このページの本文へ

こうして守れ!メールのセキュリティ第10回

ソースブロッキングで不正なメールを防ぐ

スパムメールを防ぐ技術(前編)

2009年11月19日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

グレーリストによるフィルタ

 グレーリストによるフィルタは、再送信機能のないメールサーバーからの受信を行なわないというユニークな方法である。

受信をいったん保留し、再送するメールを受け取るグレーリスト

 通常のメールサーバーでは、宛先のメールサーバーからエラーが戻ってきた場合、一定時間待って再送する。しかし、スパムメールは送信効率を重視するため、エラーが返答されたメールサーバーには再送しないことが多い。この特性を利用し、初めての送信元からのリクエストには、いったんエラーを返答し、再送してきたメールサーバーを正当な送信元としてデータベース(グレーリスト)に登録する。そして、次回からの受信はエラーを返さず正常に受信するようにする。一方、エラーを返答しても再送してこないメールサーバーは、スパムメールの送信元と判断する。つまり、「一見さんお断り」というフィルタ方式というわけだ。

 このグレーリストを用いた方法は、ボットなどを用いて一定のパターンで大量のメールをばらまくといった場合に、効果が高い。受け取るスパムメールの数を劇的に減らせる可能性もある。また、送信元にエラーを戻すだけなので、パフォーマンスへの影響も少ない。

 その一方、グレーリストによるフィルタは、あくまで「スパムメールを送信するサーバーは、エラー時に再送を行なわない」という前提に基づいているので、この前提が崩れると効果は薄れる。再送されなければ、スパムメールの送信元と識別されるので、正常なメールも届かない可能性がある。

 さらにいったんは再送を促すため、メールの到着に遅延が生じる。もともとインターネットメールは、ベストエフォートな非同期通信の手段だが、最近はリアルタイムなコミュニケーションと考えられる傾向がある。こうなると配送の遅延はやっかいな問題である。このようにグレーリストによるフィルタは、効果は高いが、リスクもそれなりにあるという方法といえるだろう。

トラフィックパターンによる分析とフィルタ

 ここまでは、送信元のサーバーと再送の有無でスパムメールを判断する方法を見てきた。次に紹介するのは、スパムメールを送信する際のトラフィックパターンで振り分けを行なうフィルタを紹介する。

 スパムメール送信やウイルスの拡散、あるいはディレクトリハーベスト攻撃(DHA)などは、特定のトラフィックパターンを持っている。スパムメールは同一のメールサーバーから短い時間に大量のメールが送信されるというパターンが一般的だ。また、メールアカウントの実在性を調べるDHAでは、存在しないメールアカウントに対して、同一の送信先から一斉にメールが送信される。これらのトラフィックパターンを分析し、しきい値を設定し、メール送信を許可/拒否するのが、トラフィックパターンによる分析とフィルタである。

 たとえば、トラフィックパターンを調べ、「1時間以内に3つ以上存在しないアカウントに送信された場合はDHAとみなす」というしきい値を管理者がメールセキュリティ製品等に設定する。そして、いざこのしきい値を超えたメールサーバーからの接続は、ペナルティとして、接続を拒否することにするわけだ。トラフィックパターンによる分析とフィルタも、グレーリストと同様、ボットネットによるシンプルな配信であれば、かなりの確率で止めることができる。また、感染のために短時間に多くのメールを送信するウイルスやワームなどにも適用できるというメリットもある。

トラフィックパターンの分析によるスパムメールの検知例

 ただし、この方法でも正常なメールをスパムメールと誤検出してしまう可能性がある。条件とするのが、あくまでトラフィックパターンだけだからである。また、最近のスパムメールはより巧妙になっており、短時間で大量のメールを送信するのではなく、絞ったターゲットに対して、長い時間をかけて少しずつ送信するケースが増えている。こうなると、しきい値を超えるようなトラフィックパターンにはならず、スパムメールとして検出されることも少なくなる。

(次ページ、スパムメールの流量を絞り込む)


 

この特集の記事
ピックアップ