greylisting の弱点
某メーリングリストからスパムがいっせいに届いた。管理者が止めるように頑張っていたらしいのだけど、数日前、なぜかいっせいに。なんだろうね、留めておいたのが誤って放出されちゃった感じ?→削除前のメールボックス
まあ、面白かったのでついキャプチャしちゃったんですが、これの責任を追求したいとかいうことは別に目的じゃなくて。いやまあ、こんだけスパムが来るというのもひさびさでびっくりしちゃったというのもありますが。
わたしはいま、ベイジアンフィルタみたいなタイプのコンテンツフィルタリングはまったくやっていない。対策は Rgrey だけだ。これまでもこの日記で何度か紹介したけど、効果は劇的といっていいくらいで、スパムはほとんどこない。日に数通くらいかな。わるくない成績だと思う。
Rgrey を適用する前は、これは賢いスパマーには効果がない手法じゃないか、とわたしは思っていた。ようは、つまんないスパムは減るけど、賢い業者のめんどくさいスパムは残るんじゃないのー?と。ところが、面白いことに実際は逆だ。これ、ほんとうはスパム業者の利益になりそうなのであんまり日記に書きたくはないのだけれど。 Rgrey が採用している greylisting というののそもそもの考え方は、「エラーコードとして一時的なエラーを返し、再送してきたら受け付ける」という方式だ。まともなメールサーバは一時的なエラーに対処するコードがあるけれど、スパマーはダイレクトに送信してきて、エラーが起きるようなホストにちんたら再送なんかしてらんないのでフィルタリングできる。
実際に greylisting をくぐりぬけるスパム、というのは実際にはそれほど多くはないが、ないこともない。で、そういうスパマーが何をしているかというと、これはまあ推測でしかないんだけど、同じメールを何度も送ってるんじゃないかと思うんだな。リストがきちんと整理されていないのか、ほかの理由なのかはよくわからないのだけど、そうなると2通目の送信が再送かどうかというのの判断はしづらいもので、受理してしまう。たぶんそういうことだと思っている。つまり、賢いスパマーはいちどでもエラーになると、それに対応してくれるのでスパムはこなくなるんだけど、愚直に何度も送信してくるスパマーには無力なのだ。
とはいえ、実際にはそういうスパムはそれほど多くない。再送要求に対して、あまりにも早く再送したらはねられるし、遅すぎても無効化されちゃうから、届いちゃうやつというのは本当にたまたまなんだろう。結局やってくるスパムとして大勢を占めるのは greylisting が効かないタイプのものだ。上のようにメーリングリストが配信してしまうケースはその典型例。ほかにも、たとえばわたしの場合、仕事でとあるアドレスから転送されてくるメールがあるんだけど、これの9割がスパムだったりする。こういう場合、直近の配信元や転送元は妥当なホストだから自前のサーバではどうにも対処のしようがない。メーリングリストならば管理者に「もっと厳しくしてください」と言えるかもしれないけれど(というかいまどきメンバー以外に送信可能な設定というのはいただけないと個人的には思うが)、転送なんかはもうほんとにどうしようもないわけだし。
そもそも、 greylisting という考え方そのものが、こういうメーリングリスト配信や転送とは相容れない方式なんだろうな。中継するものが間に挟まると、再送のしようがないから。この考え方だけでスパムと戦うには、すべてのメールサーバがスパムに厳しい対応を取るようにする必要があるわけだが、それは極端な理想論に過ぎない。
さて、どうすればいいのだろうか。わたしには案はない。ないというか、コンテンツフィルタリングしかねえんじゃねえの?と思うのだけど、さてはて。