ソースブロッキングで不正なメールを防ぐ

スパムメールを防ぐ技術（前編）

2009年11月19日 06時00分更新

文● TECH.ASCII.jp

グレーリストによるフィルタ

　グレーリストによるフィルタは、再送信機能のないメールサーバーからの受信を行なわないというユニークな方法である。

受信をいったん保留し、再送するメールを受け取るグレーリスト

　通常のメールサーバーでは、宛先のメールサーバーからエラーが戻ってきた場合、一定時間待って再送する。しかし、スパムメールは送信効率を重視するため、エラーが返答されたメールサーバーには再送しないことが多い。この特性を利用し、初めての送信元からのリクエストには、いったんエラーを返答し、再送してきたメールサーバーを正当な送信元としてデータベース（グレーリスト）に登録する。そして、次回からの受信はエラーを返さず正常に受信するようにする。一方、エラーを返答しても再送してこないメールサーバーは、スパムメールの送信元と判断する。つまり、「一見さんお断り」というフィルタ方式というわけだ。

　このグレーリストを用いた方法は、ボットなどを用いて一定のパターンで大量のメールをばらまくといった場合に、効果が高い。受け取るスパムメールの数を劇的に減らせる可能性もある。また、送信元にエラーを戻すだけなので、パフォーマンスへの影響も少ない。

　その一方、グレーリストによるフィルタは、あくまで「スパムメールを送信するサーバーは、エラー時に再送を行なわない」という前提に基づいているので、この前提が崩れると効果は薄れる。再送されなければ、スパムメールの送信元と識別されるので、正常なメールも届かない可能性がある。

　さらにいったんは再送を促すため、メールの到着に遅延が生じる。もともとインターネットメールは、ベストエフォートな非同期通信の手段だが、最近はリアルタイムなコミュニケーションと考えられる傾向がある。こうなると配送の遅延はやっかいな問題である。このようにグレーリストによるフィルタは、効果は高いが、リスクもそれなりにあるという方法といえるだろう。

トラフィックパターンによる分析とフィルタ

　ここまでは、送信元のサーバーと再送の有無でスパムメールを判断する方法を見てきた。次に紹介するのは、スパムメールを送信する際のトラフィックパターンで振り分けを行なうフィルタを紹介する。

　スパムメール送信やウイルスの拡散、あるいはディレクトリハーベスト攻撃（DHA）などは、特定のトラフィックパターンを持っている。スパムメールは同一のメールサーバーから短い時間に大量のメールが送信されるというパターンが一般的だ。また、メールアカウントの実在性を調べるDHAでは、存在しないメールアカウントに対して、同一の送信先から一斉にメールが送信される。これらのトラフィックパターンを分析し、しきい値を設定し、メール送信を許可／拒否するのが、トラフィックパターンによる分析とフィルタである。

　たとえば、トラフィックパターンを調べ、「1時間以内に3つ以上存在しないアカウントに送信された場合はDHAとみなす」というしきい値を管理者がメールセキュリティ製品等に設定する。そして、いざこのしきい値を超えたメールサーバーからの接続は、ペナルティとして、接続を拒否することにするわけだ。トラフィックパターンによる分析とフィルタも、グレーリストと同様、ボットネットによるシンプルな配信であれば、かなりの確率で止めることができる。また、感染のために短時間に多くのメールを送信するウイルスやワームなどにも適用できるというメリットもある。

トラフィックパターンの分析によるスパムメールの検知例

　ただし、この方法でも正常なメールをスパムメールと誤検出してしまう可能性がある。条件とするのが、あくまでトラフィックパターンだけだからである。また、最近のスパムメールはより巧妙になっており、短時間で大量のメールを送信するのではなく、絞ったターゲットに対して、長い時間をかけて少しずつ送信するケースが増えている。こうなると、しきい値を超えるようなトラフィックパターンにはならず、スパムメールとして検出されることも少なくなる。

（次ページ、スパムメールの流量を絞り込む）

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ