Spam対策と問題点

もっとも古典的なSpam対策であるDNSのチェックおよび前節で指摘した大口のSpam送信ISPを排除した効果は，前述したように，図2および図3に示されている．図3中の1月，2月のSpam量の落ち込みは，それぞれ1月は，大口(comcast.net,client.attbi.com等の表1中のISPおよび明白に動的アドレスとわかるドメイン)からの接続の拒否，2月はDNS検索による受信拒否を行った結果である．3月の配送量の落ち込みは，特定のSpam発信に利用されたドメイン名（gfk.seドメイン）からのメール受領拒否設定に対応している．しかしながら，対策開始と同時に，Spamメールの顕著な減少という明白なフィルタの効果とともに，正常なメールの受信数の落ち込みとメール配送の許容できない遅延がみられるようになった．問題のメール配送遅延は，設定（1月16日，2月14日，3月17日の午前9時）から2〜3時間で始まり，MTAの再起動やシステムのリブートでは回復しなかった．1月および2月に発生した配送遅延は，Spam拒否設定を解除後1週間で正常に戻った．

このメール配送異常の考えられる原因として，
（1）Spam拒否設定のためのシステム資源不足
（2）Spamの短期的集中によるシステムの資源不足
（3）Spam発信者からのメール中継システムへのDDoS攻撃
が考えられる．

しかし，Spam拒否設定解除の効果が，数日以上経過しないと見えてこない事実から，（１）の資源不足は直接の原因とは考えられない．（２）ならば， Spam拒否設定の有無にかかわらず発生するはずである．また，メモリーリークのような資源不足が原因であれば，システムの再起動によって回復することが予想される．しかしながら，1月から3月にかけて発生した異常は，MTAの再起動やシステムの再起動を繰り返しても解決しなかった．したがって，（３）のDDoSの可能性がもっとも高いと考えられる．

3月の異常については，関係する拒否ドメインが1個のみなので，原因をDDoSと仮定して，問題が長く継続しないと予想して解除しなかった．実際に，予想どおりに異常な状態は約一週間で収束した．

問題の原因を明白にするためにSpam数の変動と中継サーバへの外部からのSMTP接続の状況の関係を調べた．期間はログが得られた2月1日から3月31日の範囲である．その結果を図5に示す．図5から，拒否設定を行った直後から，完結しないSMTP接続（lost connection）が増加し1週間近く継続していることが読み取れる．
システムが接続数の増加による負荷に対応できず，その結果ロストコネクションが発生している可能性も捨てきれないので，さらにコネクト数とロストコネクション数の比について調査した．ログのローテーションの関係で，図5と1週間期間がずれているが，比の変化を図6に示す．

問題の期間中，中継サーバのMTA（postfix）で設定した受信プロセス数の上限までの接続が常時存在した．ログからは，コネクトしたままタイムアウトまで放置する，もしくは，コネクトして切断するという状況が継続して発生していたように見えたが，図6からも異常な接続の存在が見て取れる．なお，図6の4月に発生している異常は，システム再起動によって解決したので，3月までのSpam拒否設定による問題とは原因が異なると考えられる．