僕のサーバ(ar.aichi-u.ac.jp)に来るスパムメールの統計(ほぼ一年間)を紹介する。
ar Oct 6 10:40:46 ehlo from 81.169.174.135 as h5449.serverkompetenz.net最後のデータは
ar Oct 29 13:07:04 helo from 80.32.153.131 as 131.Red-80-32-153.staticIP.rima-tde.netである。
term% grep ' (ehlo|helo) from' smtpd|wc 144487 1300389 9193452でアクセスの件数が分かる。144487 件のアクセスが 13 ヶ月程にあったわけだ。一日当り 370 件程のアクセスで、この殆どがスパムメールである。
smtpd は明らかな不正アクセスを拒否しているので、これらの全てが僕のメールボックスに届く訳ではない。
| gTLD | 件数 | 割合 |
|---|---|---|
| - | 41437 | 29% |
| net | 25975 | 18% |
| com | 18313 | 13% |
| br | 9720 | 7% |
| edu | 7337 | 5% |
| jp | 4673 | 3% |
| cn | 4291 | 3% |
| it | 2861 | 2% |
| pl | 2623 | 2% |
| tr | 2084 | 1% |
| de | 2010 | 1% |
| fr | 1975 | 1% |
| ru | 1761 | 1% |
| mx | 1360 | 1% |
| uk | 1095 | 1% |
| nl | 1002 | 1% |
| ar | 944 | 1% |
| in | 896 | 1% |
| ro | 798 | 1% |
| au | 737 | 1% |
テーブルの最初のテータは gTLD が "-" になっているが、これは dnsquery の応答がなかったものである。この事は DNS に登録されていないバソコンからのアクセスが 3 割を占めている事を意味している。それらの全てがスパーマーによる不正アクセスである。
このテーブルのアクセス件数は正当なアクセスを含んでいる。僕の場合、その殆どがメーリングリストからのもので、さらにその殆どは cse.psu.edu からのものである。cse.psu.edu からは 6175 件で、全体の 4% である。このことから正当なアクセス件数は 5% 程度と推定している。
他の統計に寄ると、93% がスパムメールであると主張されている。僕はスパムが多い方だから、93% 説には納得できる。
gTLD 別の統計はサーバーに寄る偏りが大きいと思われる。僕が受け取るメールは僕のサーバーからのものだけではなく、大学の公式メールサーバーからのものもある。明らかにスパムメールの性格が異なる。大学の公式サーバーからのメールは中国語のメールが大きな割合を占める。(印象的には 9 割程)
ar Oct 9 10:03:46 ehlo from 71.244.192.226 as friendこれはルール違反で smtpd が拒否する。馬鹿なスパマーだ。
ar Oct 10 18:40:36 ehlo from 60.5.0.69 as [60.5.0.69] ar Oct 7 22:40:52 helo from 222.99.30.59 as 202.250.160.40このよぅに 2 種類が観測されるが、第一のタイプは 2996 件(2%)、第二のタイプは 11 件である。これらの殆ど全てがスパムである。しかし、第一のタイプには僕がノートパソコンでアクセスした場合が含まれている。また家庭からのアクセスも第一のタイプだ。第二のタイプは全てスパムである。
DHCP による動的 IP の下でメールを出すニーズは存在するので、第一の例はその場合の正式なやり方なのであろう。
ar Oct 6 11:24:15 ehlo from 201.246.80.167 as 167-80-246-201.adsl.terra.cl ar Oct 6 11:25:38 helo from 82.240.245.107 as riq34-1-82-240-245-107.fbx.proxad.netのようなものである。このタイプは 9915 件(7%)である。
名乗っている HELO ホストは dnsquery によって調べた FQDN と一致しているので、どうやら MUA が自ら dnsquery によって自分の FQDN を調べて、それを HELO ホストに使っているらしい。
term% awk '{print $4}' r2.txt| grep '[^0-9.]*[0-9]+-[0-9]+-[0-9]+-[0-9]+' |wc
9915 9915 359539
これらの殆ど全てがスパムである。しかし、このタイプは入り口で拒否できないだろう。何故なら、(一般的に言えば、)正当なアクセスを拒否する可能性があるからだ。
IP から自動生成される動的 FQDN の形式は統一されていない。いくつかの例を挙げる。
167-80-246-201.adsl.terra.cl ([167-80-246-201]) riq34-1-82-240-245-107.fbx.proxad.net ([82-240-245-107])殆どはこのタイプである。
64.97-224-89.dsl.completel.net ([89.224.97.64]) adsl-dyn9.91-127-15.t-com.sk ([91.127.15.9]) host46-15-dynamic.11-87-r.retail.telecomitalia.it ([87.11.15.46])
wschod-114.tp.unicity.pl ([217.98.25.114])
5ac607fd.bb.sky.com ([90.198.7.253])
他方僕のサーバではホワイトリストに存在しないアドレスからのメールを単に
450 mailbox busy, try again laterと一旦拒否する方式をとっていた。これ自体かなり効果はあったのだが、
つまり僕はメールの内容を問題にしないのだ。企業からのメールや正当な配送ルートを通ったメールは静的 FQDN を持っておりテキストメールである限り排除されない。しかし「fukubiki.com」のようにブラックリストの中で個別に対応しなくてはならない相手があるが、それらは少ない。
以上の方法は1週間程の実施試験をみる限り非常に旨く働いているようであるが、説得力のあるデータは一年程経過しないと出せないであろう。
他方パソコンからの直接アクセスを機械的に拒否する事はできない。正当なユーザー(僕自身)が巻き添えになるからである。しかし現在では SMTP 認証が普及しつつあるので、認証されていない動的 FQDN によるアクセスは拒否して構わない状況にある。もしも動的 FQDN の確かな判定ができれば、MTA のレベルで殆どのスパムを刎ねる事も可能である。これがやれないのは単に動的 FQDN であることの確信が持てないからである。
以上の考察から社会的レベルでのスパム退治の第一歩は
企業ベースのスパムは以上の方法では対応できない。しかしそのような企業は限られているので個別の対応でやっていけるであろう。
現状ではスパムと通常のメールとの境界線は明確ではない。従ってメールボックスに投函される時に、表題に "[spam]" のタグを張るぐらいであろう。
動的 FQDN である事が不明朗な FQDN を与えている ISP からのメールは丸ごと拒否し、その名前を公表するのが良いかも知れない。
スパムの流通ルートが ISP の MTA 経由に限られてしまえば、ISP はスパムに責任を持てるようになる。スパムの巣窟となっている ISP は公表し、メールの受取を拒否するのが良いであろう。
僕は Outbound Port 25 Blocking は過激であり、他の弊害をもたらすと思っていたが、次の記事を見て考え方を変えた。