taRgrey

スパム対策についての要望が非常に多い
メールアドレスへの愛着が既存ユーザをつなぎとめている

• スパムの現状
  • 海外 90%以上
  • 日本語 70ー80%
  • 年々増加している

スパムはBotから送信されている(97%)
スパムの大半は海外の動的IPから
Botが直接相手のISPのサーバのに接続して送信されている
日本語のスパムのはOP25Bにより激減

• Botnetは寡占
  • Bot総数は不明だが、何１００万台という単位
  • 少数のBotnetが大半のスパムを送信している(５種類程で90%のスパムを送信)
  • Botnetの癖がわかれば対処可能

• 日本語スパム
  • 中国、フィリピン、タイ等からの半固定的IPから
  • quail/Postfixから

スパム対策はセキュリティ対策の一環
スパムでWebサイトへ誘導
誘導したサイトで各種脆弱性をついて攻撃

taRgreyはBotを狙い打ち

• スパム対策手法は大きく３種類
  • メールの内容
  • SMTPセッション
  • 送信の制限

• メールの内容で判断
  • 主に本文の内容を解析して判断(例: ベイジアンフィルタ)
  • キーワードとスパムらしさで自動学習
  • 他には、コラボレーションフィルタなど

• SMTPセッションレベルでの対策
  • セッション時の相手の癖で判断
  • 例: greylisting

• スパム送信時の制限
  • 例: OP25B/throttling

• taRgreyで利用するフィルタ
  • SMTPセッション情報を組み合わせて処理を行う
  • S25R
  • 動的IPっぽい逆引名を拒否
  • 逆引名とのパターンマッチ
  • 再送をログで確認して救済
  • 検出率も高いが誤検出も多い
• 90%程のスパムにヒット

• greylisting
  • 一時拒否して再送してきたら受け取る
  • 一時拒否(4xx)で返すと正しいMTAは再送してくる
  • 95%程のスパムにヒット

• tarpitting
  • SMTPセッションの返答を何十秒か待たせる
  • 設定だけで簡単に出来る
  • 90%程のスパムにヒット

これらの手法の利点
処理が軽い
判定の揺れが無い
スパム除去率は85-95%

• S25Rの問題点
  • 誤検出が多い
  • ログでの確認で誤検出対応するのは大規模サービスでは現実的ではない

• greylistingの問題点
  • メールの遅延
  • 再送しない正しいサーバや違うIPから送ってくると再送と認識しない(再送を専用のMTAなど)

• tarpittingの問題点
  • 待ち時間を短くしているサーバも存在する(RFCでは５分推薦)
  • プロセス数の増加

誤検出がない事を重視すべき
検出率に目が行くが運用上重要なのは誤検出
重大な誤検出が起こるとユーザは使ってくれない
仕事が増える
人が判定するよりご検出が少なくなるのが最低ライン

誤検出や遅延がなくなるように組み合わせる
多重に組み合わせるのではなく嬢権を絞ることに使う
一つの仕組みでシンプルなシステムにこだわると逆に誤検出や負荷の問題が起こりやすい

• Rgrey
  • S25R + greylisting
  • 動的IPっぽい接続に対してのみgreylisting
  • selective greylisting
  • S25RはDNSBLと比べて結果が揺れない
  • 95%弱のスパムをヒット

• Starpit
  • S25R + tarpitting
  • 怪しい接続tarpitting
  • S25Rに引っかかった時の遅延がなくなる
  • メールマガジン配信などが引っかかりやすい
  • 85%程のスパムをヒット

• tarRgrey
  • S25R + tarpitting + greylisting
  • 怪しい接続のみtarpitting
  • S25Rで引っかかった時の遅延が無い
  • メールマガジンを自動救済
  • 85%程のスパムにヒット

• taRgreyの目的
  • 誤検出や遅延、負荷増化なく大部分のスパムを削減する
  • taRgreyのバックに２次フィルタを入れても判定方法が異なる為被りが少ない

• 検出実績
  • 69% SPAM
  • 93% S25R SPAM Match
  • 91% tarpitting SPAM Match
  • 85% taRgrey SPAM Match
  • 64% S25R Not Match

• tarpitting
  • 10秒や60秒などの区切りとなる時間で落ちて行く

• 中規模での４年半運用実績
  • Starpit
  • 36,000アカウント 30サーバ
  • 誤検出 35アカウント

• 誤検出例
  • 中国、東南アジアのメールサーバ(逆引設定されていない)
  • バラクーダのセキュリティアプライアンス

• 日本語スパム用個別フィルタ
  • HELOのブラックリスト
  • MTA自信のIPアドレス
  • m20.mayflies.netなど

• 法的問題
  • 電気通信事業者がフィルタを掛けることは大抵電気通信事業法に抵触

まとめ
taRgreyは・・・
誤検出や地縁がない事を重視した設計
具区数の手法の弱点をカバーし合う様に組み合わせている
検出率もそこそこ高い

ケーブリング哲学

• ケーブリングの重要性
  • 重要性を意識しないと、見た目にきれいじゃないので、上司や取引先からの視線が痛い
  • トラブルシュートに時間がかかる
  • なんだかわからないけど、遅くなったり、切れたり
  • LANケーブル用途別にケーブルが違う

• パッチケーブル
  • パッチ間の配線に使用
  • 曲げに強いが、短い距離でしか使えない(〜5M)
  • 配線しやすいように柔らかい

• 自作ケーブルの危険性
  • 売っているケーブルは一本一本テスターで検索されている
  • 高い周波数の電流をながしても通るか検索してる
  • コネクタ部分のより戻しが短くなってきているので、自作では難しい
  • 圧着機とコネクタの相性が悪いと中のケーブルを潰してしまう

• 整線
  • ラックの大きさによる違い
  • 整線に便利なアイテム

• ラックの大きさによる違い
  • 横に隙間がなければ扉との隙間

• 整線に便利なアイテム
  • ケーブルダクト

• 干渉
  • LANケーブル同士
  • 電源ケーブルとケーブル同士

• LANケーブル同士の干渉
  • 平行に這わした場合
  • 平べったいケーブル

• 電源ケーブルとの干渉
  • ノイズ
  • 電磁誘導

• ラベル
  • 結束バンドについているもの
  • ケーブルに巻きつけるもの
  • ケーブルの用途がわかりやすい
  • 何処に行っているかがわかる
  • 管理できる

負荷分散、ストレージ周り、障害のポイント、アクセス増加が話に多く出てた印象でした。
考えるべき点が多いジャンルだと再認識しました。