効果的なスパム対策技術。

スパムとは何かを知っている人はほとんどおらず、それを取り除いて欲しくない。 同時に企業のメールサーバーの「マスター」である人々は、最終的には、スパマーに対して多少なりとも効果的な救済策を持っています。





私たちはグレーリスト技術（グレーリスト）について話している。 簡単に言えば、この技術の本質は、相手のサーバーの標準への準拠を確認することと、文字の送信速度を制御することです。 4xxエラーを受信した場合、送信者のメールサーバーは後でメールを送信しようとします。 通常、スパマーはこのエラーを無視して、次の手紙を別の送信者からメールドメイン内の別のアドレスに送信しようとします。 その結果、この条件を満たさないすべての試行は破棄されます。



完全で詳細な説明が不当に多くのスペースを占めるため、テクノロジーのすべての微妙な点を理解したい人は、包括的な情報へのリンクを提供する検索エンジンに送ります。



方針。

各テクノロジーには、開発者からの多くの実装があります。 例外ではなく、グレーリストのテクノロジです。 最も成功した実装の1つであるポリシーについてお話したいと思います。 このプログラムは、人気のあるpostfixメールサービスと一緒にインストールするのが最も簡単で、以下に示すように、わずか数秒で接続します。



policydの本質は、メールサーバーとの外部からの接続のリストを維持することです。 システムにレターを最初に配信しようとすると、接続は最初から終了し、送信システムはメールシステムが一時的に利用できないことを示すメッセージを表示し、後でメッセージの配信を試みるよう招待されます。 同時に、送信者情報はMySQLデータベースに入ります。 送信側システムの送信者、受信者、IPのアドレスはデータベースに記録されます。 ポリシーシステムでは、このようなエントリはトリプレットと呼ばれます。



指定された期間（またはそれ以降）後に送信者がメッセージを再度配信しようとすると、最初の接続に関する情報が利用可能であることを確認および確認したため、Postfixがメッセージを受信し、ユーザーのメールボックスにメッセージを配信するために必要なアクションを実行できるようになります。



この送信者からシステムのユーザーへの後続の同様のメッセージはすべて遅延なく配信され、配信成功のカウンターは徐々に増加します。 送信者システムから当社への（同じトリプレットの）成功した​​配信の数が1つのドメインから別のドメインへの500接続のラインを超えた場合（この値は構成で調整することもできます）、送信システムのIPはホワイトリストに移動し、将来フィルタリングされません。



メッセージが再送信されない場合、次のシナリオが有効になります。 ゼロ値のトリプレットが500を超えると、ipシステムとの接続の失敗数も考慮されます。ipシステムもリストされます。 しかし、今回は黒で。 その後、このアドレスからのすべての接続はすぐに終了し、エラー550が発生します。これにより、メールシステムのリソースとトラフィックが確実に節約されます。



テクノロジーの本質が何であるかをすでに理解していると思います。 ご存じのように、ほとんどのスパマーソフトウェアは送信エラーを処理せず、再送信しません。 これは、グレーリストの長所と短所の両方です。 実際には、本格的なsmtp接続を確立し、すべてのルールに従って処理する本格的なシステムから送信されるスパムメッセージは、正当なメッセージと同じ方法で配信されます。 この理由は完全に透過的です-Policydはメッセージの内容を分析しません。 接続のみを制御し、許可するか切断します。



ただし、spamassassinまたはdspamを配置するための第2の防衛戦線に悩む人はいません（これは良いことです）。 つまり、メッセージ署名（いわゆるベイ）で機能するシステムです。



ポリシーをインストールします。

前述のように、それほど高度ではないメールシステム管理者であっても、policydの設定は難しくありません。 プロジェクトアドレス[1]で、システムの最新バージョンのソースをいつでもダウンロードできます（現時点ではバージョン1.80です）。 アーカイブのサイズは非常に小さく、わずか63キロバイトです。 Gentooユーザーは[2]でebuildを見つけることもできます。 すぐにポリシー付きパッケージがメインのPortageツリーに行くと思います。



アセンブリは事前設定を必要とせず、makeコマンドの出力には必要な説明が含まれています。

ルート：/usr/src/policyd-v1.80 /＃make



可能なオプションは次のとおりです。



ビルドする

インストールする| インストールストリップ

アップグレードする

きれいにする

最初に実行



ビルドする



そして



インストールする



実際のインストール用。 デフォルトでは、プログラムは/ usr / local / policydにインストールされます。 このディレクトリには4つのファイルが含まれます。 どこで：

クリーンアップ-データベースから古い情報を削除するためのプログラム。

policyd-実際のポリシーサービス。

policyd.conf-構成ファイル。

stats（gentooでは、このコマンドはpolicyd_statsと呼ばれます）は、Policydの作業に関する統計を表示するためのプログラムです。



PolicydはMySQLデータベースと連携するため、インストールと必要な権限の発行が必要です。 データベースをインストールする最も簡単な方法は、アーカイブに含まれる回路図ファイルからです。 これは簡単なコマンドで実行されます：



ルート：/usr/src/policyd-v1.80 /＃mysql -p <DATABASE.mysql



その後、mysqlに移動してPolicydのユーザーに権限を発行するだけです。

mysqlは、policydのすべてを許可します* 'somepassword'で識別されるpostfix @ localhostへ。

これで、Postfix構成ファイルにPolicydへの呼び出しを追加できます。 これは、main.cfで次のように行われます。 行内：



smtpd_recipient_restrictions =



グレーリストサービスに呼び出しを追加します



check_policy_service inet：127.0.0.1：10031



もちろん、これはポリシーサービスへのデフォルトの呼び出しです。 別のアドレスまたはポートを割り当てる場合は、ここでパラメーターを指定する必要があります。



トリプレットのクリーンアップとリストクリーニングを機能させるには、crontabに次の行を追加します。

0 * * * * / usr / local / policyd / cleanup -c /usr/local/policyd/policyd.conf

または、/ etc / cron.hourlyディレクトリに同様のbashスクリプトを配置します



gentooのパッケージの場合、/ etc / cron.hourlyに必要なスクリプトが自動的にインストールされます。



その後、Policydのインストールは完了したと見なすことができます。



ポリシーを設定します。

すべてのポリシー設定は、/ usr / local / policyd / policyd.confファイルで行われます。 この記事では、主にグレーリストの操作に注意を払いますが、プログラム自体にはさらにいくつかの設定と機能があります。 それらに関する情報が必要な場合は、おそらくそれらを最も効果的に使用する方法に関する別の追加記事を書くでしょう。 それまでの間、構成ファイルの最も重要なパラメーターに注意を払いましょう。 一般に、構成ファイルにはかなり理解しやすいコメントが備わっており、英語の技術言語の最低限の知識で非常に単純なものを把握することに注意する必要があります。



まず、これらはMySQLデータベースにアクセスするための設定です。 変数MYSQLHOST、MYSQLDBASE、MYSQLUSER、およびMYSQLPASSにはそのような「おしゃべり」の名前があるため、それらの意味を説明する価値はないと思います。



FAILSAFEは、データベースへのアクセスがない場合にポリシーが電子メールをスキップすることを許可します（または許可しません）。 私にとっては、MySQLが機能しない場合、Postfixは文字をどこに置くかわからないため、このオプションは関係ありません。



DAEMON CONFIGセクションでは、次のオプションが興味深いです：



DEBUG = 3は、手始めに、Policydの作業に関する非常に詳細な情報を見たいことを示します。



DAEMON = 0は、ポリシーとしてサービスとしてではなく、アプリケーションとして起動されることを意味します。 その後、このパラメーターを1に変更します。



BINDHOSTとBINDPORTは、Policydへの呼び出しがあるアドレスとポートを示します。



SYSLOG_FACILITY = "LOG_MAIL | LOG_INFO」は、サービスの操作に関する情報が、メールシステム自体の操作と同じファイル（ほとんどのシステム）のsyslogに反映されることを示しています。



CONN_ACLは、どのネットワークアドレスがサービスへのアクセスを許可されているかを示します。



次は、構成ファイルの2つの最も重要なセクションです。 これはホワイトリストとブラックリストです。 それらの変数は、もちろん名前を除いて同一です。 ある場合は白、別の場合は黒。



WHITELISTING = 1およびBLACKLISTING = 1は、それぞれブラックリストとホワイトリストを含めることを意味します。



AUTO_WHITELIST_NUMBER = 500およびAUTO_BLACKLIST_NUMBER = 500は、500個の成功した（失敗した）トリプレットを蓄積した後、ホストがホワイト（ブラック）リストにリストされることを意味します。



AUTO_WHITELIST_EXPIRE = 7dおよびAUTO_BLACKLIST_EXPIRE = 7dは、リスト内の情報の有効期限が7日間であることを示します。 7日ごとに1回、ホストは両方のリストから削除されます。 この変数は一部の人にとっては疑わしいものです。 送信システムが正常になる可能性があると誰もが信じているわけではありません。 ただし、Policydを完全に自動化するには、これらの設定を有効のままにしておくことをお勧めします。



BLACKLIST_REJECTIONオプションは、ブラックリストの説明セクションでのみ使用でき、そこからメッセージを配信しようとしたときにリスト内のシステムに表示されるメッセージが含まれています。



ここで、グレーリストシステム自体の設定（GREYLISTING）が含まれる最も重要なセクションに注目しましょう。



GREYLISTING = 1は、グレーリストを使用することを示します。



BLEYLIST_REJECTIONと同様のGREYLIST_REJECTIONには、メッセージが最初に送信されたときに送信システムに送信される文字列が含まれています。



GREYLIST_X_HEADER = 1は、グレーリストを正常に通過したすべてのメッセージにx-headerを含めるかどうかを示します。



テスト段階ではTRAINING_MODE = 0が必要です。 このオプションはスキップし、使用しませんでした。 変数が1に設定されている（つまり有効になっている）場合、Policydは画面（またはログファイル）に作業の結果を表示するときにテストモードで動作しますが、Postfixがメッセージを受信することを防ぎません（つまり、実際にメールの作業に参加しません） 。



TRIPLET_TIMEは、メッセージの2回目の配信試行（最初の試行時から）後、メッセージが受信および配信されるまでの時間を示します。



TRIPLET_AUTH_TIMEOUT = 30dは、成功したトリプレット（配信済み）に関する情報が30日間保存されることを意味します。 このパラメーターは、成功したすべてのトリプレットが永久に保存されないようにするために必要です。 たとえば、誰かからのメッセージが2つしか配信されず、この人との通信が終了した場合。 したがって、データベース内の無駄なゴミを最小限に抑えるために、ささやかな貢献をします。



TRIPLET_UNAUTH_TIMEOUT = 2dのアナロジーは、失敗したトリプレット（配信されない）に関する情報が2日間保存されることを意味します。



これで、ここで終了するように注意したいパラメーター。 これで、PolicydおよびPostfixを安全に実行し、システムにメッセージを配信しようとするとどうなるかを確認できます。



すべてが正常に動作し、詳細なログを確認していることを確認した後、DAEMONパラメーターを1に設定し、ログレベルを詳細度の低い設定に設定することを忘れないでください。



おわりに

正直なところ、私はPolicydのインストール時に発生する可能性のある問題を認識していません。間違いを犯す場所がないようです。 私からは、会社の企業サーバーにグレーリストをインストールした後、負荷が数桁減少したことに注意してください。 spamassassinへの呼び出しは大幅に少なく（このソフトウェアはperlを使用することで達成される「速度」で知られています）、突然発生したサーバーアップグレードの緊急の問題がバックグラウンドに後退しました。 さらに、ウイルスはスパムと同じ方法で送信されるため、システムは膨大な数のウイルスから保護されます。多くの場合、ウイルス対策はこれを認識する時間がありません。 （特に、製品を所有しているKaspersky Anti-Virus Labの作業品質を考慮しています。しかし、これはこの記事の別の話ではありません。）



Policydの効果をより明確にするために、金曜日の夜から月曜日の朝までの間に500〜600通を超えるスパムメールを受信した場合、その数は15〜20にかなり減少したと言えます。



数日後の私のシステムからのstatsコマンドの出力は次のとおりです。

グレーリスト：トリプレット情報

->

トリプレット：-> 42523

検証済み：-> 1811

未検証：-> 40712



コメントは不要だと思います。



ところで、統計は次のように実行されます：

cd / usr / local / policyd

./stats –c policyd.conf

さらに、ポリシーモードでデーモンモードで動作し、syslogを介してログを記録している場合、statsコマンドの出力がログファイルに表示されるという事実に注意する価値があります。



スパムに直面して頑張ってください。



[1] -policyd.sourceforge.net

[2] -bugs.gentoo.org/show_bug.cgi?id=112261



（c） キーパーのアレクセイ・コルシュノフ。

OSAという名前の雑誌「システム管理者」の電子サプリメントで初めて公開されました。