f4d1183e.jpg

taRgreyで手間をかけずにスパム削減 / 佐藤潔 (有)ジーワークス

  • 特徴: 85%のスパムをほぼ誤検出の心配をせずに検出
  • 会社の所在地が長野県白馬村なのはスキーがしたかったから!
  • 地方ISPは先細りなので残っているユーザは:
    • メールアドレスに愛着がある。
    • 古くからのユーザほどメールアドレスを変えたくないが、スパムが多い。
  • スパムの割合
    • 海外 90%以上
    • 日本 70~80%程度
      • 5年前のアメリカで 70~80%程度 なのでこのままいくといずれ90%になる。
  • スパム送信元
    • botから 97%前後
      • 海外の動的IP
      • botが直接SMTPで相手サーバに
      • 日本発のスパムはOP25Bにより激減
    • 残り3%は bot ではない、のっとられたSMTPサーバなどから。
  • botnetは寡占状態
    • 100万台規模で、少数のbotnet種が大半のスパムを送信している。
    • 5種類くらいが90%くらいのスパムを出している。
    • つまり1つのbotに対応できるだけで10%削減できる。
    • 同じbotnetからは同じ癖をもった送信のしかたをしているので狙い打ちで遮断できる。
      • だいたい10秒くらいsleepすると送信をあきらめるのが多い。
      • 80秒にもピークがある
  • 日本語スパムはちょっと古いやりかた (残り3%)
    • 半固定IPアドレスで、中国・フィリピン・タイ等などのレンタルサーバから。
  • botnetの広まりかた
    • スパムでwebサイトに誘導
    • → 脆弱性を突いて感染
    • → bot化
    • → スパムを撒く
    • → 無限ループ...
  • taRgreyはbotからのスパムのみを狙ったフィルタ。
  • スパムをはじく方法は大別して3種類:
  • メールの内容で判断
    • ベイジアンフィルタとか
    • 他: コラボレーションフィルタなど (利用者からの通報ベース)
  • SMTPセッション情報で判断
    • IPアドレスとか
    • greylisting: 一時拒否して再送をもとめる
    • tarpitting: 応答遅延
  • スパム送信時の制限
    • OP25B
    • throttling:送信数制限
  • taRgrey = S25R + greylisting + tarpitting
  • S25R
    • 動的IPアドレスっぽいのは拒否する。
    • 正規表現で。数字がおおい、adsl,catvなど
    • 検出率も高いが誤検出も多い
    • ホワイトリストで救済。publicなのがあるらしい(アサミさん)
  • greylisting
    • 一時拒否して再送してきたら受け取る。
    • botは再送キューをもつのが現実的でないとおもわれる。
    • 一番メジャーな方法
    • 95%以上拒否できる
  • tarpitting
    • タールでできた沼が自然界にあるらしい。そこにはまった動物は動けなくなって死にいたる..
    • SMTPセッションの応答を何10秒か待たせるとむこうからきってくる。
    • 使用では5分(MAY)まつことになっている。
    • botは10秒であきらめる。ひどいと2,3秒で。
  • これらをメールの内容で判断する手法と比べると:
    • コンテンツフィルタに比べて軽いのが特徴。
    • 判定にゆれがない。短かい本文とURLだけだとはじかれてしまったりしない。
    • S25R
      • 誤検出がおおい。
      • ログの確認は手間がかかりすぎ。
      • 人間が対応するので遅延が大きい。人間がやるので何時間もかかる。
    • greylisting
      • 違うサーバから再送されると(再送として認識できず)だめ。再送専用サーバがある場合に。
  • -tarpitting
    • - 待ち時間を極端に短かくしているサーバがある。
      • メルマガとか大量送信サービスでよくある。
      • プロセス数の増大。経験的に2~3倍の数になる。
  • スパムフィルタでは:
    • 誤検出がないことを重視すべき。
    • 誤検出がおこるとユーザがつかってくれない。
    • 誤検出があると逆に仕事が増える。
    • 人が判定するより誤検出が少なくなるのが最低ライン。
  • 誤検出や遅延がなくなるように。
    • 多重に重ね合わせる(直列)のではなく条件を絞るのに使う。
    • 1つの仕組みでシンプルなシステムにこだわると逆に誤検出や負荷の問題がおこりやすい。
  • Rgrey = S25R + greylisting
    • アルゴリズム
      • 動的IPアドレスじゃなかったら受信 (S25R)
      • greylisting
      • 再送してきたら受信
    • selective greylistingというのが一般的。
    • (S25Rの代わりとして)DNSBLはゆれがある。
    • 95%くらい排除できた。
  • Starpit = S25R + tarpitting
    • アルゴリズム
      • 動的IPアドレスじゃなかったら受信 (S25R)
      • tarpitting
      • がまんできたら受信
    • メールマガジンがひっかかりやすい。
      • 逆びき設定してなかったり。
      • ホワイトリストに入れてるのにスパムとしか思えない内容のをおくってくるとか。
    • 85%くらいのスパムを拒否
  • taRgrey
    • アルゴリズム
      • 動的IPアドレスじゃなかったら受信 (S25R)
      • tarpit
      • がまんできたら greylisting
      • 再送してきたら受信
    • 85%くらいの排除。
  • spam/ham比を下げるのが重要
    • 1/10になるだけで満足するユーザはおおい。
    • 2次フィルタの精度を10倍にできる。
    • 2次ジフィルタの閾値を下げて誤検出を減らせる。
    • ゴミ箱漁り(false positive)が楽になる。
  • 届いたメールを調べてみた:
    • 69% spam
    • 93% S25R spam match スパムっぽいメルマガを含む
    • 91% tarpittingで排除
    • 85% trRgreyでの駆除率
  • tarpitting
    • 15秒で60%おとせる
  • Starpitでの実績
    • 36000アカウント30メールサーバー
    • 誤検出 4年で35ドメイン。再送があったのでtaRgreyで救済できただろう。
  • taRgrey
    • アプライアンス
      • HDE tarpirus
      • Sentinel Beagle
      • どうも両者はおなじものっぽい...
  • 誤検出例 Starpit
    • ポイントがもらえるというメールマガジン。
    • 中国や東南アジアのメールサーバが逆引き設定をしていない
    • ファイアーウォールが60秒で接続を切ってしまう例も。
  • 設定はこのへんをみること: http://k2net.hakuba.jp/targrey/
  • warnでフィルタ対象となる接続のIP/From/Toのログを残しておく。
  • postfixのsleepパッチをあてるとプロセス数の増大は1.5倍くらいにおさまる。
  • 日本語スパムを防ぐには
    • 素のpostfixとかqmailとかから送ってくる。
    • HELOのブラックリスト
      • MTA自身のIPアドレス (HELOで受信側のIPaddrをかったってくるパターン)
      • "m20.mailyes.net"とか
      • "SPK02"とか
    • NSのブラックリスト ドメインを大量にとって送ってくるもの
  • フィルタをかけると法律にふれるので電気通信事業者は注意
    • でもselective greylistingは許されつつある。(ぷらら)
  • eximにはsleep相当のがないのでtaRgreyがつかえないかも
    • でもmilter-greylistingがつかえるかも。
  • wifehack
    • 勉強会つながりで仕事がとれるという実績がほしい。
    • 大きな仕事はできないので小粒なやつを。

ケーブリング哲学 / ほっけ (佐野務)

  • 長くなるのでラッキングの話はなし。
  • ケーブリング
    • 重要性
    • LANケーブルについて
    • 整線(せいせん)
    • 干渉
    • ラベル
  • ケーブリングの重要性
    • きれいでないと上司や取引先からの視線が痛いw
    • トラブル解決に時間がかかる
    • 原因不明のトラブル: GbEなのに100Mしか出ないとか、fullなのにhalfでlinkupするとか。
    • 重さや経年変化でRJ45が導通不良になることも。
  • パッチケーブル
    • 曲げにつよいが短い距離でしかつかえない。
    • より線でやわらかい。
  • 自作ケーブルの危険性
    • 高周波の測定がきない。(そのへんで売っている機械では直流抵抗値しか測れない)
    • cat6だと5mmくらいしかよりもどしができず難しい。
    • 圧着器とタマのと相性で線がつぶれて不良になることもある。
  • 整線アイテム
    • ケーブルダクト: ふたをするのできれいにみえる
    • せいせんパネル: 鉄の棒のあいだをとおす。ケーブルまるみえだが。頻繁につけかえするなら便利。cat6の太いケーブルではこっちがやりやすいかも。
    • ベルクロ
    • 結束バンドはきらい
  • LANケーブル同士の干渉
    • きしめんケーブルを平行に這わした場合におこりやすい。
    • ケーブルを巻くだけでも干渉するので、だんだん径が小さくなるように巻くがよい。そうすると干渉する部分を減らせる。
  • LANと電源の干渉
    • 電源ラインからのノイズがあるので規格では以下のように決まっているらしい:
      • モータ類: 120cmはなす。
      • 電源: 30cmはなす。
      • 蛍光灯: 130cmはなす。
    • 経験上CRCエラーはおこったことはない。
    • ケーブルメーカ調べではcat6でほとんど影響がない。
    • 施工業者は(用心して)電源ケーブルの上にゴム板を置いてLANケーブルは直交するようにのせる。
    • 電磁誘導もある。
  • ラベル
    • 色わけだけではやっぱり種類がたりない。
    • 結束バンドについているものとか。
    • ケーブルにまきつけるものシールタイプとか。
    • でもシールのは250枚で1万円くらいと高い。
    • 種類とか、どこからどこへ、と書いてあればわかる。
    • ネットワークの論理的な名前ではなく、スロット何番目と書くとよい。
    • ケーブル1本ごとに番号をふってしまうのがおすすめ。1本100円くらいでマーキングをやってくる。配線をつけかえるときにexcelをちょちょっと書き換えるだけで対応できるメリットがある。
  • Q:電源ケーブル
    • たいてい2mくらと長くてこまる。
    • 20cmくらいのを特注したり(さくら)。
    • 愛三の地下でも 50cm, 70cm, 100cm のを売っているらしい。
    • とぐろをまかないで一旦下とか上にまわす。
    • 法律上、電源ケーブルは自作できない。(100均で売っているのは実はよくない)
  • Q: 1Uでひっぱりだせるタイプの場合にはケーブルに余裕をもたせないといけない。
    • 大手であれば「く」の字のバーがあるので、それに這わせる。
    • なければ、スパイラルチューブをつけてレールには挟まらないようにするとか。
  • 1人でラックマウントするには、まず下のネジを電動ドライバで締める。
  • 細いケーブルはきしめんとちがってつかえる。
    • ただPoEにはつかえない。
    • 抵抗値が大きいので距離が100mよりは短かくなる。
  • GbEでcat5eとcat6のちがい。
    • 5eだと周波数に余裕がない: 性能100MHzのところに、信号80MHzを流すので。
    • AWG(規格)5eでは線が細いので、IP電話ではメーカーは6をつかってほしいとのこと。
  • Q: 古いケーブルはつかいまわししていいか?
    • 樹脂(被覆)が固くなるので、つかわないほうがいい。
    • エコケーブルはながくつかえるかもしれない。
    • コネクタの抜き差し回数の制限があるので、数えるべし?
  • シールではなく、はめこみタイプのラベルもよい。
  • Q: シールドありのケーブルは、ノイズの多い工場くらいでしか使われないのではないか。