このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

SPAM対策について教えてください

発言者:momo
( Date Monday, March 13, 2000 12:41:38 )


はじめて書き込みをさせていただきます。
ASIP6.1とEIMS1.3.1でサーバーを運営しています。
SPAMメールがひどいため、EIMSのRelay Restrictionsでドメインを登録してフィルタをかけていたのですが、登録しているはずのドメインから繰り返しSPAMメールが送られてきました。
今はASIPのIPフィルタを使用して対策をしているので問題はないのですが、なぜこのような事が起きたのかわかりません。

それと、MAPS RSSからリストに登録をしたとのメールが来たので、ASIPでフィルタをかけて
リストから削除して欲しいと頼んだところ、「リストから削除はできない」と言われてしまいました。HPに訪れていろいろと見てみたのですが、英語が不得手なためどのようにすればいいのかわからない状況です。

どなたかご存知の方、教えていただけませんでしょうか。
よろしくお願いします。

あと、EIMSで使用しているメールアカウントとパスワードをASIPのメールサーバーに移行したいのですが、可能でしょうか。

稲垣 さんからのコメント
( Monday, March 13, 2000 15:03:04 )

>SPAMメールがひどいため、EIMSのRelay Restrictionsでドメインを登録して
>フィルタをかけていたのですが、登録しているはずのドメインから繰り返し
>SPAMメールが送られてきました。
>今はASIPのIPフィルタを使用して対策をしているので問題はないのですが、
>なぜこのような事が起きたのかわかりません。

 これは、リレーに使われていたのでしょうか?それとも、サーバにあるア
カウント宛でしょうか?
 EIMS 1.3.1の設定では、メールのリレーを制御するだけで、自分のサーバ
への受け取り自体を拒否するものではないはずです。

 状況を確認して下さい。


>あと、EIMSで使用しているメールアカウントとパスワードをASIPのメール
>サーバーに移行したいのですが、可能でしょうか。

 確かできなかったはずです。パスワードを除くEIMSのアカウントデータを
書き出すソフトがあるので、それを利用すれば、ASIPは読み込む機能があっ
たはずですので、それが利用できるかも知れません。

momo さんからのコメント
( Monday, March 13, 2000 15:28:45 )

稲垣さん
早速の返事、ありがとうございます。

>これは、リレーに使われていたのでしょうか?それとも、サーバーにあるア
>カウント宛でしょうか?

リレーに使われていました。

>パスワードを除くEIMSのアカウントデータを
>書き出すソフトがあるので、それを利用すれば、ASIPは読み込む機能があっ
>たはずですので、それが利用できるかも知れません。

ということは、パスワードはもう一度入力してもらわないといけないのですね。
EIMSのアカウントデータを書き出すソフトというのはフリーウェアで配布され
ているのでしょうか?

田中求之 さんからのコメント
( Monday, March 13, 2000 17:07:16 )

> リレーに使われていました。

というのことは、EIMS の Relay Restrictions の設定の問題です。おそらく
Don't relay if from the following domains の方を選択されているのでは
ないかと思いますが、これは不正中継対策としてはお勧めできません。

念のために説明しておきます(分かっていることでしたらすみません)


リレーに使われるのを防ぐ場合には、EIMS 1.3.1 の Relay Restrictions で

「Don't relay if for local domains or the following domains」
(2つのうちの下の方のラジオボタン)

を選択して下さい。これで外部からの中継処理を一切拒否することになります。
もちろん、中継を拒否するだけですから、自分のドメイン宛/自分のドメイン発
のメールはちゃんと処理します(メールの送受信ができなくなるようなこと
はない)。

そして、もし、何らかの事情で中継処理を特定のドメインに限って認める
場合だけ、そのドメインの名前を追加するようにします。


これが EIMS 1.3.1 の不正中継防止の原則です。


2つのうちの上のボタン(Don't relay if from the following domains)
を選択しておくと(デフォルトはこちらのはず)、不正中継を行った/行いそうな
ドメインをすべてリストに並べなければ効果がありません。つまり、実質的に
spammer による不正中継防止には役に立ちません。よほどの事情が無い限り
こちらを選んだままにはしておかないでください。もちろん、理屈が分かって
選択しているのなら良いのですが。

たまちゃん さんからのコメント
( Monday, March 13, 2000 22:03:35 )

> EIMSのアカウントデータを書き出すソフトというのはフリーウェアで配布されているのでしょうか?

以下のサイトで,MailShare Loader というプログラムを入手してください。


→  MailShare Loader

momo さんからのコメント
( Tuesday, March 21, 2000 18:40:34 )

すみません、返事が遅くなってしまって。
田中さん、ありがとうございます。
こちらのEIMSの設定ミスでした。
「Only relay・・・」だと 自分のドメイン宛/自分のドメイン発もいけないと思ってました。今はうまくいけました。ありがとうございました。

たまちゃんさん、ありがとうございます。
まだちょっと使えてないのですが、これからやってみようと思います。

本当にありがとうございました。
今後もいろいろとここで勉強させていただきます。

わたたに さんからのコメント
( Monday, March 27, 2000 11:12:56 )

スミマセン、便乗質問です。
実はうちのメールサーバもmomoさんと同じくSPAMの被害にあっておりまして、MAPS RSSに登録されてしまいました。

EIMS 1.3.1の Relay Restrictions の設定を正しくし直して、SPAM自体は今のところ防げているようなので、MAPS RSSにリストから削除してもらうようお願いしたのですが、再度テストしたところまだオープン・リレーになっているようなので、削除はできないと返事が来ました。

何がいけないのでしょうか?

たまちゃん さんからのコメント
( Monday, March 27, 2000 12:23:33 )

>削除はできないと返事が来ました。

どんな返事が来ましたか?よろしければ教えてください。

それと,<any-name> アカウントは無効になっていますか?

ろばたろう さんからのコメント
( Monday, March 27, 2000 12:29:07 )

以下の件、もしまちがっていたらごめんなさい。

EIMS1.3.1では Relay Restrictionsを正しく設定しても”完璧な”SPAM対策は無理だと思います。

自宅からご自身が契約しているプロバイダー(仮にso-net.ne.jp)から
メールソフトのsmtpサーバー欄をEIMSのサーバーにし、差出人の欄
をEIMSに登録しているもの(例えばyourname@×××.co.jp)にし
送り先は誰が友達のアドレス(仮にbiglobe.ne.jp)にします。

こうするとEIMSサーバーを使って友達にメールが送れるはずです。
なぜなら yourname@×××.co.jpは正規のアカウントだからです。
yournameの部分は推測されにくいとしても、postmasterとかホームページ
等によく掲載するinfo,webmasterを利用されてしまう可能性があります。
(これを”なりすまし”と言うのだと思います)

結局のところドメイン名ではなくIPアドレスで制限をかけないとより完璧な
SPAM対策にならないわけで、私の場合1.3.1をやめ2.2.2を使用しています。

2.2.2で中継を許すIPアドレス、この場合eimsのあるネットワーク内で
例えばIPNR等の端末利用者がゲートウエイとして利用しているIPアドレスだけ
記述すれば、それ以外のサイトからは発信元のIPアドレスが違いますから
拒否されることになるはずです。

ORBSとかいろいろあるようですが、SelfTestをしたら1.3.1でも問題ないと
出たりだめだったりで、(2.2.2でもきちんと設定しなければダメですが)
やっぱりIPアドレスで制限するしかない..というのが個人的結論です。

私は最近ここの掲示板を拝見したりまたメールサーバーの(拒否したという)
ログを見る限りSPAMって多くなっているような気がしています。

もし上記の説明が間違っていたら詳しい方フォローをお願いします。


わたたに さんからのコメント
( Monday, March 27, 2000 12:47:54 )

!
お恥ずかしい。<any-name>アカウント、有効になっていました。
今、この部分を直して abuse.net でテストしたら、ちゃんとパスしました。
お騒がせしました。

MAPS RSS からの返事ですが、

Unfortunately, the site still appears to be open to third-party relay.
残念ながら、このサイトはまだthird-party relayに対して開かれたままです。

といったものでした。上記の通り、ちゃんと設定していなかった私のミスでした。
重ね重ねスミマセンでした。そしてたまちゃんさんご指摘ありがとうございます。

ところで、今までSPAMメールを中継してしまっていたわけですが、
これによって何らかの問題(確かにそれ迷惑メール自体が問題ですが、
たとえば詐欺行為とか)となること、
またこちら側の責任の範疇とかは?


たまちゃん さんからのコメント
( Monday, March 27, 2000 13:22:51 )

>結局のところドメイン名ではなくIPアドレスで制限をかけないとより完璧な
>SPAM対策にならないわけで、

というのは,間違っていないと思います。ただ,RSS などの各種の機関のテス
トで,テストの内容によっては IP アドレスで制限がかからなくても,テスト
自体はパスすることがあります。

現時点では,EIMS 1.3.1 も ORBS のテストにパスしています(今やったらダメ
だったりして。。。)。

>これによって何らかの問題(確かにそれ迷惑メール自体が問題ですが、
>たとえば詐欺行為とか)となること、
>またこちら側の責任の範疇とかは?

いわゆる不正アクセスを受けた側ですから,法律的には各国においてどのよう
な規定を設けているかによると思います。法律に詳しい方のフォローをお願い
します。

ただし,法律とは別に,不正中継に使われていたサーバだと分かると,抗議の
メールが殺到することがありますので,メールサーバ管理者としての責任は
免れないでしょう。

田中求之 さんからのコメント
( Monday, March 27, 2000 18:13:03 )

話の流れで、ここにコメントとして書き込みます。

MacWIRE の菊池美範さんのコラムにでも spam の踏み台にされたことが
書かれていました。

この記事にも書かれていますが、spam の踏み台にされるかどうかは、
サイトが有名かどうかとか、規模が大きいかどうかといったことは
関係ありません。IP アドレスを持っているという点において平等
ですから。

IP アドレスを一つずつ変えていきながら、spam の踏み台に使える
メールサーバが動いているかどうかを調べるといった処理は、SMTP
の知識さえあれば、AppleScript で簡単に行えることですので、
メールサーバが動いているかぎり spam 踏み台にされる可能性がある
ことは覚悟して下さい。

また、最近の様子をみてると、OCN とか ODN といった日本の専用線
サービスには spam 対策の弱いサーバが多いことがその筋では知られ
ているのではないか、と感じます。

…菊池さんのコラムに、この会議室やたまちゃんさんのページも
紹介されていました。 大学の名前が違ってますが…

→  Outside Macintosh and Design:Spamerに「踏まれた」日

Zephyros/さわむら さんからのコメント
( Monday, March 27, 2000 21:09:15 )

田中先生:
>最近の様子をみてると、OCN とか ODN といった日本の専用線
>サービスには spam 対策の弱いサーバが多いことがその筋では知られ
>ているのではないか、と感じます。

通信世界では一昔前に聞いた話ですが、日本の教育機関、OCNはクラッカーの
狙いどころだそうです。んで、それらのIPアドレスも知れ渡っているとか。
 ただ、OCNから一括で借り受けているODN、DION系は、それらの上流を経る
ので、多少はクラッキングされにくい、とか。

でも、Port Scanのように、総当たりでチェックするようになった現在、
「上流がどこなら安心」ということは言えないですね。自分で守らなければ
ならないのでしょう。

前薗 健一 さんからのコメント
( Tuesday, March 28, 2000 04:53:05 )

うちは ODN で、 server は運営していないのですが、NetBarrier を入れて
おいたら

Date: 00.02.25, 14:28:53
Address: 4.48.119.212
Comments: Ping flooding ICMP Echo Code 0

なんて mail report があったりしました。
ping attack があったようです。

Client ONLY 環境でも恐いものがあります。ブルブル。(^^;