ここ最近のSPAMの傾向 (2011年5月度)

ここ最近日本語SPAMの動きが活発である。

これまではレンタルサーバーやホスティングサービスを利用した固定型攻撃や国内では有名なACE・飛猿などSPAM中継で有名なメール送信業者を利用したケースが多数を占めていただのだが、国内SPAMer(おそらく10人ないと思われる)のボットネットを利用が活発化している。

そのため、送信元も多岐にわたり着弾数としては中国・韓国がトップを占めるのは以前変わらないが、アメリカや中東・ウクライナ・ブラジル・メキシコなどこれまであまり利用されなかったIPからの送信が目立つようになってきた。

ボットネットの恐ろしい所は、ブラックリスト方式での対応が限りなく困難になること。なにせ数が多い上に分布も多岐にわたるため、中国や韓国みたいに該当するISPからのメール着信をばっさり、という訳にはいかなくなってきている。

それでもブラックリスト方式が全く無効か？というとそういうわけでもなく、ある部分ではかなり有効なことは間違いない。

現在管理しているメールサーバーでは1日あたり15～20万通のメールが着信するが、そのうち85％以上がSPAMである。大半はブラックリスト方式で遮断できているがそれでもボットネット経由がくぐり抜けてくるわけだが…

現在主に取っている対策方法は以下の通り。
(qmailでの対応だが、他でもそれなりに有効かと思われる)
(1)IPアドレスによる遮断
ブラックリスト方式の典型的な対応。
国によっては/18とか/16単位と大きなIPを遮断する場合もあるが、彼の大陸の国なので利用者には縁がないだろうということを想定してのこと。それ以外のIPでは大抵が/24以下あるいは大きくても/20以内での遮断になる。
同時に正規のメールサーバーが含まれると確認できた場合にホワイトリストも登録するのは言うまでもない。

(2)不正なHELOの遮断
最近受信先のメールサーバーのIPアドレスをHELO名に使用するケースが多数見られる。なので、自サーバーのHELOが正式なホスト名(DNSに登録されているもの)であれば、自IPのHELOを名乗ってくるヤツはばっさり切ってしまおう。

それ以外にホスト名が明らかに存在しないが、それっぽいものを使うケースが相変わらず多い。
不正なHELOとして google.co.jp、yahoo.co.jp、yahoo.com、goo.ne.jp、infoseek.jp、livedoor.comといった存在しないHELO(これらプロバイダはすべてHELOは正規のメールサーバー名を利用)が挙げられるのでこれらも遮断としてなんら問題ない。

ブラックリスト方式の弱点かつ重要な点はまめなメンテナンスが全てという点だろう。一度作ればOKと言うわけではなく、細かなリストの更新がブラックリスト方式を生かすことにつながっている。故に管理者の作業はいつまでも続くわけである。