spamメール対策と統合メール管理システムについて

全文

(1)Vol. 46. No. 4. Apr. 2005. 情報処理学会論文誌. spam メール対策と統合メール管理システムについて吉原. 田山. 和博. 幸† 文††. 矢伊. 田藤. 哲哲. 二† 郎†††. ウィルスを検出・除去するメールゲートウェイを導入以来，宛先不明の spam メールによる DoS （Denial of Service）攻撃をしばしば受けるようになった．そのため，OUNET（Oita University computer Network）の 15 台のメールサーバのユーザアカウントについて LDAP を用いて集中管理する統合メール管理システムを導入し，メールゲートウェイで，その LDAP データベースを参照することにより，宛先不明のメールをメールゲートウェイで拒否することができるようにした．従来，それぞれ独自のポリシで運用してきた各メールサーバのメールアカウントについて，この統合メール管理システムでは，ドメインごとに独立して管理できるように設計した．本論文では，我々が行ってきた spam メール対策，統合メール管理システムの必要性，構成，機能について述べ，さらに，現在までの運用状況について述べる．. A Measure to Counter spam Mail and a Mail Account Management System for Mail Servers Kazuyuki Yoshida,† Tetsuji Yada,† Hirofumi Harayama†† and Tetsuro Ito††† We often have DoS (Denial of Service) attacks by wrongly addressed spam mail ever since we introduced a mail gateway against computer viruses. Against that attacks, we introduced a mail account management system for 15 mail servers in OUNET (Oita University computer Network). Referring mail account database in that system by LDAP (Lightweight Directory Access Protocol), it is possible to deny the wrongly addressed e-mail on the mail-gateway. We design that system to manage mail account of each sub-domain independently. This paper shows the structure, function and utilization of the system.. 1. はじめに. 最終的な宛先のメールサーバが分離されたため，メー. 本学では，2001 年 8 月にメールのウィルス検出・除. ンダムに生成した宛先メールアドレスを持った spam. 去を行うメールゲートウェイソフトウェア（Interscan. メールを大量に受信することになってしまった．メー. ルアドレスのローカル部（「@」より左側の部分）をラ. 1). VirusWall）を導入し，同年 12 月より運用している．. ルの形式検査（To:，From:，Message-ID:）を強化し，. これ以降，学内でウィルスに感染する PC は，ほとん. メールサーバにあるユーザアカウントをメールゲート. どなくなった．学内宛のメールをすべてチェックできる. ウェイにコピーして，宛先の検査をするようにしたが，. ようにするために，インターネットから来るメールは，. それぞれ，運用上の問題があった．そこで，2003 年 2. いったん，メールゲートウェイに集められ，その後，. 月のシステム更新にあわせて，学内の主な 15 台のメー. それぞれの最終的な宛先のメールサーバに送られる．. ルサーバのユーザアカウントを LDAP（Lightweight Directory Access Protocol）2) で管理し，メールゲー. しかし，ウィルスをチェックするメールゲートウェイと. トウェイでもその LDAP データベースを参照するこ † 大分大学総合情報処理センター Information Processing Center, Oita University †† 大分大学工学部知能情報システム工学科 Department of Computer Science and Intelligent Systems, Oita University ††† 大分大学工学部知能情報システム工学科/総合情報処理センター Department of Computer Science and Intelligent Systems/Information Processing Center, Oita University. とにより，宛先不明メールを拒否することができる統合メール管理システムを導入した．本論文では，まず，メールゲートウェイを使うメールシステム運用上の問題点と，統合メール管理システムの必要性，構成の概要について述べ，現在までの運用状況について述べる． 1035.

(2) 1036. Apr. 2005. 情報処理学会論文誌. 図 1 送信サーバ受信サーバ間のメール直接配送 Fig. 1 E-mail transfer between transmitting and receiving servers directly.. 図 3 spam メールの宛先アドレスの例 Fig. 3 Example of e-mail addressee of spam. 図 2 メールゲートウェイが入ったメールの配送（受信側のみ） Fig. 2 E-mail transfer via mail gateway (receiving part).. 下の 4 つの方法がある．. SMTP（Simple Mail Transfer Protocol）3) による. (a) メールのヘッダや本文を検査する． (b) あらかじめ spam メールを送ってくる可能性が高いメールサーバの IP アドレス等の Blacklist を. メール配送では，まず，送信者アドレス，宛先アドレ. 用意しておき，それと一致するメールは，spam. 2. メールゲートウェイ. メールと判断する．. スを順に送り，受信側のメールサーバがそれらを確認. ローカル部をランダムに生成したメールアドレスに. (c) あらかじめ（spam ではない）通常のメールを送ってくる可能性が高いメールサーバの IP アドレス等の Whitelist を用意しておき，それと一致. メールを送ろうとすると，たいていは，受信側メール. するメールのみ，通常のメールと判断する．. サーバが宛先アドレスを受信した段階で，宛先不明エ. (d) メールが送信されてきたとき，ゆっくり応答す. ラーを返し，メールそのものの送信はできなかった．し. る，一時エラーを返して再送を待つ等，メールの. かし，ファイアウォールの設置やウィルス検査のため，. 受信手順を操作して，送信メールサーバの反応か. した後にヘッダと本文を含むメールが送られる．送信サーバから直接受信サーバに送られる（図 1）とき，. インターネットと LAN との間に図 2 のようにメールゲートウェイを入れ，インターネットからのメールを，メールゲートウェイがいったん受け取り，受信サーバ. ら spam メールと通常のメールとを識別する．. 2001 年 12 月にメールゲートウェイによってウィルス検査を開始したとき，同時にメールゲートウェイで. に転送する構成も広く行われている．このようにする. 上記 (a) のうち，比較的簡単に実現できる，以下の. とメールゲートウェイがメールを受信した後に，LAN. ようなメールヘッダの形式検査，および，すでに存在. 内のメールサーバに配送しようとした段階で受信者. している DNS（Domain Name Server）の登録情報，. の有無が判明する．受信者がいない場合，メールゲー. spam メール送信サーバや潜在的に spam メール送信. トウェイから送信者に対して「User unknown」のエ. サーバになりうる Open Relay サーバの IP アドレス. ラーメールが送られる．spam メールの場合，送信者. を Blacklist として集めた ORDB 5) 等を用いて spam. アドレスに偽のメールアドレスを書いている場合も. メールの受信を拒否するようにしようと考えた．. 多い．そのような場合には，メールゲートウェイが，. (1). いったん，受け取ってしまうと，エラーメールを spam メール送信者に送ることができず，spam メールを送. (2). ようにみえる．そのため，そのメールアドレスに何度. ルは拒否する．. (3). メール管理システムが検出したメールアドレスの一部を図 3 に示す．明らかにローカル部が変なアドレスが多い．. 3. spam メール対策 spam メールを検出する方法には，大きく分けて以. Message-ID:，From:各ヘッダの形式がローカル部@ドメイン部の形式になっていないメー. 信したメールサーバにとってみれば，送信が成功したも spam メールを送りつけられることになる4) ．統合. Message-ID:，From:各ヘッダがないメールは，拒否する．. DNS の登録情報を Whitelist として利用し，送信元，宛先の各メールアドレスのドメイン部（「@」より右側の部分）について，DNS を検索して登録されていなければそのメールは拒否する．. (4). ORDB 等の Realtime Blocking List を Blacklist として参照し，送信メールサーバの IP ア.

(3) Vol. 46. No. 4. spam メール対策と統合メール管理システムについて. 1037. ドレスがこれらのデータベースに登録されてい. 介する認証についても，LDAP サーバ上でユーザ認証. れば受信を拒否する．. 情報を一元管理することができる．. これらのうち，( 1 ) に関しては，Message-ID:は，メールの形式6) 上，必須項目ではなく，Message-ID:. LDAP サーバには，メールアドレスのローカル部にあたるユーザアカウント情報，ドメイン部にあたるド. なしでメールを送ってくる ISP もあった．エラー通知. メイン情報，パスワードのほかに，Unix にログイン. メールのエンベロープの From:は空（）になり，受. するときに必要な UID，GID，ホームディレクトリ，. 信する必要があることが分かった．このため，2003 年. ログインシェルの情報も持つようにする．. 6 月に拒否しないよう設定を変更した． ( 4 ) に関しては，外部データベースを用いずに，独自にメールサーバの Blacklist を作成し，使用するこ. 報は，Unix に直接登録する場合と同じであるが，Web. 7). とも考えられる. が，リストの作成，維持や，リスト. ユーザの登録・削除に際して，管理者が入力する情を用いて入力するようにする．さらに，毎年 3 月，4 月に大量の登録・削除を行う必要があることから，表. に載せたサーバからの削除依頼をどのように受け付け. 形式のユーザデータを作ることで，一括して，登録・. るかを考慮すると外部の Blacklist を利用するほうがよいと考えた． 2002 年度になって，メールの DoS（Denial of Ser-. 削除ができるようにする．認証する際には，ドメインを特定して，ユーザが，アカウントとパスワードを入力し，認証を受ける方法. vice）攻撃をしばしば受けるようになった．この攻撃. と，ユーザが，アカウント，ドメイン名，パスワード. により送られてくるメールは，これらの検査では，正. を入力し認証を受ける方法とがある．前者は，Unix. 常なメールだと判断されるが，宛先は，ローカル部が，. 系サーバ等の各部局で設置した部局内のサービス用の. ランダムに生成されたメールアドレスであった．この. システムで用いる．後者は，メールゲートウェイにお. ため，宛先メールアドレスの Whitelist によるメール. ける SMTP 認証と，Radius での認証とに用いる．後. の検査が有効であると考えられた．筆者らの管理して. 者のような認証方式を使うことにより，統合メール管. いる 2 つのメールサーバを含めて DoS 攻撃が激しかっ. 理システムが管理するメールサーバにアカウントがあ. た 4 つのメールサーバの管理者から，ユーザ名の一覧. れば，Radius 認証を受けることができ，学内どこの. の提供を受け，2002 年 7 月から，メールゲートウェ. 公開情報コンセントでも，同じアカウント，パスワー. イ上でそのメールサーバ宛のメールについて，宛先の. ドで，利用できる．. ユーザが存在するかどうかの検査を行うようにした．このようにすると宛先不明の spam メールは，必ず. 本システムは，学内各学部，学科，事務局，図書館，教養教育，総合情報処理センターを代表するメール. きる．しかし，メールサーバとメールゲートウェイと. サーバ，および学生を登録しているメールサーバの計 15 のメールサーバのアカウントを管理することとし，. でアカウントの同期をとる必要がある．毎年 3 月，4. 2003 年 4 月からの運用を目指した．. 月に集中するアカウントの登録・削除が，メールサーバ. 4. 統合メール管理システム. 受信を拒否でき，メールゲートウェイの負荷を軽減で. とメールゲートウェイとで同期がとれなくなるとメールの受信ができなくなる．2 カ所でアカウントの登録・. 図 4 に本システムの構成図を示す．2 台の LDAP. 削除を行う手間も大変である．. サーバとデータベースを操作するための Web のインタ. LDAP サーバ8) を用いて，複数のメールサーバのメールアカウントを統一的に管理することができる統合メール管理システムを計画した．複数のメールサー. フェースとからなる．LDAP サーバは，TurboLinux7. バのアカウントを集中して管理することになるため，メールだけに限定した軽いシステムではなく，統合認証システムへの発展を考慮して，メールゲートウェイとは別に新たにサーバを置く必要はあるが，LDAP サーバを用いることとした．LDAP サーバを用いることで，メールゲートウェイ上での SMTP 認証，Unix 系サーバ（Solaris，Linux）のログイン時の認証や，DialUp のユーザ認証，公開端末や無線 LAN をインターネットに接続する際に，LAN スイッチが行う Radius 9) を. 図 4 統合メール管理システムの構成 Fig. 4 The structure of mail account management system..

(4) 1038. 情報処理学会論文誌. Apr. 2005. 上に OpenLDAP 2.0.27 で，Web サーバは，Win-. To:の検査（check mail，check rcpt）により受信拒. dows2000 上に Apache 2.0.47 と php で，それぞれ. 否したメール数の変化を示す．図 6 には，全体に対す. 構築している．メールサーバからは，pop，imap 等. る図 5 の各区分の割合を示す．sendmail の設定ファ. から pam ldap を介して，LDAP サーバにユーザ認証. イルで送信者アドレス，宛先アドレスの検査をする部. 情報を要求する．メールゲートウェイは，sendmail-. 分の名称がそれぞれ check mail，check rcpt なので，. 8.12.9 から Perl で書かれた Milter（Mail Filter）プログラムを通してメールアカウントの有無と有効期限. そのままグラフの表示に用いた．. とを LDAP サーバに照会する．Milter プログラムは，. Milter インタフェースを介して sendmail とデータの交換をし，sendmail がメールの受信中に Milter プログラムが受理/拒否の判断を行うことができる. 10). ．. 各メールサーバのアカウント情報の LDAP サーバへの移し換えを含めて，LDAP サーバの立ち上げ，Web インタフェースの構築，Milter プログラムの作成を外部に委託した．従来，各メールサーバの管理者は，ユーザの要望に応じてそれぞれのポリシでメールアカウントやメーリングリストの開設を自由に行ってきた．LDAP サーバ. 統合メール管理システムは予定より少し遅れて 2003 年 5 月の導入となり，それとともに宛先アドレスの検査（check rcpt）による受信拒否が，LDAP データベースの参照（Milter）による受信拒否に置き換わっている．check rcpt での検査では，ユーザアカウントをメールサーバとメールゲートウェイとで二重に登録・削除する必要があり煩雑になるため，3 章で述べたように 4 つのサブドメインしか対象にできなかった．統合メール管理システムに移行することによって他のサブドメインまで対象を広げることができた．図 5 の「check mail」のグラフには，2002 年 11 月，. センターが集中管理する方式では，メールアカウント. 12 月に大きなピークがあり，メールの DoS（Denial of Service）攻撃を受けていることが推測できる．実際にログファイルをみると，11 月 7 日に 1 つのメール. の登録・削除の負荷がセンターの管理者に集中するば. サーバから 38 万通あまりのメールが来て，送信者アド. かりでなく，メールアカウント発行のポリシが異なる. レスのドメイン部が，DNS に登録されていなかったの. 学内メールの管理者や利用者にも受け入れられない．. で，受信拒否をした．12 月のピークでは，宛先アドレ. にメールアカウントを集めるにしても，総合情報処理. 本システムでは，管理者権限をマスタ管理者と一般. スのローカル部をランダムに生成したような多数の宛. 管理者に分けた．マスタ管理者は，本システム全体の. 先にメールが送られており，「User unknown」エラー. 管理者ではあるが一般管理者を指名するだけである．. を多数生成していた．2003 年 8 月，9 月に「Milter」. 一般管理者は，個々のメールサーバの管理者であり，. の小さなピークがある．ピークの前後では宛先が不明. メールアカウントの登録・削除を行う．更新，パスワー. のメールは 1 週間に 3,000∼5,000 通であるのに，こ. ド変更は，一般ユーザが直接行える．. のときだけ，1 週間に 10,000 通を超える宛先不明メー. 5. 運用状況. ルが来た．2002 年 12 月と同様の DoS 攻撃を受けたようである．LDAP を用いた検査で受信拒否をする. 図 5 に最近 1 年間の各週ごとについて，大学全体，主. ことができた．なお，9 月後半以降メール受信数が増. な 2 つのサブドメイン（cc，csis）のメール受信数，お. えているのは，大分大学と大分医科大学との統合によ. よび LDAP 参照（Milter），エンベロープの From:，. り，医学部宛のメールがこのメールゲートウェイを通. 図 5 一週間あたりのメール受信数 Fig. 5 The number of receiving mails per week.. 図 6 一週間あたりのメール受信数の割合 Fig. 6 The ratio of the number of receiving mails per week..

(5) Vol. 46. No. 4. spam メール対策と統合メール管理システムについて. るようになったためである．. 6. まとめと今後の課題 LDAP を用いた統合メール管理システムについて述べた．本システムにより，複数のメールサーバのアカウントを一元管理し，メールゲートウェイからそれを Whitelist として参照することによって，メール本体を受信することなく，spam メールを拒否できるようになった．. 1039. http://www.openldap.org/ 9) FreeRADIUS Project: FreeRADIUS. http://www.freeradius.org/ 10) Shapiro, G.N.: Milter. http://www.sendmail.org/˜gshapiro/ 8.10.Training/milter.html 11) Apache Spamassassin Project: SpamAssassin. http://spamassassin.apache.org/ 12) Harris, E., greylisting white paper. http://projects.puremagic.com/greylisting/. 宛先が実在するメールに関しては，spam かどうか判. (平成 16 年 7 月 8 日受付). 断するために本システムに別の手法を組み合わせて用. (平成 17 年 2 月 1 日採録). いる必要がある．内容を検査する spamassassin 11) や，一時エラーを送信元メールサーバに送って，再送を待. 吉田和幸（正会員）. つ greylisting 12) である．MUA（Mail User Agent）. 昭和 32 年生．昭和 54 年九州大学. の中には，メールの内容を検査し，spam かどうかの. 工学部情報工学科卒業．昭和 59 年. 判断をするものがある．これらはユーザ自身が対策を. 同大学大学院工学研究科博士後期課. とることができるものである．本システムとこれらと. 程修了．同年大分大学工学部講師．. を組み合わせることで，運用管理者，利用者がそれぞ. 同助教授を経て，現在，大分大学総. れの立場で互いに協力して spam 対策を進めていくこ. 合情報処理センター助教授．工学博士．インターネッ. とが，今後，重要になるであろう．. トの運用，インターネットセキュリティに興味を持つ．. 謝辞本システムへの移行にあたっては竹内三太郎事務情報係長（2003 年 4 月当時）をはじめとする学. 電子情報通信学会，日本ソフトウェア科学会，ACM 各会員．. 内各メールサーバの管理者の方々のご協力をいただきました．（株）コムネット，富士通（株）には，LDAP. 矢田哲二. サーバの構築，ユーザ認証情報の LDAP への移し換. 昭和 33 年生．昭和 53 年より大分. え，Web インタフェースの開発等，大変お世話にな. 大学に勤務．現在，大分大学総合情. りました．ここに記して謝意を表します．. 報処理センター技術職員．統合メー. 参. 考文. ル管理システムをはじめとする基盤. 献. 1) トレンドマイクロ（株）：Interscan VirusWall. http://www.trendmicro.co.jp/ 2) Wahl, M., Howes, T. and Kille, S.: Lightweight Directory Access Protocol (v3), RFC2251 (1997). http://www.ietf.org/ 3) Klensin, J. (Ed.): Simple Mail Transfer Protocol, RFC2821 (2001). http://www.ietf.org/ 4) 武藏泰雄，松葉龍一，杉谷賢一：Statistical Analysis in Log Files of Electronic-Mail Server and Domain Name System Server. SPAM Mail Generates Many DNS Query Packets, 学術情報処理研究，No.7, pp.5–12 (2003). 5) ORDB.org: Open relay Database. http://ordb.org/ 6) Resnick, P. (Ed.): Internet Message Format, RFC2822 (2001). http://www.ietf.org/ 7) 山守一徳，杉浦徳宏：ウィルスチェックサーバの導入とメール爆弾対策の効果，大学情報システム環境研究，Vol.5, pp.9–18 (2002). 8) Open LDAP Project: Open LDAP.. 情報システムと学内 LAN の運用保守に従事．原山博文（正会員）昭和 31 年生．昭和 54 年福岡大学工学部電気工学科卒業．同年大分大学工学部組織工学科（現在，知能情報システム工学科）に採用．教育用電子計算機室において計算機システムならびにネットワークの運用保守に従事．.

(6) 1040. 情報処理学会論文誌. 伊藤哲郎（正会員）昭和 45 年大阪大学基礎工学部電気工学科卒業．昭和 47 年同大学大学院基礎工学研究科修士課程修了．同大学助手，図書館情報大学助教授を経て，現在，大分大学工学部知能情報システム工学科教授・総合情報処理センター長．工学博士．概念学習，概念的情報検索，電子図書館の構築，ウェブディレクトリの活用，共有データの統一的管理等の研究に従事．電子情報通信学会，人工知能学会，ACM，IEEE 各会員．. Apr. 2005.

(7)