プレゼン資料( EBUG用).pdf

Similar documents
ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

Microsoft PowerPoint 第一期_spamPPT_ ppt

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

+abmail 迷惑メール対策サービス 迷惑メール判定プログラム abmail による スパム対策の導入のすすめ 株式会社あいはら 研究開発チーム 山田 泰司

PowerPoint プレゼンテーション

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

迷惑メール対策[Barracuda]操作マニュアル

PowerPoint プレゼンテーション

メールアドレスを登録したい イッツコムでは標準でメールアドレスが 5 つまで登録可能です 6 つ目以降につきましては 1 メールアドレスにつき月額 300 円 ( 税抜 ) のオプション料金が発生します メールアドレスは 任意設定 サブドメイン.itscom.net になります お客さ

DNSとメール

目次 1 本マニュアルについて 設定 利用サーバについて sendmail postfix qmail そのほかのメールアプリケーションについて /7

SMTP FP Mail MX /

サービス内容 サービス内容 アルファメールプレミアのサービス内容についてご案内します このたびは アルファメールプレミアをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプレミアをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によ

( )

アジェンダ DNSBLのおさらい 当社メールサーバへの導入 DNSBLに登録されちゃった ネットワーク構成の変更 まとめ Copyright (c) 2014 Global Network Core Co.,Ltd. 1

<4D F736F F D2096C B838B B835E838A F B E92CA926D B838B5F E315


著作権情報 本ドキュメントは 著作権法で保護された著作物で その全部または一部を許可なく複製したり複製物を配布 したり あるいは他のコンピュータ用に変換したり 他の言語に翻訳すると 著作権の侵害となります ご注意 予告なく本書の一部または全体を修正 変更することがあります また 本製品の内容またはそ

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

ウィルスチェックサーバの動作内容

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

1.indd

PowerPoint プレゼンテーション

導入ドキュメント

迷惑メールチェックサービス設定マニュアル rev /7/6 株式会社イージェーワークス 1

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

電子メール グループ7 宇賀一登 小椋智泰 久岡敬司 矢野川真帆 1

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

製品概要

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

conf_example_260V2_inet_snat.pdf

LGWAN-1.indd

インストーラー 管理番号 内容 対象バージョン 230 HULFT がすでにインストールされているパスに対してサイレントインストールを実行すると インストールされていた HULFT の動作環境が不正な状態になる 7.3.0~7.3.1 ユーティリティ 管理番号 内容 対象バージョン 231 管理情報

エンドポイントにおける Web アクセス制御 概要ガイド

Powered BLUE メールプラス

PowerPoint プレゼンテーション

2. 留意事項利用する際には再度 メーリングリスト利用手引き をよく理解してから 利用してください また メーリングリストを管理画面にログインする際には ユーザ ID を必要としません これは管理者を定期的に変更して継続してメーリングリストを運営 管理することや 複数人で共同してメーリングリストを運

058 LGWAN-No155.indd

はじめに 本資料は Trend Micro Hosted Security の機能を説明する資料です 用語と略称について 本書では 下記の略称を用いています Trend Micro Hosted Security HES Trend Micro Reputatio

1. ログイン 1. 下記の URL よりアクセスしてください 2. が表示されたら ユーザ名 ( 親 ID) とパスワード ( 親 ID パスワード ) をそれぞれの欄に正確に入力し ログイン ボタンをクリックしてください 3. ログインが完了すると メニュー

戦略法の提案

Microsoft Word - MyWebPortalOffice_Levelup.doc

シスログ@クラウド ログレイアウト_

SMTP ルーティングの設定

Mobile IPの概要

夏合宿発表

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

<4D F736F F D F96C B838B91CE8DF491808DEC837D836A B76312E342E646F63>

030403.インターネット問題

PowerPoint プレゼンテーション

起動する 起動方法は ご使用の OS により異なります 同一ネットワーク内で 本ソフトを複数台のパソコンから起動すると 本ソフト対応の LAN DISK にアクセスが集中し エラーとなる場合があります [ スタート ] メニュー [( すべての ) プログラム ] [I-O DATA] [LAN D

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

Fujitsu Standard Tool

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

サービス内容 サービス内容 アルファメールのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主な内容 > メールサ

経路奉行の取り組み

Mcafee

スライド 1

コントロールパネルメールアカウント登録 設定手順書 内容 コントロールパネルへログインする... 2 メールアカウントの新規作成... 4 メールアカウント設定: 共通項目... 7 メールアカウント設定: メールアドレスおよびパスワードの変更... 8 メールアカウント設定: 転送設定... 9

改版履歴 版数改版年月日改版履歴担当 初版 2017 年 11 月 22 日新規作成新規作成雲林院 年 11 月 28 日更新 送信設定を追記 コアサーバー契約情報を更新 雲林院 年 12 月 07 日更新 Gmail によるメール受信フィルタの作成方法を記載雲林

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

Trend Micro Cloud App Security ご紹介資料

H27組織改定

修士論文進捗報告

MailArchiva MailArchiva パブリックイメージ for NIFTYCloud 初期設定マニュアル メールアーカイブのための基本設定マニュアル 第 1.0 版 2011 年 8 月 22 日有限会社ディアイピィ

当社は 7-dj.com DNS アウトソーシングサービス に加入したく 7-dj.com インターネットサービス規約を承認の上 下記の通り申込みます 初期費用 月額費用は貴社の指定する課金方法にて支払います お申込者申込年月日年月日 フリガナ 法人名 フリガナ ご住所 フリガナ 連絡担当者氏名 (

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

PowerPoint プレゼンテーション

プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

<4D F736F F D B838B838A836A B B82C98AD682B782E982B288C493E05F E636F6D5F2E646F63>

WLX302 取扱説明書

1

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

TFTP serverの実装

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

PowerPoint Presentation

人類の誕生と進化

広告メールの件名規制にともなう スパムメールへの対策 リスク工学グループ課題 13 番インターネットセキュリティ担当教官 : 片岸一起 河副文夫 鎌田芳雄 多賀慶 1

PLESK 操作マニュアル - 目次 - ログイン / ログアウト...3 データ利用状況一覧...5 データ使用量の確認...6 アカウント情報 ( 企業名 担当者 住所 ログインパスワード メールアドレス等 ) の編集...9 コントロールパネルのパスワードを忘れた場合...10 メールユーザー

PowerPoint プレゼンテーション

目次 1. はじめに 動作環境と操作上の注意事項 動作環境 操作上の注意事項 開始と終了 開始 終了 レコード情報編集 レコード情報編集の表示と基本操作


- 目次 - 1. SecureSoft SpamHunterとは SecureSoft SpamHunter 特長 SecureSoft SpamHunter 技術... 3 A. SMTPエンジンのスパム遮断技術... 3 B. スパム遮断技術... 4 C. ウ

antiabuse.gby

SMTPエラーコード表

Microsoft Word - swmanual.doc

ログイン / ログアウト ログイン / ログアウト アルファメールプレミアをご利用いただくには 会員サイトからログインする必要があります ご利用後は 必ずログアウトしてください ログインする 管理者から割り当てられたメールアドレスとパスワードを入力してログインします ログイン後に表示されるご利用メニ

登録フォーム/IIJ DNSサービス編

NW_FG_P1_rgb

(Microsoft Word - \203\214\203\223\203^\203\213\203T\201[\203o\220\335\222\350\203K\203C\203h_ doc)

5. sendmail.cf

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

【EW】かんたんスタートマニュアル

メール送信テストツール手順書

アルファメール 移行設定の手引き Outlook2016

_mokuji_2nd.indd

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

Barracuda SSL VPN

Transcription:

Rgrey 他によるスパム対策事例 株式会社ネットフォレスト植田裕之 <ueda@drweb.jp>

アジェンダ スパム対策の基礎 ( メールサーバ ) Greylist と S25R その問題点 Rgrey HELO チェック コンテンツフィルタ

スパム対策の基礎 (@ メールサーバ ) 1 IP レベル IP blacklist, RBL, S25R, Greylisting etc. 2 SMTP レベル HELO/Sender blacklist, Sender Check etc. 3 コンテンツレベル Dr.WEB, SpamAssassin etc. 負荷 : 低 負荷 : 高

IP レベルでの制御 S25R(Selective SMTP Rejection) 1. 逆引きできないクライアントを応答コード 450 ( 後で再試行せよ の意味 ) で拒否 2. 逆引き名からメールサーバでないと推定されるクライアントを応答コード 450 で拒否 3. 応答コード 450 による拒否に対して規則的に再試行する正当なメールサーバをホワイトリストで救済 http://www.gabacho-net.jp/anti-spam/ 正当なメールサーバは逆引き設定されている 動的 IP アドレスから送られるメールはスパム という仮定に基づいている

S25R の動作イメージ S25R 条件 ^(dhcp dialup ppp adsl adsl-ppp)[^\.]*[0-9]... /^unknown$/ マッチせず 1. 接続元 IP アドレスを逆引き 2. 得られたホスト名をチェック 3. 条件にマッチしたら一時エラーで拒否 マッチ DNS の逆引き結果のみを判断材料とするため コンテンツフィルタよりも低い負荷でスパムホストを排除可能

S25R の問題点 逆引きが設定されていないメールサーバが結構ある ( セキュリティポリシー?) 真っ当なところでも S25R 条件にマッチしてしまうホストが結構ある ( フレッツの逆引きサービスを提供しない ISP は多い ) ログを定期的にチェックして正常なホストを救済するためにホワイトリストの管理が必須 ( やらないと一時エラーから永遠に救済されない = 拒否と同じ )

IP レベルでの制御 - Greylisting( 一見さんお断り方式 ) 1. 接続してきた相手の IP アドレスを確認し 初めての相手であれば一時エラー (4xx) を返す 2. 規定回数 and/or 規定時間になるまで一時エラーを繰り返す 3. クリアしたら接続を受け付けて処理を行い 一時リストに IP アドレスを登録 4. 規定時間経過後 一時リストから削除 ボットネットはあまり再送してこない 正常な MTA は一定回数の再送信を試みる という特徴を利用している

Greylisting の動作イメージ Greylist 条件 接続が初めてではない規定回数 or 規定時間を越えて再送 マッチ 1. 接続元 IP アドレスがデータベースにあるかチェック 2. あれば処理を継続 3. なければデータベースに登録した後 一時エラーで拒否 送信元 IP アドレスとその接続試行時期 回数などを判断材料とするため コンテンツフィルタよりも低い負荷でスパムホストを排除可能

Greylisting の導入事例 JAL グループ ミラポイント社のアプライアンス製品 (RazorGate) は Greylisting が利用可能 8 万通のスパムを半減 3 ヶ月の事前調査 ( 取引先メールサーバの挙動確認 ) http://itpro.nikkeibp.co.jp/article/news/20051115/224650/

Greylisting の問題点 初めてメールを送ってきたホストの場合 必ずメールが遅延する ホワイトリスト未登録のホストの場合 一定時間経つと一からやり直しになる ログを定期的にチェックし 誤って greylisting されているホストを救済するためにもホワイトリストの管理が必須 ( やらないと配送遅延が発生する可能性が高い )

IP レベルでの制御 Rgrey(S25R + Greylisting) S25R 条件 ^(dhcp dialup ppp adsl adsl-ppp)[^\.]*[0-9]... /^unknown$/ 1. 接続元 IP アドレスを逆引きし 得られたホスト名をチェック (S25R 条件 ) Greylist 条件 マッチせず マッチ 2. S25R 条件にマッチした場合 Greylist 条件をチェック 接続が初めてではない規定回数 or 規定時間を越えて再送 マッチ 二つの条件を満たした場合のみ一時エラーで拒否する (AND 条件のため誤判定が少ない ) http://k2net.hakuba.jp/rgrey/

IP レベルでの制御 Rgrey(S25R + Greylisting) つづき S25R にマッチ && Greylisting を通過したメールには X- ヘッダを付加すれば 後段プログラム (procmail や MUA) の機能でフィルタ可能 X-Envelope-Information: match S25R Received: from webservicefeature.info (unknown [216.151.155.63]) by foo.drweb.jp (Postfix) with SMTP id A5B7CEF8049 for <Ueda@drweb.jp>; Tue, 26 Aug 2008 12:02:32 +0900 (JST)

Rgrey の実装 Postfix + Postgrey が最もメジャー FreeBSD なら両方とも ports にある mail/postfix mail/postgrey cf. postfix 以外での Rgrey 実装例 sendmail scam-grey(http://www.elandsys.com/scam/scam-grey/) qmail Qgrey(http://k2net.hakuba.jp/qgrey/) Qgrey はコードを見る限り 実運用はちょっと微妙

Rgrey の実装 ( 検証環境 ) 最もメジャーな構成の某サーバで実運用中 OS CentOS 5.2 MTA Postfix(2.3.3-2.1.el5_2) Greylist Postgrey(1.31-1.el5.rf) 評価対象 個人ドメイン ( 98 年取得 ) の以下のアドレス webmaster 他 3 個 ( ほぼスパム受信専用アドレス ) 担当者アドレス (10 年以上使用しており かなりのスパム被害 )

Rgrey の効果 (webmaster@... など宛 ) Rgrey を導入 156msgs/day 7msgs/day 95% 強のスパムを排除することに成功!

Rgrey の効果つづき ( 担当者のアドレス ) msgs 10000 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 総受信量 -92% ham -10% spam -94% 2008/6 2008/7 2008/8 2008/9 2008/10 ham spam bounce メールボックスに入るメールの総量が大幅減 ( 選別容易に ) ML の流量が少ないなどの理由 ( 誤排除ではない )

ホワイトリスト ブラックリストのメンテナンス ホワイトリスト チケットぴあ (pia.jp) google の 2 回対応 チケットぴあは遅配 google(google Apps?) は別ルールにマッチして拒否 orz ブラックリスト 最初の 1 ヶ月で数回程度 後はたまに追加する程度 細かく詰めてもあまり意味が無い ほぼメンテナンスの必要なし

柔軟な設定が可能 (Rgrey on Postfix の場合 ) 送信者の IP アドレスだけではなく 送 受信者のアドレスもホワイトリストで利用可能 (= 個別 on/off 可 ) smtpd_delay_reject = yes の場合の挙動 Qgrey だと接続段階で処理するため 送受信者情報が取れない

柔軟な設定が可能 (Rgrey on Postfix の場合 ) つづき 1 Aug 27 09:51:13 test postfix/smtpd[8164]: NOQUEUE: reject: RCPT from unknown[121.33.213.253]: 450 4.2.0 < ueda@drweb.jp >: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/drweb.jp.html; from=<xxxxxx@veriserve.co.jp> to=<ueda@drweb.jp> proto=esmtp helo=<[121.33.213.252]> 事後対応に必要な全情報の記録後に切断 /var/log/maillog % geoiplookup 121.33.213.253 GeoIP Country Edition: CN, China ー中国の IP アドレス % host veriserve.co.jp veriserve.co.jp has address 210.150.254.86 % geoiplookup 210.150.254.86 GeoIP Country Edition: JP, Japan ー日本の IP アドレス cf. net/geoip

柔軟な設定が可能 (Rgrey on Postfix の場合 ) つづき 2 http://postgrey.schweikert.ch/help/drweb.jp.html

Rgrey の問題点 真っ当な逆引き設定のあるホストはフィルタできない 95% の残り 5% をどこまで IP/SMTP レベルで弾くのか? IPv6 になったらどうなる? 逆引き設定が IPv4 より面倒になるので サーバ以外は全部 unknown とかだとベストだけど 一度しか送信してこない S25R なホストは救えない Web フォームからの送信メールなど ( 筋が悪すぎ?) 複合的なスパム対策で更に弾く 検出することは可能

提案 :postfix 以外のメールサーバを使っているなら MX をこれらのサーバに向ける Tips: 後段 MTA が sendmail などであれば postfix + Rgrey サーバ smtpd_recipient_restrictions = reject_unverified_recipient すると存在しないアドレス宛のメールも Rgrey サーバでブロック可能 qmail サーバ sendmail サーバ 2nd MX としてテスト導入 全 MX に適応 など 上手くやればスムーズに導入可能と思われる

実際のスパム対策 Whitelist (recipient) Whitelist (sender s IP) Appending X- header 最終段で初めてコンテンツフィルタ (Dr.WEB Antivirus + Antispam) が処理するため 負荷が最低限で済む DNS の頑張り重要 - dnscache(djbdns) が good

SMTP レベル - HELO check はかなり効く 1/2 嘘つきメールサーバ NG 大手 xsp を HELO/EHLO で騙る S25R なホストは一網打尽 例 :8/3~8/10 の間の拒絶数 yahoo.co.jp 53 回 a-net.ne.jp 26 回 mail.goo.ne.jp 22 回 infoseek.jp 16 回

SMTP レベル - HELO check はかなり効く 2/2 自ドメイン名? 自ホスト名? 自 IP アドレス? 自ドメイン名や自ホスト IP アドレスを名乗るホストは一網打尽 例 :8/3~8/10 の間の拒絶数 ドメイン名 13 回 ホスト名 0 回 MX 名 26 回 IP アドレス 142 回

コンテンツレベル - Dr.WEB メールデーモン - 1/4 高速 軽量アンチスパムエンジン Vade Retro を搭載 検知ルール データを2MBytes 強のアンチスパムエンジンに内蔵 メモリ ディスク消費量が他社製品と比較してごくわずか 外部データベース パターン参照が不要なため高速 軽量 ルール データの更新はエンジンごとアップデート (HTTP 経由 ) 学習不要 導入直後から 90% 以上の高い検出率を実現 日本語は 90% 以上 非日本語は 98% 以上の検出率 ( 誤検出は 0.3% 未満 ) 複数のスパム検出テクノロジーを採用 新種ウイルス スパムも予測的ヒューリスティック技術で即座に検出 遮断 最も危険な 感染拡大期 に有効な防御技術 エンジン更新無しで対応可能

コンテンツレベル - Dr.WEB メールデーモン - 2/4 ほぼ毎日エンジンをアップデートし 常に最新技術による効果的なスパム検出を実現

コンテンツレベル - Dr.WEB メールデーモン - 3/4 V.R. エンジンの処理時間 25,000 20,000 82% 弱が 50ms 以内 97% 弱が 100ms 以内にメール検査を終了 メッセージ数 15,000 10,000 5,000 0 ~ 50 ~ 150 ~ 250 ~ 350 ~ 450 ~ 550 ~ 650 ~ 750 ~ 850 ~ 950 ~ 1050 ~ 1150 ~ 1250 1350 以上 ミリ秒

コンテンツレベル - Dr.WEB メールデーモン - 4/4 正常メール処理 スパムメール処理 0% 1% 0% 0% 100% 99% ham f.p. spam f.n. bounce virus 2008 年 6 月のメインアドレスでのデータ

参考データ :SpamAssassin との比較 20.0 18.0 16.0 14.0 Pure MTA MTA+VadeRetro MTA+SpamAssassin mail/sec 12.0 10.0 8.0 6.0 4.0 2.0 0.0 exim postfix qmail sendmail VR/SA = 12 ~ 17 倍のスループット

まとめ 小規模サイトで Rgrey を導入 95% 程度のスパムを排除 誤排除は今のところ無し ほとんどメンテナンス不要 ( 精度上げるなら必要 ) postfix 以外でもゲートウェイとしての使用が可能 残り 5% も色々やれば排除可能 HELO チェックはかなり効く 最後はコンテンツフィルタがやっぱり必要

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック