(Paul Robichaux)

 スパム同様,アンチスパム市場も徐々に成長し変わっている。数年前にスパムとの戦いは,単純な件名と送信者,IPアドレス・フィルタで十分であった。ところが,スパマーとわれわれとの軍拡競争のエスカレートが続いたので,最前線では“共同作戦(Collaborative Solution)”が有効になってきた。

 共同作戦とは,スパマーが自分たちのメールを全世界に配信しなければならないという事実に基づいた方法だ。もし,あなたがスパム・メールを受け取って,その特徴を他の人と共有できれば,みんなでスパム・メールに対して,先制攻撃的にフィルタできる。このような情報を共有する拠点に,十分な数の報告が集まり,うまくカバーして,数多くのメール・サーバーが横断的に共有するフィルタがあれば,スパムを防げるわけだ。

スパムに含まれるURLで弾く
 ここで「スパムURLリアルタイム・ブロック・リスト(SURBL)」という有望な方法を紹介しよう。ここで使われるリストは,スパム・メールに含まれるURLを共同で探すことで効力を発揮する。スパムは,悲惨なほど幅広い情報源からやってくる。しかし,受信者がスパマーに接触するためのアクセス先を含んでいる必要があり,それがURLというわけだ。特定のURLを掲載してあるスパム・メールに,目印を付けることで,スパムを高い精度で捕まえられる。

 もちろん,SURBLは完璧ではない。URLでなくて電話番号を登録してもスパム防止に役立たない。スパマーはURLを暗号化して,そのリストを無効にしてくるかもしれないが,そのトリックは,だれかが暗号化されたものをリストに登録すれば,だめになる。

 アンチスパム市場は,新しく洗練されたサード・パーティ製品がすでにあり,競合が進んでいる。RBL(リアルタイム・ブロック・リスト)なども,簡単にIPアドレスを同定できるものから送る代わりに,ゾンビ・マシンにからメールを送るようになって,すぐに廃れてしまった。

 SURBLは比較的新しい手法なので,SURBLのWebサイトを是非見てほしい(該当サイト)。どのようにフィルタリングするかその技が分かるだろう。

Exchange用の無料コンテンツ・フィルタ
 私は,SURBLをサポートするサード・パーティ製のExchange Server用フィルタは知らなかった。しかし,SURBLsの考案者であるJeff Chen氏は,Doug Swallow氏のメール・サーバー用のコンテンツ・フィルタ・ソフト「RegEx Filter」(該当サイト)がまさしくその役目を果たすと教えてくれた。

 RegEx Filterは,正規表現を使って,SMTP(簡易メール転送プロトコル)の電子メール処理を制御する。だからRegEx(Regular Expression)という用語を使っている。その背後にある基本的なアイデアは,電子メールを任意のテキストのパターンでフィルタできるよう。さらに,後からこれとSURBLとを結びつけて利用できる。

 アスタリスク(*)のワイルド・カードとして使ったことがあれば,正規表現の使用も大丈夫だ。正規表現はテキストと文字列の処理には便利である。RegEx Filterは,ExchangeのSMTPエンジンをフックするイベント・シンクである。そしてメッセージの送信者,返信先,内容に対して正規表現でテストをする。このフィルタのデフォルトは,最初のバーチャル・サーバー・インスタンスにしか働かないが,それは簡単に変更できる。

多彩なコンテンツ・フィルタができる
 入ってくるメッセージに適用する個別のフィルタはいくらでも設定できる。このフィルタは以下のものを備えている。
●アダルト向けのスパムによくあるパターンをテストする大きなフィルタ・ファイル。
●許可したい表現からなるホワイト・リスト。このリストをカスタマイズすることで,URLや送信者をホワイト・リストに入れられる。
●ブロックする返信先リスト。このフィルタは,SMTPの「RCPT TO」という語句を検出したら,ブロックする返信先のリストを見て,瞬時にそのメールが配信で受信される前に落としてしまう。
●「Nigerian scam」(架空の融資話などをもちかける詐欺メール)メッセージによくある表現からなるリスト

 こうした機能を使って,自分用のフィルタ処理の表現を作っておける。あなたがXMLファイルの編集をたやすくやってのけて,受け入れたり弾いたりするメッセージに合う正規表現の書き方が分かるのであれば好都合だ。

 そのフィルタ処理用言語のXMLファイルのスキーマは非常に豊かだ。IPアドレス範囲を指定したり,DNS(ドメイン・ネーム・システム)ルックアップを実行して,その結果によってフィルタしたり,わざとタイムアウトを起こして,スパムを送信してくるメール・サーバーの処理速度を落としたり(繰り返してスパムを送ってくるスパマーを罰するのに効果的),そのほかにもたくさんの特徴を備えている。

パフォーマンス低下は要チェック
 私の限られたテストでは,そのフィルタによって特に大きな性能の低下はなかった。しかし,私の電子メール・サーバー群は,比較的低いトラフィックしかなく,もう1つ別のサーバーがスパム・フィルタの大部分を行っているので,他の環境では性能は変わるかもしれない。十分なテストが必要だろう。うれしいことに,このフィルタがパフォーマンス・モニターのカウンタのセットも内蔵していて,あなたのサーバー上での全般的な性能とメッセージ・フィルタ処理の性能を関連づけて記録できる。

 RegEx Filterは完璧なものではない。例えば,そのドキュメントはよく分からない。Exchange Serverにこのフィルタを導入するための,ステップ・バイ・ステップのガイドがない。デフォルト設定のうち,ちょっとイライラさせる変なところは,受け入れたメッセージ全部をディスクにログとして出力することで,しかも正当と認めて受け入れたメールすべてをテキスト形式でむき出しのまま書き出すことだ。セキュリティにかかわる明らな問題を別としても,これらのログはとんでもないディスク・スペースを消費する。幸いに,このログ機能は簡単に止められる。

 そういうことをすべてひっくるめていえば,RegEx Filterは,あなたが既に使っているフィルタ処理に,SURBLフィルタの処理を結びつけることができ,それが無料であることも考え合わせれば,かなり面白いと思う。