ICT基盤推進課
Blackboard@Tamagawa
ITサポートデスク
学生Webメール

SPAMメール Gateway System からのレポートメールについて

 SPAMとして疑わしいメールが学外から届いた時に、それを即座に該当者宛に配信するのではなく、一度、当システムで保留させ、 その代わりに定時的にレポートをメールたします。もし、レポートに必要なメールが記されていれば、 右図の様にそのレポートに返信すれば保留中のメールを受取ることが出来ます。
 このシステムは、必要・不要の情報を学習しています。 そして、必要とするメールを多く送信してくると学習された送信元に対しては保留されることなく即座に配信されるようになります。 一方、だれも必要としないメールしか送信してこないと判断された相手に対しては、受信拒否か引き続き保留されるようになります。
  • メールの保留期間は2週間です。
  • レポートメール配信時間は毎時0分です。
  • 今すぐに最新のレポートが必要な場合は、
    本文に「99/99999999999999999999999999999999」(9を2個/32個)とだけ記述したメールを <spam-report@postroot.tamagawa.ac.jp> 宛にお送りください。
    Subjectが「Suspended Latest Mail Report」のメールが届きます。
  • 今配信保留になっているレポートが必要な場合は、
    本文に「00/00000000000000000000000000000000」(ゼロを2個/32個)とだけ記述したメールを <spam-report@postroot.tamagawa.ac.jp> 宛にお送りください。
    Subjectが「Suspended All Mail Report」のメールが届きます。
  • このレポートメールが煩わしい場合は、
    教職員メールサーバでは https://mail.tamagawa.ac.jp/cgi-bin/reject.cgi
    学生用メールサーバでは https://mails.tamagawa.ac.jp/cgi-bin/reject.cgi
    のページで「破棄条件の追加」として「Subject」が「Suspended Mail Report」「を含む」フィルタの設定をして下さい。

メールフィルタ機構について

 学外から本学宛に送られてくるメールは、右図の様に「学外メール受信窓口サーバ」から「Virus駆除システム」を経て個々ユーザのメールを溜め込む「メールサーバ」に到着します。 これら個々システムでは「受け取りを望まないメール」に対して下記の様な処理が行われています。

『学外メール受信窓口サーバ』での処置

Realtime Blackhole List(RBL)

この手法でSPAM判定されたメールは破棄され、レポートされません。

 SPAMを送出していたりSPAM送出に悪用される状態にあるとされるメールサーバのIPアドレスがデータベースとしてインターネットに公開されており、 そこに登録されているメールサーバからのメールの受け取りを拒否します。現在、本学で使用しているデータベースは以下の通りです。 信用を必要とする組織は、こういったデータベースに登録されないように自組織のメールサーバを構築・管理する必要があります。

 なお現在、下記に該当する場合はRBLの検査対象外になり、拒否されることはありません。

  • メール発信元IPアドレスの逆引き名のトップドメインが「jp, edu, gov, org」のいずれか
  • 上記以外の既知メールサーバ

▼以降の処理において下記に該当する場合は処理対象外になり、速やかにメール配信されます。

  • メール発信元IPアドレスの逆引き名のトップドメインが「jp, edu, gov, org」のいずれか
  • メール発信元IPアドレスの逆引き名のセカンドドメインが「ac, go, ed, edu」のいずれか
  • 上記以外の既知メールサーバ

Check Sender Domain

この手法でSPAM判定されたメールは破棄され、レポートされません。

 送信元メールサーバから送られてくるメール発信者のメールアドレス情報(SMTPのMAIL FROMコマンド)において、 その@マークより後ろの部分(username@xxxxx.xx.xx の下線部分) がDNSによって逆引きできない場合、 発信者のメールアドレスは送信元不明として判断し、そのメールを破棄します。

MaxRecipients

この手法でSPAM判定されたメールは破棄され、レポートされません。

 一度のSMTPセッションにおいて学内の多くの人にメールに送る行為はSPAMメール送信の手法に非常に多く見受けられます。 従って、同時に10人以上の宛先が記されている場合は、そのメールを破棄します。

文面同一性チェック

この手法でSPAM判定されたメールは破棄され、レポートされません。

 同一文面のメールが大量複数のメールサーバから送られてくる挙動は通常は起こりえません。 これが発生する原因は、SPAM送出者が自分を隠蔽するためにインターネット上の多くのパソコンを乗っ取り、それをメールサーバとして動作させ送出しているためです。 したがってこの状況が検出された場合は、該当メールは破棄され、また乗っ取られたと思われるパソコンからのメールは以後受け付けません。

Graylisting

この手法において処理されたメールがレポートされます。

 インターネットにはRFCと呼ばれる仕様書が存在し、 そこでは『受信側メールサーバがメールの受け取りを一時拒否した場合、送信側は任意の時間(30分程度)待って再送信する。 (RFC2821 4.5.4.1)』というルールが記されています。 『一時拒否』とは、例えば『今沢山のメール処理中だから、ちょっと後にして』等といった意味合いになります。 この場合、送出側のメールサーバは後で再送信しなければならないのですが、SPAMを送出しているメールサーバは再送信しません。

 この特性を利用して、『一時拒否』することで再送信の有無を確認し、再送信があれば正当なサーバとしてメールを受付し、 そうでなければ、そこからのメールをユーザに届けないようにします。なお、再送信か否かは、一度目のSMTPセッションにおける、 メール発信元IPアドレス、MAIL FROM、RCPT TO、そして、メールのペイロードの4つの情報をまとめたMD5HASH値で判断しています。

 しかし、信用できる組織のメールサーバにおいても、再送信してこないことが稀にあります。 その場合の為に、再送信待ちメールに関する要約情報がユーザにレポートされます。 もしその中に必要なメールがあればそのレポートに返信することで該当者宛に届けられるようになります。

 この必要・不要の情報を学習することにより、必要とするメールを多く送信してくる送信元に対しては即座に配信されるようになり、 一方、だれも必要としないメールしか送信してこない相手に対しては受信を拒否するようになります。

『Virus駆除システム』での処置

『学外メール受信窓口サーバ』を通過できたメールは、次にこのシステムで検査されます。

Virus駆除

この手法でVirs/Worm判定されたメールは破棄され、レポートされません。

一般的に言われるVirus駆除です。Virus/Wormに感染しているメールは即座に破棄されます。

『メールサーバ(ユーザ宛のメールを保持するサーバ)』での処置

最後に、ユーザ個別に設定されたフィルタにマッチしたメールが破棄されます。

パターンマッチング

この手法でSPAM判定されたメールは破棄され、レポートされません。

FromやSubjectに指定の文字列が含んでいる場合にメールを破棄します。

←ICT基盤推進室へ戻る ↑このページの一番上へ戻る