More Related Content
More from Kiyoshi SATOH (16)
taRgreyでコストを掛けずにスパム削減
- 2. taRgrey とは?
● 85% のスパムを
● ほぼ誤検出の心配せずに
● コストをかけず削減
といった特徴をもつスパム対策手法
誤検出の心配をしなくて良いことが最大の特徴
- 8. スパムの数
● 海外だと 90% 以上という報告が多い
● 日本だと 70% ~ 80% 程度という実感
● 年々増えている
– 5 年前のアメリカで 70% ~ 80%
- 9. スパムは bot から出されるのが主流
● スパムの大半は海外の動的 IP から
● bot 化してリモートコントロールされた PC から出す
● 97% 前後が bot によるスパム
● 日本発のスパムは OP25B により激減
● bot は直接送信先メールサーバへ SMTP 接続してくる
- 19. SMTP セッション情報で判断
● SMTP セッション時の相手の「クセ」で判定
● 主な例: greylisting
● 一時拒否して再送してきたら受け取る
→ スパムは到達性は求めないからわざわざ再送しない
● 他に… tarpitting (返答の遅延)など
- 23. S25R
● 「動的 IP っぽい」逆引き名を拒否
● 逆引き名とのパターンマッチング
– evrtwa1-ar3-4-65-157-048.evrtwa1.dsl-verizon.net
– pcp04083532pcs.levtwn01.pa.comcast.net
● 誤検出はホワイトリストで対処
● 再送をログで確認して救済
● 95% 以上のスパムがマッチ
● 検出率も高いが誤検出も多い
- 34. Rgrey
● S25R + greylisting
● 怪しい接続に対してのみgreylistingを掛ける
● selective greylistingという名で手法として一般化
● S25R(の補集合)は汎用ホワイトリストという考え方
● S25RはDNSBLと比べ結果が揺れないという利点が大きい
● 95%弱のスパムを排除
- 36. taRgrey
● S25R + tarpitting + greylisting
● 怪しい接続に対してのみtarpitting
● S25Rに引っかかった時の遅延が無い
● 再送で救済する
● メールマガジンなども自動救済
● ほぼ誤検出はない
● 85%弱のスパムを排除
- 40. 検出率実績
● 69% スパム比率
● 93% S25Rのスパムマッチ率
● 91% tarpitingでの駆除率
● 85% taRgreyでの駆除率
● 64% S25Rにマッチせずに
抜けたスパム率
2010/2時点
SA での判定を 100% と仮定して算出
- 42. 中規模での長期運用実績
● 運用条件
– Starpit
– 2006/2月より運用開始(約4年半)
– 約 36,000アカウント 30メールサーバ
● 総誤検出数
– 延べ35ドメイン (ホワイトリスト追加数)
– ユーザからの問い合わせ数はその半数程度
– 全て再送有り (taRgreyでは救済可能)
- 44. 他での採用実績
●
アプライアンス
– HDE tapirus
– A.T.WORKS Sentinel Beagle
● 教育機関
– 大東文化大学
– 和歌山大学システム情報学センター
– 佐世保高専
– 尚絅学院大学
– 宇部工業高等専門学校
– 一橋大学 情報基盤センター
– 中央大学
等々… 公開されていて自分の知る限り