このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

日本版のRBLサービス

発言者:鎌田
( Date Wednesday, January 05, 2005 20:45:37 )


現在spamメール対策にbl.spamcop.netをSIMSのRBL Server Listに登録して使っているのですが、
日本語で来るspamメール、つまり日本向けspamメールはめったに登録されないらしく素通りしてしまいます、
そこでbl.spamcop.netで漏れたspamメールは手動でBlack Listedに手動で登録していますが、
自分の管理している三つのメールサーバにいちいち登録するのも面倒なので自分でRBLサーバを立てられないか?と考えていました、

そこでRBLサーバの作り方を探していたら、日本でもRBLサーバを運用しているところがあり早速テストしています、
そこは
http://www.rbl.jp/
というサイトで、Fetch日本語版を販売しているハートコンピュータが音頭をとっているようです、

うまく育ってくれればと思います。

今井真人 さんからのコメント
( Thursday, January 06, 2005 09:51:00 )

早速テストしました。私はEIMS 3.1です。

http://www.eudora.co.nz/eimsfilters.html
の
ORDB filterを使います。ORDB filterのファイル名は、all.rbl.jp Filterと修正します。

ResEditで、以下の通りSTR#改造します。
−(STR#改造箇所始まり)ー
.all.rbl.jp
all.rbl.jp blocked mail from 
550 5.7.1 your server is listed in the ORDB, see http://www.rbl.jp/
-1
all.rbl.jp DNS lookup error for 
−(STR#改造箇所終わり)ー

EIMSのFilterフォルダに入れてEIMSを再起動。

Error Logから検出された相手先を見て納得。30分ほど監視してますけど、
有効に働いています。

鎌田 さんからのコメント
( Thursday, January 06, 2005 23:14:42 )

昨日から丸一日使ってみました、

bl.spamcop.netに引っかかるメールは平均30通/日ですが、
all.rbl.jpに引っかかるメールは今のところまだありません、
もうちょっと様子見です。

たまちゃん さんからのコメント
( Thursday, January 06, 2005 23:40:16 )

> all.rbl.jpに引っかかるメールは今のところまだありません

ハートさんのところの説明を読んでもらえば分かりますが,rbl.jp
は日本語のジャンクメールを捕まえるために設けられたものでは
ありませんし,大規模なものでもありません。

日本語のジャンクメールを比較的よく捕まえるものに

http://www.five-ten-sg.com/blackhole.php

がありますが,うまく運用しないと正常なメールまで蹴ってしま
います(ホワイトリスト,ホワイトホールのまめな設定は必須で
す)。

http://openrbl.org/
http://www.moensted.dk/spam/

などで自分の受け取るジャンクメールの発信元がどのブラックリ
ストにリストアップされているか確かめた上でブラックリストを
選択するのが賢明だと思います。

今井真人 さんからのコメント
( Friday, January 07, 2005 09:07:32 )

私のところでは、
dnsbl.njabl.org
がよく効いてます。一日千通ぐらい。

all.rbl.jpも丸一日だと二百通ぐらいかな。

今井真人 さんからのコメント
( Friday, January 07, 2005 09:18:25 )

bl.spamcop.netを試してみたら、これがよく効きますねぇ。
これはいい感じ。

http://www.spamcop.net/

今井真人 さんからのコメント
( Friday, January 07, 2005 10:02:27 )

bl.spamcop.net
が先に効いてしまって
dnsbl.njabl.org
が効かないようになりました。

フィルタがあっても無駄なものは、削除ですね。

今井真人 さんからのコメント
( Friday, January 07, 2005 10:17:04 )

最近のスパムというと、ドメイン固定でユーザ名をa-z辞書で闇雲に送信する
パターンが多いので、User Not Foundで返送されるエラーを監視していれば、
フィルタが効いているかどうかは、すぐわかります。

いまのところ、実に調子いい。User Not Foundが、ほぼゼロです。

長官 さんからのコメント
( Friday, January 07, 2005 12:34:26 )

昔ある理由で自ドメインがさるRBLに登録されて、対策したよ、と連絡
しても反応が無く、登録されたままの状態が続いて難儀した覚えがあり
ます。

RBLを使用する際は、どういう体制で運用されているのかも検討するこ
とをお勧めします。

class Cを丸ごとblockしちゃうRBLの話も耳にしたなぁ。

今井真人 さんからのコメント
( Friday, January 07, 2005 18:22:43 )

EIMSのError LogはメールのFrom名と相手のIPアドレスと逆引き名がでていますので、
RBLが悪さしていないかどうかの判断は簡単です。

今井真人 さんからのコメント
( Friday, January 07, 2005 18:29:19 )

フィルタの効きをテストするのに、RBLがインストールされる順番は微妙に効くかも知れません。

私のところでは、bl.spamcop.netが効き過ぎて、他のフィルタが効いているかどうか、
わかりません。

先に、他のフィルタを通過させた上で、最後にbl.spamcop.netを使うのがよいのかも。

EIMSはフィルタのアルファベット順でフィルタ順は決まってしまうので、ファイル名を
いじればよいだけです。

鎌田 さんからのコメント
( Saturday, January 08, 2005 20:55:57 )

私もbl.spamcop.netを最初にするとほとんどこれでひっかかります、
ここに引っかからないものは手動で登録しています、
ほとんどが中国のサイトですね。

今井真人 さんからのコメント
( Sunday, January 09, 2005 08:34:09 )

現在の私のところのフィルタは、all.rbl.jp→bl.spamcop.netの順です。

こうすると、all.rbl.jpが千通/日、bl.spamcop.netが千通/日ぐらいで仕事をしてます。

ホストマシンはiMac G3-DV/500MHzです。

鎌田 さんからのコメント
( Monday, January 24, 2005 21:00:47 )

bl.spamcop.net
欧米系のプロバイダからのspamメールには強力に作用しますが、
昨年まではCHINANETからのspamメールには全然効かずに自鯖のブラックリストに手動登録していました、

ところが今年あたりからな急に効くようになり非常に助かっています、

実はSIMS 1.8b9d14のブラックリストですが、
IPアドレスの範囲指定とコメントをつけて登録していくと、
30行を越えたあたりから新規登録ができなくなる事が分かりました、
コメントを短くすると登録できたりするので、単なる行数制限ではなく、
総byte数当たりで見てそうです。

たまちゃん さんからのコメント
( Tuesday, January 25, 2005 12:38:27 )

SIMS History によると制限は以下のようです。

1.8b1 09-Feb-99

When configured via Web interface SIMS no longer limits the amount of 
BlackList and Clients IP ranges to 100 records. Now the limit is 1000 records. 
Due to limitations of the CommuniGator application, the total safe amount of 
BlackList and Clients IP ranges is limited to about 550 records when configured 
through CommuniGator. If your lists are longer, use the Web interface to update them.

鎌田 さんからのコメント
( Tuesday, January 25, 2005 22:50:26 )

情報引っ張り出していただきありがとうございます、

webインターフェースでBlackList登録するとIPアドレスが範囲指定で1000までOKってことになってますが、
30行で駄目になった私の場合、コメントを付けたのが問題だったのかもしれませんね、

今井真人 さんからのコメント
( Friday, January 28, 2005 20:15:38 )

bl.spamcop.netフィルタがとてもよく効くので、自分も参加して
育てることにしました。

http://www.spamcop.net/anonsignup.shtml
へアクセスして、

Display name (full name or alias): 自分の名前(ローマ字)
Email address 自分のメールアドレス
Register as a "mole"? チェック

とします。Sendボタンを押すと、spamcopからメールが届きます。

username:  自分のメールアドレス
password:  spamcopメンバーのパスワード

http://www.spamcop.net/mcgi?action=loginform;returnurl=%2F
へアクセスして、後はスパムメールを貼り付けて送信するだけです。


→  http://www.spamcop.net/anonsignup.shtml

bigginer さんからのコメント
( Saturday, January 29, 2005 14:54:31 )

moleとは?

今井真人 さんからのコメント
( Sunday, January 30, 2005 07:57:05 )

お試しってことです。後は入会してから、Preferencesボタンを押せば判ります。

moleとは、スパム業界?では深い意味を持つようです。

今井真人 さんからのコメント
( Sunday, January 30, 2005 08:27:23 )

Spamcopの裏側をちょっとのぞいてみるのも面白い。私から見て
スゴイところはいっぱいありましたから。。。

お金は特別な処理をしないと請求(支払い)かからないので、安心?です。

今井真人 さんからのコメント
( Sunday, January 30, 2005 08:28:50 )

スパムメールをお知らせするときに、1つ注意点。

日本語は全部化けます。ですから、URLなどアルファベット系のみに
して送信すると吉です。

鎌田 さんからのコメント
( Sunday, January 30, 2005 22:10:31 )

私も昨年の7月にたまちゃんさんからbl.spamcop.netを紹介していただき、
それからずっと利用しています、

稀に一部のメーリングリスト系のメールが届かなくなることがありますが、
(いつも同じMLなのでspamer御用達なのかも)
総じて良いバランスでspamメールを排除していると思います、

一応、重要なメールが必要な場合はbl.spamcop.netをバイパスする滅多に使わないメールアドレスを使いますが、幸いにも役に立ったことはありません、

それと実は、
もうちょっと日本ユーザー向けのspamメールも減らせたらと思い、
私も先日来spamcop.netにspamメールの連絡をするようにしました、

spamcop.netの精神にのっとり、正しいspamメール
(という言い方も変ですが、タイトルに未承諾の文字があり、配信停止のメールアドレスもきちんとしているメールの事、わざわざ配信停止手続きはしませんが(^_^;))
には何もせず、止めたくても止める事の出来ないspamメール(バイアグラがが多いです)をどんどん連絡しています。

morishita さんからのコメント
( Tuesday, February 08, 2005 23:48:47 )

いつも質問ばかりですみません。

spamcop.netをEIMS3.2で使いたい場合、どのような方法がありますか?
ORDB Filterの改造でしょうか?
その場合、具体的にどう改造すれば有効になるのでしょうか?

又、Spam対策で調べまわっているうちに「阻止率99%のスパム対策」という
のを見つけました。

これをEIMS用のFilterにしてしまう事って難しいのでしょうか?


→  阻止率99%のスパム対策方式の研究報告

たまちゃん さんからのコメント
( Wednesday, February 09, 2005 00:07:36 )

> spamcop.netをEIMS3.2で使いたい場合、どのような方法がありますか?
> ORDB Filterの改造でしょうか?

でもできますし,あるいは Tom さんの

http://www.oitc.com/EIMS/DownloadArea.html

からダウンロードできます。

「阻止率99%のスパム対策方式の研究報告」の方式の一部については
Simple Text Filter でひょっとしたら採用できるかもしれませんが,私
自身は詳しくないので,ユーザの方にフォローしていただけるとよい
と思います。

今井真人 さんからのコメント
( Wednesday, February 09, 2005 06:31:35 )

Simple Text Filterのユーザなのでコメントします。

フィルタが受けるホスト名は、IPアドレスから逆引きされたものではないようで、
とても短いです。EIMSのError.logを見ると判るんですが、詐称されたものが
スパムメールでは、ほとんどです。

ですから、阻止率99%のスパム対策方式の研究報告」の適応は無理でしょう。

今井真人 さんからのコメント
( Wednesday, February 09, 2005 06:38:39 )

私が、最近欲しいと思っているフィルタは、メールサーバへの未登録ユーザに
送り付けるスパムメール対策です。

5名以上存在しないユーザへ、同じIPアドレスからメールが送られる場合は、
SMTPポートが返事をしなくなるなどのフィルタが欲しいねぇ。

現在のところ、この操作を手動でやってます。半日に1回でも効果絶大です。

たまちゃん さんからのコメント
( Wednesday, February 09, 2005 09:50:36 )

今井さんフォロー有り難うございました。

> 5名以上存在しないユーザへ、同じIPアドレスからメールが送られる場合は、
> SMTPポートが返事をしなくなるなどのフィルタが欲しいねぇ。

将来バージョンの EIMS で対応予定だったと思います。CommuniGate
Pro では対応済みです。

morishita さんからのコメント
( Wednesday, February 09, 2005 11:44:44 )

たまちゃんさん、みなさん、ありがとうございます。
>TOMさんの 
というのは、「Denes」の事ですね。
Rulesっていうファイルを触らなきゃいけないんですよね。
がんばって試してみます。

ところで、
> 5名以上存在しないユーザへ、同じIPアドレスからメールが送られる場合は

っていうのはSpam trap filterでそれっぽくできないんでしょうか?
うちでログを見る限り、「適当なアドレスを乱射する」タイプのヤツは結構
似た様なIDに送信しているように見えます。
例えばA〜Xの各アルファベットを頭文字に持つ代表的なIDをTrap用に作って
おけば、そこで引っかかるって感じにはならないでしょうか?

今井真人 さんからのコメント
( Wednesday, February 09, 2005 11:58:25 )

最近のスパムは1ユーザ1通で送られてくることが、多いのでTrapが
Trapにならないのです。

たまちゃん さんからのコメント
( Wednesday, February 09, 2005 13:37:32 )

>>TOMさんの 
>というのは、「Denes」の事ですね

いえいえ,EIMS DNSbl Filters の方です。Denes は別製品ですが,
機能はすごいです。もちろん Denes でもご所望のことは実現でき
ます。

morishita さんからのコメント
( Wednesday, February 09, 2005 20:00:48 )

ありました。
これなら「がんばって」でなくとも簡単に使えますね。
ありがとうございます。

ということで、フィルタを見てみるとspamcop以外にも色々あり、
併用してみようかと考えました。
ところが、ここで問題発生です。
調べてみると、私のサーバが複数のデータベースに登録されてしまっています。
使っているのはEIMS3.2でRelay securityの設定などもしているのですが、
この設定ではダメみたいですね。
ウチの場合はユーザーの接続元がLAN内などに限定出来ず、SMTP認証等も
ユーザーの環境がまちまちである為難しいのが現状です。
で、仕方なく
0.0.0.0 255.255.255.255 ***.co.jp
みたいに設定しています。
このようなケースで、データベースに登録されないようにするには、どんな
方法があるでしょうか?

本来の話題から少しはずれてしまって申し訳ありません。

たまちゃん さんからのコメント
( Wednesday, February 09, 2005 22:00:38 )

> 0.0.0.0 255.255.255.255 ***.co.jp

これは大変まずい設定です。

http://www.eudora.co.nz/relay.html

をよく読んで自社のアドレスのみ列挙するようにしてください。

SMTP認証については Relay security で設定した IPアドレスとは
「かかわりなく」行われますので,外部からSMTP認証を行う場合
にも Relay security でのアドレスの設定は不要です。

morishita さんからのコメント
( Thursday, February 10, 2005 02:23:06 )

>これは大変まずい設定です。
>
>をよく読んで自社のアドレスのみ列挙するようにしてください。

まずい事はわかっているのですが・・・
たまちゃんさんのおっしゃる「自社のアドレス」っていうのは、自社のIPアドレス
っていう意味ですよね。
ユーザーが、どこからでも(ダイヤルアップやVPN等LANへのアクセスではなく
適当なアクセスポイントやISPからという意味)接続できるようにしようと思えば、
ここでIPアドレスは特定できないものですから、こうなってしまったんです。
も、もしかして・・私が、この設定の意味を取り違えているのでしょうか・・・。
まさか、他に有効な手段があるのですか?

たまちゃん さんからのコメント
( Thursday, February 10, 2005 06:53:25 )

> ここでIPアドレスは特定できないものですから、こうなってしまったんです。

だからSMTP認証を用いることになるのです。SMTP認証を用いると
世界中どこからでも(認証に成功すれば)メールの送信ができま
す。

ごくごく一部のメールソフトを除けばほとんどのメールソフトは
SMTP認証に対応していると思います。

実際に確かめるとすぐに分かると思いますよ。

森下 さんからのコメント
( Thursday, February 10, 2005 20:57:21 )

morishitaさんこんにちは。森下です。;-)
0.0.0.0 255.255.255.255 ***.co.jp
って、限りなくOpen Relayですよ。
逆にこれでデータベースにのらない方が不思議なぐらい。

たまちゃんさんのおっしゃるように、SMTP認証を利用するか、
さもなくば、自社内からのみ受け付ける設定にしておいて、社内にPPPサーバなりで
アクセスポイントを造るしか手は無いと思います。

sshでトンネル掘るという手もありますが;-)

このまま運用を続けて自社の信用を失うよりも、
ちょっと手間をかけて、SMTP認証利用の簡単マニュアルを作って、
利用者全員に配布したらどうでしょうか。

たいていの利用者の使っているメールソフトなんて、
ほぼ2〜3種類に収斂していると思うので、
そんなに手間ではないと思いますよ。
ごく少数の珍しいメールソフトを利用している人だけ個別に対応すれば良いでしょう。

今井真人 さんからのコメント
( Friday, February 11, 2005 20:35:15 )

私のところで、SMTP認証をスタートしたのはいつだったかなとメールを
検索してみたら2001年3月14日からでした。当時もEIMSを使ってました。
ARENAが2.0になりCRAM-MD5対応になったのが契機でした。

今、ほとんどのメーラは対応していると思うので、さっさと対策しちゃい
ましょう。プロバイダをまたいで使うメールサーバにはSMTP認証は必須だと
思います。

今井真人 さんからのコメント
( Saturday, February 12, 2005 11:28:35 )

昔、SMTP認証に苦労していたときのことを思い出しました。

EIMSとwin版outlook5のAPOPについて
http://mtlab.ecn.fpu.ac.jp/WSM_2001/011206142317.html

→  EIMSとwin版outlook5のAPOPについて

やま さんからのコメント
( Saturday, February 12, 2005 19:09:46 )

今まで主にEIMSの話題でしたので、ちょっと毛色を変えてMacOSXServer10.3のメールサーバの
話題です。

RBLに「bl.spamcop.net」を登録したら、やはりこれが非常に効きます。
欧米系のspamはほとんどといっていいほど届かなくなりました。
MacOSXServer10.3では、ホストとネットワークの範囲指定が(GUI上では)全く効力がないの
で非常に助かっています。

希にくぐり抜けてくるものがありますが、
http://www.spamcop.net/bl.shtml
でくぐり抜けたIPを検索して、表示された「listed in」となっているRBLを追加登録してやるとい
う方法でほぼ対処できています。

今井真人 さんからのコメント
( Saturday, February 12, 2005 22:22:45 )

> http://www.spamcop.net/bl.shtml

さっそく、私も日本語スパムの送信先を調べてみたら、
dnsbl.sorbs.net
が、効くようですねぇ。

試してみるべし!

やま さんからのコメント
( Saturday, February 12, 2005 22:47:49 )

> さっそく、私も日本語スパムの送信先を調べてみたら、
> dnsbl.sorbs.net
> が、効くようですねぇ。

効きます。

ただ、効き過ぎるのか(?)私の場合、自分が使っているプロバイダのIPアドレスが登録されてい
るという事態となり(ブロックされていました、プロバイダに通報)、やむなくこのRBLをはずす
ということになってしまいました。今プロバイダの対応待ちです(苦笑)。

今井真人 さんからのコメント
( Sunday, February 13, 2005 09:27:43 )

一晩、dnsbl.sorbs.netを効かせてみました。

受け取り禁止したログを見て納得したので、しばらくこのままにします。

鎌田 さんからのコメント
( Sunday, February 13, 2005 12:09:35 )

dnsbl.sorbs.net
ここは登録解除依頼のメールを送っても
MXレコードと逆引きのドメイン名がが合わない相手は絶対解除されません、

日本の零細企業がよく使っているバーチャルドメイン使用の独自ドメインのメールは、
上記の理由から一度引っかかると二度と登録解除されないので、
dnsbl.sorbs.netを使っているとどんどんメールが届かなり、その使用を辞めました、

以前につたない英語を駆使して数日の間交渉を続けましたが、
結局のところ上記の理由から駄目だとの一点張りでらちがあきませんでした。

鎌田 さんからのコメント
( Sunday, February 13, 2005 15:10:04 )

dnsbl.sorbs.netについての補足です、

sorbs.netが他のRBLサービスと違うのは

1、SPAMメールの送信の有無に関わらず、基本的に全世界のIPアドレスが登録されている
2、一度登録されたら基本的に二度と解除されない

以上の二点です、

登録されていないのは「sorbs.netが」大手のプロバイダ、
及び大手の企業のメールサーバの物だと確認したIPアドレスだけで、

中小のプロバイダや企業のメールサーバのIPアドレスは、
そのIPアドレスの管理者から連絡が無い限り登録されたままです、

次に、日本でも零細企業や個人商店が使っているバーチャルドメイン等のメールアドレスにいたっては、
IPアドレスの逆引きのドメインと管理者が違うという理由から登録が解除されません、

sorbs.netを使っていては上記の理由からメールを仕事には使えないのですっぱり切り捨てました、

今井真人 さんからのコメント
( Wednesday, February 16, 2005 18:10:26 )

sorbs.netは、

InfoSphere (NTTPC Communications, Inc.)系が全滅かなぁ。
しょうがないので、私もsorbs.netを外しました。

dnsbl.sorbs.netにプラスしてホワイトリスト運用したいと思ったけど、
難しそう。

今井真人 さんからのコメント
( Wednesday, February 16, 2005 22:25:58 )

RBLがどうやってIPアドレスから、スパムを認定しているかは、DNSをうまく使
っているようです。ホワイトリストを作ろうとして調べてようやく判った。

たとえば、IPアドレス 1.2.3.4がブラックリストに登録されているかどうかは、

4.3.2.1.bl.spamcop.netというドメイン名が登録されているかどうかで判断す
る。bl.spamcop.netはブラックリスト名で、4.3.2.1はIPアドレスを逆引きし
たもの、見つからなければブラックリストから外れていて、見つかればブラッ
クリストに登録されている。

これにホワイトリストを付けようとすると、ちょっと難しい。見つかっていて
も知らんぷりしなさいとネームサーバが返事をしなければならない。見つから
なかったら、このドメイン名というのは慣れているのだが、見つかったら知ら
んぷりというのはネームサーバの普通の運用ではない。

morishita さんからのコメント
( Wednesday, March 02, 2005 11:04:54 )

みなさんの助言を受けて、とうとうSMTP認証を導入いたしました。
3年ぐらい前に導入を試みた際には「そんな機能は私のメーラーに無い」と
いうような苦情が多く、導入を諦めましたが、今回は、導入に関しての
苦情は一件もありませんでした。
恐らく利用者みんながスパムの処理に困っているのでしょうね。

ところで、RBLに話題を戻しますと、先日たまちゃんさんの教えに従い、
spamcop.net効かせてみました。
サーバのログ上、確かに相当な数のものがはじかれてはいるのですが、
それでも尚、私のアカウントには毎日80通程度は届きます。
以前は150通〜200通だった事を思えば、効果はてきめんですが、
「選別する手間はあまり変わらないかも・・。」って感じです。
これ以外に有効な手段ってあるのでしょうか?