(あまり委任という言葉は聞きません)も、自由な設定もできません。
OCNもIP1だと委譲も設定もできなかったと思います。
Re: (スコア:0)
ISPっつーと範囲広すぎるけどサーバー公開用に固定IPもらうだとかホスティングレンタルとかでDNSに逆引き設定追加してもらう場合高くなることはあるだろうね。(固定IPは特に)
あなたがインターネットに接続するために契約したISPから用意されたメールアドレス(のサーバ)が逆引き可能かどうかっていうのはまた全然別の話。
ipv6 (スコア:0)
ipv6ではv4と違って逆引き設定するのが当たり前という合意はできていないし、
実際設定されていないことが多い。
逆引きする設定のままデュアルスタックに移行すると、
v6経由でのメールをほとんど拒否することになる。
いつまでもv4だけで暮らし続けるつもりならいいけど、
今後のことを考えるなら逆引き制限なんてやめた方がいい。
もちろん、メールにかぎらずhosts.allowや.htaccessその他あらゆるアクセス制限で同様に
v6では逆引き制限は意味を持たなくなる。
Re:ipv6 (スコア:1)
ipv6を特別扱いする理由は何? もしかしてipv6ではアドレス決め打ち設定が出来ないと思っている?
Re:ipv6 (スコア:1)
できるけど S/MIME と同じく大半のメールサーバーはあなたの期待通りの設定にならないと思う。
Re: (スコア:0)
v6を特別扱いしないから、v4と同じように逆引きするのはまずい、と言ってるわけですが。
実際、sendmailでは逆引きチェックするしないの挙動をv4かv6かどうかによって変えることはできないですね。
listenするアドレスによってsendmail.cfを複数用意しないかぎり。
postfixもできないことはないけどわりとトリッキーな設定が必要。
Re:ipv6 (スコア:1)
いや, だから何でv6を逆引きするとまずいんですか? v6でも逆引きは可能ですよね? v6を使っていてv6用の逆引き設定をしていないような組織は信用しないというpolicyはあり得ると思いますけど.
Re: (スコア:0)
最初に書いたように、v6ではv4と違って逆引き設定するのが当たり前という合意はできていない。
実際、v6の逆引きを登録していない組織は珍しくもなんともない。
v6でも逆引きができなければ信用しないというポリシーを採用するのは勝手だが、
ほんとうにそれをやると実運用に支障をきたすのは目に見えている。
それでもなお逆引き必須と主張して古い考えに囚われるジジイと笑われたいのであればどうぞご自由に。
Re: (スコア:0)
少なくとも日本のIPv6推進してる人達や迷惑メール対策やってる人達の間では、IPv6でもMXについては逆引き設定すべき、という流れのようです。
IPv6導入時に注意すべき課題 - IPv6普及・高度化推進協議会
http://www.v6pc.jp/jp/upload/pdf/2011093001_v6fix.pdf [v6pc.jp]
IPv6時代の迷惑メール対策 - 迷惑メール対策委員会委員長
http://www.iajapan.org/anti_spam/event/2011/conf0527/pdf/05higuchi.pdf [iajapan.org]
クラウド流行の弊害 (スコア:0)
逆引きはもちろん、ちゃんと運用していたところが、クラウドに移行したタイミングでタコ運用になるケースが最近多い。
サーバ管理者もリストラされたのかもしれない。
クラウド使いきれないならクラウド移行なんてすんなよ。
Gmail (スコア:0)
もうGoogle Appsでいいんじゃないんですか?
Gmailが最も簡単で最強
Re: (スコア:0)
>Gmailが最も簡単で最強
嘘だー、それ。
会社のメールサーバをGmailにしたら、不都合出まくり。
会社で検討してるなら、慎重に検討したほうがいいよ。
Re: (スコア:0)
Re: (スコア:0)
どーせ.exeの添付が受け取れないとかpopで取るとなんか変だとかいった類の自称不具合だろw
Re:Gmail (スコア:2)
1.メールにメールを添付できない
2.GoogleApps上の組織ドメインからGoogleApps上の別の組織ドメインにメール転送できない
ってのが困ってる点ですね
正引きが一致しない (スコア:0)
逆引きの結果を正引きしたのが一致しないのはハネていいと思う。
ミスの可能性もあるけど、あやしすぎるから。
Re: (スコア:0)
http://ya.maya.st/mail/accessctl.html#ptr [ya.maya.st]
Re:正引きが一致しない (スコア:1)
それが元に書かれている「パラノイドチェック」。
つまりパラノイドなんですよ。私はやらない方がいいと思いますね、もちろん。