インターネット上には、お使いのシステムに対して常にスパムを送りつけようとする個人やサイトが存在します。このために、ご利用のシステムが不要なメールだらけになってしまう恐れがあります。そこで、FirstClassでは、スパムに対応するためのツールを用意しました。
[Filters]フォルダとフィルタリング用ドキュメントの利用
不要なIPアドレスやドメイン名をフィルタリングすることは、スパムに対処する最も重要な手段の1つです。これを行うには、管理者デスクトップの[Internet Services]フォルダ内にある[Filters]フォルダで、フィルタリング用ドキュメントを使用または作成します。アドレスをブロックするためにフィルタリング用ドキュメント使用する場合は、[Basic Internet Setup(インターネットの基本設定)]フォームの[接続]タブで、[[Filters]フォルダの設定に基づいて接続を拒否]を必ず有効にしてください。
 警告
[[Filters]フォルダの設定に基づいて接続を拒否]を有効にすると、SMTP接続だけでなくすべてのインターネットサービスへの接続がブロックされます。
このフォルダにはフィルタリング用ドキュメント(およびルール用ドキュメント)があり、承認または遮断する個人かサイトの正確なIPアドレス、IPマスク(類似のIPアドレス群)、メールアドレス、およびドメイン名をそこに登録することができます。同時に、[Basic Internet Setup(インターネットの基本設定)]フォームの[接続]タブで、「[Filters]フォルダの設定に基づいて接続を拒否」を有効にします。これにより、ご利用のシステム上で不要なスパムを制御するFirstClassの基本機能が動作することになります
フィルタリング用ドキュメントは必要に応じていつでも更新することができますが、必ず[Internet Monitor(インターネットモニタ)]の[コントロール]タブで[設定の再読み込み]ボタンをクリックするかインターネットサービスを再起動して、更新を有効にしてください。
この[Filters]フォルダの設定は、他のどのサイト設定よりも優先して適用されます。例えば、ご自分のサイトでRBLの参照を有効にしている時に、RBLサービスにブラックリストとして登録されているIPアドレスから接続が試みられた場合、そのアドレスが[Filters]フォルダで信頼済みサイトとして登録していれば、インターネットサービスはその接続を受け入れます。
一方、フィルタリング用ドキュメントでサイトを遮断すればその接続は直ちに拒否されるため、プロセスとシステムリソースの消費を最小限に抑えることができます。このため、ご利用のシステムをハッキングしたり、ユーザにサービス拒否攻撃を仕掛けたりするインターネット上の悪意あるマシンから逃れるための手段として、IPアドレスによるブロックは非常に有効な手段となります。
以下に、フィルタリング用ドキュメントで使用する適切な構文の例を示します。
ブロックするIPアドレス、ドメイン名、メールアドレスを指定する構文
フィルタリング用ドキュメントは、FirstClassのドキュメントで作成することも、テキストファイルとして作成してこのフォルダにアップロードすることもできます。フィルタリング用ドキュメントの書式は、様々なインターネットのアンチスパムサイトで使われている書式に準じています。登録は1行ごとに行い、必要であればドメイン名の前に@を付けることができます。コメントは常に#で始めます。正しいフィルタ構�の例は以下の通りです。
・123.123.123.123
#123.123.123.123からのメールをブロック。
・123.123.12.*
#123.123.12で始まるIPアドレスのSMTPサーバからのメールをすべてブロック。
・111.*.*.*
#111で始まるIPアドレスのSMTPサーバからのメールをすべてブロック。
・123.123.12.123/130
#123.123.12.123、123.123.12.124から123.123.12.130までのIPアドレスをブロック。
・123.123.12.123 - 123.123.12.130
#上の例と同じIPアドレスをブロック。ただし書式が異なる。
・@spamdomain.com
#spamdomain.comを含むドメイン名を持つサーバか、@spamdomain.comのメールアドレスを持つユーザからのメールをすべて拒否。
・spamdomain2.com
#上の例と似ているが、少し異なる構文。
#このアドレスがSMTPメール形式かRFC-822形式のFromヘッダに書かれている場合、そのメールをすべて拒否。
・*.badplace.com
#badplace.comのサブドメインをすべてブロック。この書式は、rules.SubjectBlockドキュメントで使用されている書式と同じ。
・regexp:[bB][pP][0-9*\badplace\.com
#[ ]badplace.comのサブドメインのうち、bpまたはBPで始まる0桁から9桁のドメインをブロック(例えば、bp.badplace.com、bp1.badplace.com、bp12345.badplace.comなど)。
信頼するIPアドレス、ドメイン名、メールアドレスを指定する構文
IPアドレスかドメイン名の前に「+」を付けることで、信頼済みとして登録することができます。信頼済みとして登録されているアドレスがある場合、インターネットサービスはそのアドレスのメッセージに対してはどのメールルールも適用しません。信頼済みアドレスの設定は、ブロックするIPアドレスより優先して適用されます。ある範囲のIPアドレスをブロックした状態で、その中のある1つのIPアドレスだけを受け入れる場合は、その特定のIPアドレスかドメイン名を信頼済みとして登録してください。
信頼済みIPアドレスを登録するには、1行ごとにIPアドレスを登録するか、IPマスクを登録します。
+111.222.111.222
#111,222,111,222からのメールを信頼。
+111.*.*.*
#111で始まるIPアドレスをすべて信頼。
+*.goodplace.com
#goodplace.comのサブドメイン、または@goodplace.comのメールアドレスをすべて信頼。
あらかじめ作成されているメールルールのカスタマイズ
 警告[rules.MailRules]ファイルには大量のコードが書かれているため、最初から理解するのは難しいかもしれません。したがって、[Basic Internet Setup(インターネットの基本設定)]の[迷惑メール/スパム]タブにある[メールルール]タブの設定や、[rules.MailRules]ファイルの値の変更を行うには、事前に内容をよく理解し、特にコメント行をよくお読みになることを強くお勧めします。
この[rules.MailRules]ファイルは、受信するSMTPメッセージのヘッダの内容を調べて特定の動作を行うことで、配信されるスパムのスコアリングや拒否、および疑わしいメッセージのチェックを行います(詳細はスパムスコアについてを参照)。
また、[迷惑メール/スパム]タブの[メールルール]タブでスパムスコアのパラメータを指定することで、[rules.MailRules]ファイルがスパムをスコアリングする範囲と方法を設定できます。デフォルトの[rules.MailRules]ファイルのコードは、このタブ上の設定値を取り出し、その値および他のタブの設定内容に応じた動作を行うように記述されています。
疑わしいSMTPサーバをRBLとSURBLで参照
ご自分のサイトに接続してくるSMTPサーバのIPアドレスを、RBL(Realtime Blocklists)とSURBL(Spam URI Realtime Blocklists)を利用して問い合わせ、そのIPがスパムメールの発信元としてよく知られているアドレスかどうか調べることができます。
RBLリストでは、ご利用のサーバに接続してくるIPアドレスの所有者が確認されます。RBLサービスは、スパムの配信に関与したことのあるIPアドレスやスパムリレーに利用するために他のサーバを乗っ取ったことのあるIPアドレスのリストを作成します。
SURBLリストでは、ご利用のサーバに送られてくるメッセージのドメイン名が確認されます。スパムを配信しているドメインが検出されたら、あらかじめ備わっている[rule.MailRules]ドキュメントの設定に基づいてスパムスコアが101ポイント加算され、SPAM_LINKがスパムのテストに追加されます。インターネットサービスは、RBLとSURBLの両方の参照結果をキャッシュに保存し、システムに負��がかからないようにします。SURBLは、ご利用のシステムで不正なIPアドレスに侵入前に対処しようとする場合には、大変効果的です。RBLやSURBLのサービスを有効にすれば、ご利用のシステムに大きな負荷が余分にかかることを心配する必要はありません。
RBLやSURBLのサービスによって、SMTP接続時に不正なIPアドレスや疑わしいIPアドレスが通知されるため、インターネットサービスのオプションを使用してそれらのIPアドレスを適切に管理できるようになります。
適切なRBLサービスの選択
選ぶことのできるRBLサービスは数多くあります。様々な質のサービスがあり、登録している不正IPの数、種類、それに利用コストも様々です。RBLを有効にする前に、どのサービスがご利用の組織のニーズに最も適しているか調べる必要があります。RBLサービスの多くが、SURBL参照サービスも提供しています。
特定のサービスをお勧めすることはできませんが、様々なRBLホストの比較に利用できる以下のWebサイトをご覧になることをお勧めします。
このサイトは、サイト制作者が使用しているいくつかのサービスの比較と感想が掲載されています。
このサイトは、様々な種類のスパムとオープンリレーからの防御に特化したサービスの一覧を掲載しています。
また、複数のサービスを選択することをお勧めします。その理由は、Web上にある疑わしいIPアドレスをすべて網羅しているサービスはないからです。
管理者にできることは、ご利用のサイトとユーザにとって最適なサービスを選ぶことだけですが、留意したい点を以下に挙げておきます。
・実際に送られてくるスパムの配信先を検出できるRBLサービスを使用する。
・Internet Monitor(インターネットモニタ)の「RBL統計値」を常にチェックする。
・スパムをあまり検出しているように思われないRBLサービスは、他のサービスに換える。
・効果的なメールルールを作成する方法をユーザに教える。
RBLやSURBLを有効にする方法
利用するRBLサービスやSURBLサービスを決定したら、RBLを利用するための設定は簡単です。
 注意
フィルタリング用ドキュメントで「信頼済み」として登録されているIPアドレスやドメインは、このRBL参照機能より常に優先して適用されます。したがって、ある受信IPアドレスがRBLサービスによってスパム配信者だと特定されても、そのIPアドレスがフィルタリング用ドキュメントで
信頼済みアドレスとして登録されていたら、インターネットサービスはそのIPアドレスがサーバに接続して処理を行うことを許可します。
RBLやSURBLを有効にするには、以下の手順に従ってください。
1 [Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、「RBLを参照する」または「SURBLを参照する」を選択してください。
両方のオプションを有効にすることをお勧めします。インターネットサービスは、参照結果をキャッシュに保存するため、システムへの負荷が軽減されます。
2 利用したいRBLホスト、またはSURBLホストのドメイン名を入力してください。
3 不達メッセージを[不達メッセージ文]の欄に入力してください。
このフィールドには、受信を拒否した差出人に送られる不達メッセージに記述される内容を入力します。例えば、「あなたのIPアドレスまたはドメイン名は、RBLサービスによって検出されました。したがって、このメッセージは配信されませんでした。詳細については、(利用するRBLホストまたはSURBLホストの名前)までご連絡ください」。
この設定では、受信IPアドレスがRBLリストで発見されなかった場合(かつ、そのIPアドレスがフィルタリング用ドキュメントで信頼済みアドレスとして登録されていない場合)、インターネットサービスはそのサーバからのメッセージを拒否します。RBLサービスのリストは、先頭のフィールドに設定したリストから順番にチェックされ、アドレスが見つかるとすぐにチェックは停止されます。例えば、あるメッセージのIPアドレスが先頭のフィールドのサービス(rbl.spamcop.org)にはなかったものの、2番目のフィールドのサービス(sbl.spamhaus.org)にあった�合は、それ以上のチェックは行われません。
受信されるスパムの数を減らそうとすると、その代わりに接続を処理する度にRBLホストへの参照が行われるため、サーバに余分な負荷がかかります。しかし、この機能を有効にしても、アクティブな受信SMTP接続の数はわずかに増えるだけです。ご利用のシステムへの負荷を減らすために、インターネットサービスにはRBL参照結果をキャッシュに保存する機能があらかじめ備わっており、参照を繰り返す必要が起こらないようになっています。
�
送信者をすぐに拒否したくない場合の対処方法
RBLに登録されているサイトを拒否したくない場合は、拒否する代わりに受信SMTPメッセージにwarningヘッダを挿入することもできます。このためには、[Basic Internet
Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、「不達メッセージを送信せず、X-RBL-Wariningをインターネットヘッダに挿入する」を選択してください。
 注意このヘッダオプションを利用するには、[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[RBL]タブで、「RBLを参照する」を有効にする必要があります。
このヘッダオプションを有効にすると、[不達メッセージ文]の内容が、この疑わしいメッセージのX-RBL-Warningヘッダのデータ部に挿入されます。この場合、[不達メッセージ文]の内容を、ヘッダが挿入されることになったRBLサイト名を識別し、解析しやすい内容に書き換えてください。そうすれば、最終的にメールを受け取るユーザが、FirstClassのメールルールを作成してそのメッセージを簡単に処理できるようになります。また、「不正」を行っている可能性があるとされた送信者のことをユーザはよく知らず、その送信者からのメールを受け取りたくないと考えている場合は、フィルタリング用ドキュメントでそのIPアドレスを拒否するよう設定できます。
このオプションを設定したら、ユーザは、FirstClassのメニューから[表示]>[インターネットヘッダの表示]を選んで、受信したメッセージのヘッダ部にそのメッセージを識別するタグが付けられているかどうかを確認しなければなりません。
下図は、メッセージのインターネットヘッダの一部です。
RBLサービスの登録順
RBLサービスを登録する順番は、ご利用のサイトによく送られるスパムの種類によって異なります。大半のスパムがある特定の種類のスパム配信業者(例えば、薬品関係や金融関係など)である場合は、その配信業者の識別が得意なRBLサービスを選んで、RBLリストの1番目か2番目に登録する必要があります。その後で異なる種類のスパム業者の特定が得意なサービス(あるいは、よ�汎用的なサービス)を登録すれば、サイトに送られてくる残りのスパムを識別できるようになります。
識別されたすべてのメッセージに対して不達通知を送信したい場合は、より多くのスパム業者を登録しているRBLサービスを利用してください。これにより、インターネットサービスがスパム業者をサーバから確実に遮断できるようになります。ただし、スパムではないメッセージに対しても不達通知を送ってしまう危険性があります。これは非常にきびしい設定ですが、サイトの運営がスパムによって著しく困難になっている場合には、このような設定が必要になることもあります。もし、�利用のRBLサービスがスパムと思われるIPアドレスを登録しすぎていると思われる場合は、もう少し登録数の少ないRBLサービスを利用してもよいでしょう。
登録順の若いRBLサービスがスパムを判別できれば、システムに対する負荷はより少なくなります。例えば、1番目に登録したサービスがメッセージを識別できなかった場合、インターネットサービスはリストに登録されている次のサービスを利用します。この動作によってリソースが余計に消費され、システムの処理速度が落ちる可能性があります。しかし、1番目のRBLサービスがメッセージをスパムと識別できれば、インターネットサービスはそれ以上RBLサービスを利用せず、追加の処�は必要なくなります。
また、不要な接続を自動的に拒否するのではなく、X-RBL-Warningヘッダを挿入するよう設定している場合は、疑わしいIPアドレスの登録数が少ないサービスから多いサービスの順に登録すると、ユーザが自分で処理しやすくなります。ユーザは、自分のメールルールを設定して、RBLサービスが識別用のタグを挿入したメールをメールボックス以外のコンテナに転送しておき、後で並べて確認することができます。
ご利用のサイトにとって、あるいはユーザにとって最適なRBLの設定を決めることができるのは、管理者だけです。次のようなアプローチが適切です。
・実際に送られてくるスパムの配信先を検出できるRBLサービスを使用する。
・Internet Monitor(インターネットモニタ)の「RBL統計値」を常にチェックする。
・スパムをあまり検出しているように思われないRBLサービスは、他のサービスに換える。
RBLの動作状況をシステム上で確認する方法
ここに表示される情報で、次の内容を知ることができます。
・機能しているRBLサービス。
・RBLサービスにアクセスした回数。
・RBLサービスが疑わしいIPアドレスを検出した回数。
・識別したIPアドレスの参照割合(RBLサービスの効率性を判断できます)。
・RBLサービスが参照に応答しなかった回数。
・参照にかかった平均応答時間。
・参照にかかった最長応答時間。
オフ/オンボタンを押すことで、Basic Internet Setup(インターネットの基本設定)の設定を変更したり、設定の再読み込みボタンをを押したりすることなく、一時的にRBLサービスのスパムメール照合処理を停止することができます。この機能は、テストを行う場合あるいはDoS攻撃を受けているRBLサービスを停止する場合などに便利です。[RBL/SURBL統計値のリセット]ボタンを押せば、RBL統計値を簡単にリセットすることができます。
自分がオープンリレーとしてブラックリストに登録された場合
スパムメールはますます広がりを見せ、阻止するのが大変難しいことから、(RBL提供機関を含む)多くの組織が、オープンリレーのサイトを積極的に調べて自分たちのブラックリストに登録しています。もし自分のサイトがブラックリストに追加されてしまったら、次のように対処してください。
1 リレーに関する設定(インターネットサービスとユーザ権限)をすべてチェックしてください。
ブラックリストに登録される理由は、多くの場合、自分のサイトからスパムが発信されたためです。この項で説明する方法で調査を行い、問題の特定を試みてください。問題が発見できない場合は、ブラックリストに登録した組織に連絡し、相談してみてください。
2 リレーの問題を見つけて修正したら、ブラックリストに登録した組織に対して、自分にサイトをもう一度テストするよう依頼してください。
ORBSのように、FirstClassのメールホストが「sendmail」と想定して、誤ったリレーのテストを行っている組織もあります。システムを正しく設定したのにまだテストに合格しない場合は、次の作業を試してみてください。
・インターネットサービスがsendmailのように動作するよう再設定する。
このようなテストで起こる主な問題は、インターネットサービスがリレーを吸収してしまうために、メッセージを配信しているように見えることです。実際には、インターネットサービスは少し時間が経過したら不達通知を送信しますが、テストでは不達通知が届くまで待つことはないため、リレーが行われたと判断されてしまいます。[ディレクトリの詳細設定(Advanced Directory)]フォームの[メールエイリアス]タブの[受信メールアドレス]で[メールエイリアスのみ]を選択すると、入ってこようとするテストメールをインターネットサービスに拒否させることができます。
このオプションを選択すると、[ディレクトリの詳細設定(Advanced Directory)]フォームでインターネットメールを利用するユーザのエイリアスを手動で設定する(または、自動メールエイリアスを設定する)作業が必要になります。
・ブラックリストに登録した組織に対して、自分のサイトがリレーをしていないことを伝え、自分のサイトからいくつかの宛先へのリレーを試みてもらう。
きちんとした組織であれば、このような要請に対して誠実に対処してもらえるでしょう。
SMTPサーバの受信IPアドレスの問い合わせ
自分のサイトに接続を試みるSMTPサーバのIPアドレスに対して、対応付けられたドメイン名があるかどうかを調べることができます。ドメイン名が見つからない場合、インターネットサービスはそのサーバからのメールを拒否します。この機能を有効にするには、[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[ジャンクメール]タブで、「不明なドメイン名を拒否する」を選択してください。
この処理では、SMTP接続を受信する度にDNSサーバへの問い合わせが行われるため、ご利用のシステムに余分な負荷がかかる場合があります。ご利用のDNSサーバ(DNSサーバの役割を参照)を調整して、パフォーマンスが維持されるようにし
てください。
クロスポストのトラフィックの異常な増加を抑制
NNTPからの自分のサーバに対して異常な量のクロスポストのトラフィックが来るのを抑制することができます。ニュースグループでクロスポストがある場合は、ジャンクメールのようなメッセージが送られているケースが多くあります。[Basic Internet Setup(インターネットの基本設定)]フォームの[迷惑メール/スパム]タブにある[ジャンクメール]タブで、クロスポストの制限を10から15の間に設定することをお勧めします。
| 
