初期値では、RBL+にマッチした場合はSMTP応答コード550を、QILにマッチした場合は450を返す。
SMTPの応答コードは4xxは一時的なエラーを表し、5xxは恒常的なエラーを表す。
RBL+にマッチした場合、550が返されるため、恒常的に接続できないことを表し、QILにマッチした場合は、450が返されるため、一時的に接続できないことを表す。
これらの値は、ユーザにより400から599に設定変更することも可能である。
SMTP応答コード
550= Requested action not taken: mailbox unavailable
450= Requested mail action not taken: mailbox unavailable
| 固定リンク | コメント (0) | トラックバック (0)
CSC-SSMでの日本語の対応状況(SMTP)に関しては、以下の通り。
社外向け免責条項文 = 日本語に対応。
ウイルススキャン時の管理者、送信者、受信者宛の警告メール本文 = 日本語に対応。
同ウイルススキャン時のインライン警告メッセージ = 日本語に対応。
スパム検出時にメールSubjectに加えられるメッセージ = 英語のみ。日本語に非対応。
メールメッセージの主題、本文によるコンテンツフィルタリング = 日本語に対応。
添付ファイル名によるコンテンツフィルタリング = 英語のみ。日本語に非対応。
| 固定リンク | コメント (0) | トラックバック (0)
CSC-SSMのV6.1よりSMTPのスパム対策は、コンテンツスキャニング(メールヘッダもしくは、メールヘッダと本文をチェックする方法。IMSSなどで利用される方法)に加えて、レピュテーションサービスを利用する機能が搭載されている。(v6.0には、レピュテーションサービスを利用する機能は無い。)
レピュテーションサービスは、基本的にIPアドレスによるフィルタリング技術であり、信用できないIPアドレスをデータベース化し、そのデータベースを参照することでスパム判定を行う。
CSC-SSMでは、Approved IP Address(認定IPアドレス)という項目があり、これにより送信元のメールサーバのIPアドレス単位で、レピュテーションサービスによるスパムフィルタリングをバイパスすることも可能である。
先述の通り、レピュテーションサービスは、IPアドレスによるフィルタリング技術であるため、コンテンツスキャニングのようにメール本文やメールヘッダ、送信者や受信者のアドレスなどを用いてバイパスすることはできない。
CSC-SSMのスパムフィルタリングでは、レピュテーションサービスによるフィルタリングが先に動作し、その後、コンテンツスキャニングが動作する。そのため、スパムフィルタリングとして、レピュテーションサービスによるフィルタリングとコンテンツスキャニングを併用する場合において、メール本文やメールヘッダ、送信者や受信者に基づくスパムフィルタリングそのもののバイパスができない。
この点、例えばCSC-SSMを用いずに、sendmailやpostfixといったメールサーバで直接レピュテーションサービスが提供するデータベースをRBLとして登録する方法であれば、例えば、postfixであればcheck_recipient_accessなどによって、受信者によるフィルタリングのバイパスも可能である。
(http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-212913)
ところで、Barracuda Networksの製品ではどのような動作をするか。
Version3.3 Barracuda Networks SpamFirewall Administrator's Guideによると、初期値でBarracuda独自のブラックリストとs
また、その他、様々なフィルタリング(IPアドレス以外に、ドメイン、サブドメイン、送信者メールアドレス、受信者メールアドレスなど)が用意されており、受信者メールアドレスでのフィルタリングも可能であるが、こちらもやはりブラックリストはバイパスしないようである。
Version3.3 Barracuda Networks SpamFirewall Administrator's Guide
Recipient Email Address Filters
Allowed Email Addressesの項より引用。
Recipients added to this list will never have their incoming messages scored for spam, but these messages still go through virus scanning and attachment filters. Whitelisted recipients can have their incoming messages blocked if the sender’s IP address, domain, or email address is blacklisted.
以下、CSC-SSM V6.1日本語マニュアルより引用。
RBL+ および QIL について
Realtime Blackhole List(RBL+)は、20 億もの IP アドレスのレピュテーションを追跡するデータベースです。スパムメッセージの配信に常に関連付けられていた IP アドレスはデータベースに追加され、削除されることはごくまれです。Quick IP Lookup(QIL)リストは、IP アドレスのレピュテーションを追跡するもう 1 つのデータベースですが、QIL を使用すると IP の追加と削除がさらに頻繁に行われます(そのため最新の状態にあるとみなされます)。
IP アドレスがいずれかのデータベースで検出されると、NRS は接続に「マーク付け」し、そのような IP に対して選択したアクションを CSC SSM が実行します。
たとえば、MTA がハイジャックされたか、またはオープン リレーが攻撃されてサードパーティに使用され、スパムメッセージを配信したとします。システム管理者が数時間後または数日後に攻撃を発見して修正しましたが、その間にも数百万のスパムメッセージがサーバによって送信されてしまい、新たに送信され続けています。数件のスパムのレポートの後に、感染した IP が QIL データベースに追加されますが、レポートが消えてゆくと(管理者が MTA の制御を回復すると)削除されます。一方、IP アドレスが RBL+ に追加されるまでに時間がかかるので、問題が一時的でしかない(しかし数百万ものスパムの原因となりうる)多くの IP は RBL+ によってフラグを立てられることはありません。しかし、RBL+ にいったん追加されると、IP アドレスをデータベースから削除することはさらに難しくなります。RBL+ 内の IP が常習的なスパム MTA であるという確度が高いからです。
いずれのサービスも、メッセージが MTA に配信される前にメッセージに適用され、複雑なヒューリスティックと分析を処理するオーバーヘッドから MTA を開放し、同時にメールをルーティングします。
| 固定リンク | コメント (0) | トラックバック (0)
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
最近のコメント