[目次]
[1ページ目]
[前ページ]
[次ページ]
[質疑応答]
2004年度システム技術分科会 第1回会合
Spamメール解析とSpam対策
(5/9)
Spamはどこから来るか?
ヘッダから抜き出したSpam発信元のIPアドレスを元に逆引きを試みた.表1に,Spam発信に利用されたドメインの名前と当該ドメインからのSpamメール送付件数を示す.ただし,Spamメール発信数の少ないドメインについては,まとめて示している.
表1 IPアドレスから見たSpam送信ドメイン
ドメイン | 送付件数 | 比率(%) |
---|
shawcable.net | 221 | 1.13 |
swbell.net | 262 | 1.34 |
charter.com | 282 | 1.44 |
dsl-verizon.net | 284 | 1.45 |
adelphia.net | 293 | 1.50 |
ameritech.net | 320 | 1.63 |
pacbell.net | 362 | 1.85 |
optonline.net | 390 | 1.99 |
attbi.com | 711 | 3.63 |
発信1回 | 731 | 3.73 |
rr.com | 822 | 4.20 |
発信10回以下 | 1360 | 6.95 |
発信200回以下 | 1432 | 7.31 |
発信100回以下 | 3806 | 19.44 |
comcast.net | 2181 | 11.14 |
未設定 | 6125 | 31.28 |
合計 | 19582 | 100.00 |
Spam送付に使われたホストのうちで,DNSの逆引きが設定されていないものが約32%存在する.これに対して,200通以上(割合にして1%以上)Spamメールを発信したドメインは非常に限定されていることが見て取れる.表では,ISP単位にまとめているために読み取れないが,DNSの逆引き結果をみると,大量のSpamメールはISPがDHCPにより動的に割り当てていると推定される名前のホストから発信されるケースが大半をしめている.
HELOコマンドで与えられる情報と実際に接続してきたホストのドメイン名との一致度を調べると,結果は図4のようになる.図3および図4から,逆引きが設定されていないものおよび逆引きとHELOパラメータ値の不一致の排除に,大量のSpamを送付してくるISPのアドレスの排除を組み合わせると約6割のSpamメールが排除できそうである.ただし,DNSで引けるかどうかだけの検査だけでは,大規模ISPのブロードバンド端末からのSpam発信は,排除できないこともわかる.
以上は,IPアドレスから見たケースであるが,メールヘッダのFromから見た場合の差出人の所属ドメインの分類は表2のようになる.もちろん,SpamメールのFromの値は詐称されているのが普通なので,これは詐称に利用されやすいドメインのリストでもある.なお,1回だけSpam発信元に使われるアドレスが5000近くあるので,データベースを利用して,初見のFromからの接続を一旦サーバエラーとして拒否する方式も考えられる.いわゆる「一見さんお断り」方式[5] も,30分程度の配送遅延を許容するならば一定の効果が見込まれる.
しかしながら,値やパターンでフィルタするという観点からは,IPアドレスもしくはISPのドメイン名でフィルタするのに対して,ヘッダのFromの値によるパターンマッチフィルタは,効率が悪いといえる.
表2 よく使われるFrom値
Fromのドメイン | Spam件数 | 割合(%) |
yahoo.com.hk | 101 | 0.50 |
yahoo.ca | 109 | 0.53 |
juno.com | 122 | 0.60 |
earthlink.net | 136 | 0.67 |
email.com | 148 | 0.73 |
LYCOS.COM | 156 | 0.77 |
excite.com | 184 | 0.90 |
mail.com | 190 | 0.93 |
attbi.com | 239 | 1.17 |
aol.com | 501 | 2.46 |
MSN.COM | 751 | 3.68 |
HOTMAIL.COM | 994 | 4.88 |
yahoo.com | 1665 | 8.17 |
100回未満 | 4547 | 22.30 |
1回きり | 4727 | 23.18 |
10回未満 | 5819 | 28.54 |
合計 | 20389 | 100.00 |
|