パスワードを忘れた? アカウント作成
819284 story
spam

逆引きDNSレコードのチェックはスパムブロックに有効か 56

ストーリー by headless
拒否 部門より
本家/.Ask Slashdot: Is Reverse DNS a Worthy Standard For Fighting Spam?より

先週末に新しいスパムフィルターサーバーをインストールし、逆引きDNSレコードのないサーバーからの接続を拒否する設定にした。しかし、それ以降スパム以外の電子メールも大量に着信拒否されるようになってしまった。逆引きDNSレコードは標準的で、必須なものだろうか。あるいはスパムブロックには役に立たないものだろうか。ご意見をお聞きしたい。

本家/.では役に立つ/立たないで意見が分かれているが、主要な連絡先などによって異なるといった意見もみられる。/.Jerのご意見はいかがだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年10月16日 14時42分 (#2035332)

    スパムメールにはセキュリティ上の懸念があるという点から、セキュリティ対策の一環ということで見た場合ですが、

    IT管理者の権限が利用者より強く選任的なら、逆引きやspfに対応していないサイトからのメールを排除するポリシーも有りだと思いますし、その方が良いと考えています。 ただし、その場合にはこのポリシーを適用する前に、ホワイトリストなども作り込んでおき、逆引きがないホストからのメールも暫定的に受けれる運用にしておくべきでしょう。 また、逆引きができていない組織へはアクティブに連絡して、協力を仰ぐ方が良いでしょう。
    (その運用をしている組織を幾つか知っていますし、このご時世、セキュリティを重視するなら当然の対応だと思っています)

    立場の弱いIT管理者の場合には、MTAで実施した場合、利用者から叩かれる危険性が高いので、クライアントPC側のセキュリティツールに依存した方が立場を危うくしないで済むと思います。 ただし、クライアント運用のポリシをしっかりとしないとセキュリティが破綻する可能性があります。

    あと、いくらMTAで排除しようとしても100%排除はできる訳では無いので、最終的は利用者へのセキュリティ教育といった泥臭い部分をどれだけできるか重要になってくるは云うまでもありません。(システムでできるのは危険性の「低減」だけね)

    • by Anonymous Coward

      普通のISPでやってるみたいにサーバーでスパム判定のマークをつけて、受信したスパムに対する削除の処理はクライアントPC側でやるのが無難だと思うけど
      まあスパムであっぷあっぷしてる企業では強烈にやるしかないんだろうが

  • そのスパムフィルターはインチキです。
    逆引きが無いといけないとは、誰も決めていないので、受け取れないのは不具合と言えます。
    他にもっと酷いのを見たことがあります。
    MX レコードに登録されていないとダメとかありました。
    MX は、受信の為のレコードなので、正しくは、SPF レコードを見るなのです。
  • by elderwand (34630) on 2011年10月16日 20時55分 (#2035483) 日記

    http://postgrey.schweikert.ch/ [schweikert.ch] を使ってますが、SpamAssassin の負荷を大幅に軽減できますので、とても助かってますよ。
    (使ってないところと毎日比較してますので確かです)

    • by JULY (38066) on 2011年10月17日 14時16分 (#2035736)

      私は milter-greylisting を使ってますが、greylisting って、完全な False Positive が発生しづらい割に、想像よりも効果的です。

      もっとも、いたずらに全部を greylisting してしまうと、軒並み遅延が発生するので、事前に DNSRBL や S25R などでふるいをかけた上で greylisting すると、遅延も少なくなります。

      で、逆引きの結果も、その greylisting の「ふるい」として使われますが、無かったり、間違っても、再送してくるまでの遅延が発生するだけで、届かなくなる、という事は無いです。

      ただ、某ポイントサイトのメールで実際にあったんだけど、逆引きの結果と、それを正引きした結果が合わない場合、sendmail に「may be forged」と、おもいっきりに睨まれます。

      # 手前味噌ですが、milter-greylist で検索すると、私のブログに行き当たります。

      親コメント
  • 以前(といっても結構前ですが)とある企業のサポート宛にメールを送ろうとしたところ、見事に spam と判断されて戻ってきました。
    結局にっちもさっちもいかず、その企業の製品を使うことを諦めまてしまいました。
    企業の spam 設定は気をつけた方がいいんじゃないかと思った時です…

    • by Anonymous Coward on 2011年10月16日 18時14分 (#2035414)

      サポート用に限らず会社の代表メルアドみたいなところはできる限りスパムフィルターの判別用件は緩くしておくべきですね。
      そういうアドレスが一番たくさんメールが届くから、真っ先に厳しくしたいのはわかりますが、重要なお客を逃してしまっては元も子もありませんし。

      親コメント
  • by hoihoi-p (5571) on 2011年10月16日 17時10分 (#2035392) 日記

    DDNSとかを使って自宅サーバ立ててる人は、困るだろうな。
    しかし、その人たちが全て悪者扱いされるのは短絡的すぎる。

    --
    hoihoi-p  得意淡然、失意泰然。
    • by johntheripper (21505) on 2011年10月17日 10時50分 (#2035642)

      日本のISPだとDHCPでもらうIPアドレスには ISPのルールでの正引きと逆引きがつけられています。

      そのアドレスをwww.example.comとしもその逆引きを求めると本来のISPでつけられた逆引きが出てくるので問題ないはずだけど。。

      親コメント
      • by hoihoi-p (5571) on 2011年10月17日 16時56分 (#2035806) 日記

        DDNSを使うって事は、たとえば、「プロバイダから交付されるDHCPアドレスが頻繁に変わる」とか「ISPのルールのホスト名が気にくわない」 つまり、プロバイダが付ける長ったらしいホスト名じゃなく「kw.dip.jp」とかの独自ドメイン・独自ホスト名が欲しいと言う事で、使わせてもらってました。(上記は、過去に私が家サーバーさんから借りていたホスト名です。)

        一番手っ取り早かったです。
        そのかわり、「逆引きは出来ません」と書いてありました。

        しかし、今は違う。
        固定IP、独自ホスト名でDNSもちゃんとしてくれるサービスがあります。
        管理上、「逆引きが必要」な状態になったのならば、「出来ない」という理由はないと思います。

        --
        hoihoi-p  得意淡然、失意泰然。
        親コメント
  • by w1allen (21025) on 2011年10月16日 17時49分 (#2035403)

    スパムメール対策に、S/MIMEが有効だと思うし、主要なメーラーは対応しているのに、何故か普及していませんね。
    私有鍵と証明書の管理が面倒くさいのかな。

    そういえば、先輩が「S/MIMEを導入しましょう」と声を上げたのですか、上司に「100%今まで通りメール(もちろんスパムメールを除く)届くのか?」と言われ、導入が見合わされたなあ。

    • by Ryo.F (3896) on 2011年10月17日 17時08分 (#2035820) 日記

      スパムメール対策に、S/MIMEが有効だと思うし

      S/MIMEは、ごく限定的な場合を除いて、spam対策にならないんじゃない?

      先輩が「S/MIMEを導入しましょう」と声を上げたのですか、上司に「100%今まで通りメール(もちろんスパムメールを除く)届くのか?」と言われ、導入が見合わされたなあ。

      S/MIMEを導入しても、メールが到達するかどうかは今まで通り変わらないと思うけど。

      MTAで、信頼できるCAが発行した有効な証明書でS/MIME署名されているもの以外をspamと判定しちゃうとしたら、それはいくらなんでもやり過ぎだよなあ。

      親コメント
  • 何年か前にそういう製品があるのを見かけた。
    興味があったので資料を取り寄せたら、方法がホワイトリストのみで運用を行うからだということがわかった。
    そりゃこっちが許可したものしか通さないなら100%シャットアウトできると思うけど、新規の人とかもシャットアウトされたりするし面倒だからという理由で当然のことながら採用は見送った。

  • by Anonymous Coward on 2011年10月16日 13時50分 (#2035314)
  • by Anonymous Coward on 2011年10月16日 16時47分 (#2035387)

    逆引きの有無をtarpittingのパラメータに使ってます
    逆引きの無いホストでもRFCまもってタイムアウトまで最大5分待ってるならうけとります。

    avex.jpが逆引き無しのホストからメルマガを送るのはいいけど、ちゃんと待ってくれなくて
    すぐあきらめるRFC違反の配送はやめてほしい。

    受け取った後はspamassassinして判定。

    最後にメーラで学習。

    • by Anonymous Coward

      RFCのどこにも5分待たなければいけない(MUST)なんて書いてませんよ。
      SHOULDとは書いてありますが。
      褒められた挙動ではないけれどRFC違反とまではいえません。

  • クライアント管理のドメインとか取得先によって逆引きは提供出来ませんので…とか言われたこともあるので逆引き頼みはちょっと面倒な。。

    そもそもスパムの人が「だったら逆引き登録するよ!」とかだと根本的に意味がなくなってしまう。
  • by taruwo (14239) on 2011年10月16日 23時14分 (#2035523)

    http://vrl.sys.wakayama-u.ac.jp/~twada/NNIPF.html [wakayama-u.ac.jp]
    サーバ側に組み込まないといけない為かいつも話題にされないNNIPFですが、
    かなりの精度でスパムを弾いてくれて個人的には凄く助かってます。

  • 「逆引きDNSレコードのチェックはスパムブロックに有効か」という問に対しては、#2035561 [srad.jp]のリンク先にあるように、「有効でないどころかむしろFalse Positiveを引き起こす」という答えで終了です。

    ちょうど、色々なspamフィルタリングの話題が出ているようですので、私の妄想を以下に記します。

    先ず、私はMTA上で実施する、IPアドレスレベルのスパムフィルタリングには否定的です。
    理由は「中身を見ていないから」です。
    spamであるか否かは、最終的には中身を見ない限りわかりません。
    どうしても明らかにspamしかよこさないホストが明確に存在する場合に限って、DNSBLは限定的に用いるべきだと考えます。
    受信さえしていれば、spamフィルタが誤検出しても、最悪拾い出すことができる可能性が残ります。しかし、受信拒否をしてしまうと、その可能性すら捨て去ってしまい、大変危険です。

    私の場合、コンテンツフィルタリングとIPアドレスリストのルールを掛け合わせる、という方法を採っています。(拙作user_prefs [flcl.org]参照)
    spamの9割以上は動的IPアドレスから来ます。
    動的アドレスか否かの判断は、spamが来たIPアドレスをwhoisで調べて、IPアドレスの範囲を登録しています。
    IPアドレスだけの判断は危険ですので、コンテンツに対するルールとの論理式(metaルール)で、スコアを嵩上げします。

    ここ10年近くspamフィルタリングを続けていますが、spammerは大変技術力が高いと感じています。
    何らかのフィルタリング技術が流行りだすと、spammerはそれを回避する方法を編み出します。
    今、spamフィルタリングの技術は閉塞的状況にあるように思います。
    ただ、一方ではメイルのspamは減少傾向にあるとの報道もあり、今後大幅に変化するようなことは起きないような気がします。

    --
    GNU is a religion. [flcl.org]
  • by Anonymous Coward on 2011年10月16日 14時47分 (#2035333)

    もっと確実な方法があるけど、対策打たれるので書けない

    • by staygold (23127) on 2011年10月16日 21時41分 (#2035503)
      じゃ俺も。余白が足りないので驚くべき証明方法を書き記せない。
      親コメント
    • by Anonymous Coward on 2011年10月16日 15時41分 (#2035362)

      バレたら即対応されるような方法は確実な方法じゃないです。

      親コメント
      • by Anonymous Coward

        誰もが気づかなければ確実な方法なんだよ
        現にこのフォーラムですら逆引き弾くなんて幼稚な方法から逃れられて無いだろ

        • by Anonymous Coward

          お前が気づく程度のことをどうして誰も気づかないとか自惚れられるのか

    • by upken (38225) on 2011年10月16日 18時10分 (#2035412)

      Postfix の smtpd_banner に「チベット人に人権を」のような記述をしたら中国からのスパムがパッタリやみました。
      なぜだろう。

      親コメント
  • by Anonymous Coward on 2011年10月16日 14時51分 (#2035336)

    馬鹿からのメールも拒否出来て一石二鳥だろ

    • by Anonymous Coward
      逆引きがないとだめなんて、誰も決めてないぞ!
      • by ginga (20279) on 2011年10月16日 18時29分 (#2035422)
        御意

        大多数のメールを扱っている大組織のメールサーバが逆引きPTRが対応する設定になっていることが多かった,それゆえに「逆引きでフィルタリングすると,確率的にはSPAM混入比率を下げることが出来る(が副作用アリ)」というのが正しい説明なのだけれど,いつの間にかメールサーバには逆引きが必要とか,SPAM対策とは逆引き設定でフィルタリングすることみたいに勘違いしている人が増えているのが残念.
        親コメント
  • 日本でも高くなるんですか?
    • >日本でも高くなるんですか?

      私の経験から言えば、フレッツ光回線普及初期には一時期逆引き設定を別途有償対応するISPもありましたが、
      自由競争の結果、2011年現時点ではそういうISPはほぼなくなりました。

      /28以上のIPv4アドレスブロック割り当てを受けるなら逆引き委任してもらえるのが一般的。
      /29以下ならば逆引き委任してもらえなくてもウェブベースのUIでISP側の逆引きレコードを自由に編集できるか、
      いずれかが標準サービスとして利用できるのが一般的です。

      親コメント
      • 自由競争の結果、2011年現時点ではそういうISPはほぼなくなりました。

        そもそも逆引きの設定を出来ないISPもあります。

        逆引き設定というのはグローバルIPアドレスの固定割り当てに対するものですが、840円とかなり安価な固定グローバルIPアドレスのオプションがあるASAHIネット [asahi-net.jp]では逆引きはIPアドレスベースの自動設定です。委譲(あまり委任という言葉は聞きません)も、自由な設定もできません。

        OCNもIP1だと委譲も設定もできなかったと思います。

        親コメント
    • by Anonymous Coward

      ISPっつーと範囲広すぎるけどサーバー公開用に固定IPもらうだとかホスティングレンタルとかでDNSに逆引き設定追加してもらう場合高くなることはあるだろうね。(固定IPは特に)

      あなたがインターネットに接続するために契約したISPから用意されたメールアドレス(のサーバ)が逆引き可能かどうかっていうのはまた全然別の話。

  • by Anonymous Coward on 2011年10月16日 15時30分 (#2035358)

    ipv6ではv4と違って逆引き設定するのが当たり前という合意はできていないし、
    実際設定されていないことが多い。
    逆引きする設定のままデュアルスタックに移行すると、
    v6経由でのメールをほとんど拒否することになる。
    いつまでもv4だけで暮らし続けるつもりならいいけど、
    今後のことを考えるなら逆引き制限なんてやめた方がいい。

    もちろん、メールにかぎらずhosts.allowや.htaccessその他あらゆるアクセス制限で同様に
    v6では逆引き制限は意味を持たなくなる。

    • by SteppingWind (2654) on 2011年10月16日 15時43分 (#2035363)

      ipv6を特別扱いする理由は何? もしかしてipv6ではアドレス決め打ち設定が出来ないと思っている?

      親コメント
      • by upken (38225) on 2011年10月16日 18時17分 (#2035416)

        できるけど S/MIME と同じく大半のメールサーバーはあなたの期待通りの設定にならないと思う。

        親コメント
      • by Anonymous Coward

        v6を特別扱いしないから、v4と同じように逆引きするのはまずい、と言ってるわけですが。

        実際、sendmailでは逆引きチェックするしないの挙動をv4かv6かどうかによって変えることはできないですね。
        listenするアドレスによってsendmail.cfを複数用意しないかぎり。
        postfixもできないことはないけどわりとトリッキーな設定が必要。

        • by SteppingWind (2654) on 2011年10月16日 20時17分 (#2035468)

          いや, だから何でv6を逆引きするとまずいんですか? v6でも逆引きは可能ですよね? v6を使っていてv6用の逆引き設定をしていないような組織は信用しないというpolicyはあり得ると思いますけど.

          親コメント
          • by Anonymous Coward

            最初に書いたように、v6ではv4と違って逆引き設定するのが当たり前という合意はできていない。
            実際、v6の逆引きを登録していない組織は珍しくもなんともない。

            v6でも逆引きができなければ信用しないというポリシーを採用するのは勝手だが、
            ほんとうにそれをやると実運用に支障をきたすのは目に見えている。
            それでもなお逆引き必須と主張して古い考えに囚われるジジイと笑われたいのであればどうぞご自由に。

    • by Anonymous Coward

      少なくとも日本のIPv6推進してる人達や迷惑メール対策やってる人達の間では、IPv6でもMXについては逆引き設定すべき、という流れのようです。

      IPv6導入時に注意すべき課題 - IPv6普及・高度化推進協議会
      http://www.v6pc.jp/jp/upload/pdf/2011093001_v6fix.pdf [v6pc.jp]

      IPv6時代の迷惑メール対策 - 迷惑メール対策委員会委員長
      http://www.iajapan.org/anti_spam/event/2011/conf0527/pdf/05higuchi.pdf [iajapan.org]

  • by Anonymous Coward on 2011年10月16日 17時09分 (#2035390)

    逆引きはもちろん、ちゃんと運用していたところが、クラウドに移行したタイミングでタコ運用になるケースが最近多い。
    サーバ管理者もリストラされたのかもしれない。

    クラウド使いきれないならクラウド移行なんてすんなよ。

  • by Anonymous Coward on 2011年10月16日 19時12分 (#2035440)

    もうGoogle Appsでいいんじゃないんですか?
    Gmailが最も簡単で最強

    • by Anonymous Coward

      >Gmailが最も簡単で最強

      嘘だー、それ。
      会社のメールサーバをGmailにしたら、不都合出まくり。

      会社で検討してるなら、慎重に検討したほうがいいよ。

      • by Anonymous Coward
        3つの企業(自社+業務委託)でメール管理者してますが、全てAppsに移行しました。 2年ほど運用してますが、現在の所トラブルも不都合も皆無であります。 不都合出まくりって、具体的にはどんな事象がありましたか?
        • by Anonymous Coward

          どーせ.exeの添付が受け取れないとかpopで取るとなんか変だとかいった類の自称不具合だろw

          • by niwasa (4453) on 2011年10月17日 9時24分 (#2035613) ホームページ 日記
            不具合というより仕様上の不都合なんだけど
            1.メールにメールを添付できない
            2.GoogleApps上の組織ドメインからGoogleApps上の別の組織ドメインにメール転送できない

            ってのが困ってる点ですね

            親コメント
  • by Anonymous Coward on 2011年10月16日 23時09分 (#2035522)

    逆引きの結果を正引きしたのが一致しないのはハネていいと思う。
    ミスの可能性もあるけど、あやしすぎるから。

    • by Anonymous Coward

      http://ya.maya.st/mail/accessctl.html#ptr [ya.maya.st]

      逆引き(IP アドレスからホスト名を得ること)ができないクライアントや、パラノイドチェック(逆引き得られた名前を正引きして元の IP アドレスと一致するかの検査)にひっかかるクライアントを蹴る。RFC2505 #1.4

      これはよくおこなわれているようだが、はっきりいって筋違いだろう。ほんとうに必要がないかぎり逆引きを設定しないという運用方針を取っている組織はけっして珍しくない。逆引きがないからといって spammer と断定はできない。sshd など限

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...