第09回まっちゃ445勉強会

| | コメント(6) | トラックバック(0)

・第09回 まっちゃ445勉強会
http://matcha445.techtalk.jp/saturday-workshop/9th-workshop (Google Sites)

テーマは「迷惑メール対策」。


・第9回まっちゃ445勉強会(迷惑メール対策勉強会)に参加しました。 - ふうてんのまっちゃだいふくの日記★とれんどふりーく★
http://d.hatena.ne.jp/ripjyr/20090830/1251592536
まっちゃだいふくさんによる参加者のブログへのフォローなど。

目覚まし勉強会 (ライトニングトーク)


Internet Explorer 8 の怪しい (本当は怪しくない) HTTP リクエスト
Hebikuzureさん (hatena)
公開資料


1ヶ月遅れくらいで IEBlog を日本語化して下さってるとの事。

今回の話は、IE の互換表示リストの整理 (IEBlog) の件。

IE8ではモダンブラウザ対応に関係して、rootに怪しい(?)リクエストが送られる話。

IE8で互換表示機能が有効になる条件は、、、。

  • ユーザが互換表示ボタンを押した時
    • ドメイン単位でユーザの互換表示リスト(レジストリ内)に登録される
  • ページのmetaタグ、HTTPヘッダーに指定があった時
    • <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
    • X-UA-Compatible: IE=EmulateIE7
  • MSが提供する互換表示リスト
    • 「res://iecompat.dll/iecompatdata.xml」でドメイン情報を表示できる
    • WindowsUpdateで更新される


・怪しいリクエストは?
IE8が互換表示機能でアクセスし、サーバがIE8モードを指定してきた場合に起きる。
ドメインrootへ、HEADリクエストと IEStandards.xml を取得するリクエストが発生する。


・互換表示リストをWEBサーバ側で整理するには?

X-UA-Compatible ヘッダで IE8 モードを指定するようにし、ドメインrootに IEStandards.xml を作成し、以下の様に記述する。

<IE8StandardsMode/>


・互換表示ボタンの配置場所について。
ユーザは、表示できない場合、リロードボタンを押す。
表示出来ない時に互換表示ボタンを押すようにリロードボタンの隣に置いた。
事実、リロードボタンの横に置いたら使う人が増えたとの事。

・レンダリングモードの確認。
F12キーを押して起動する開発者ツールで確認できる。
メニュー部分に表示される「ブラウザーモード」と「ドキュメントモード」を確認すれば良いかな。


宝探しに出かけよう
ゆまのさん (G)


Word文書の中に含まれる個人情報(?)を探す話。

プロパティや本文、マクロコメント等に含まれる。

バイナリエディタで見える。
本文はUTF-16で書かれている点に注意。

Office2003ではアドオンを入れれば削除できる。
Office2007では標準機能で削除できる。

XMLで保存すると全てがテキストで保存されるのですぐに分かる。

アドオンの話はこの辺↓の事だと思う。

SEE:
MS Officeに含まれるメタデータ (このblogより)

え?Officeのバイナリファイルフォーマットを視覚化する「Microsoft Office Visualization Tool (OffVis)」の話も出てましたっけ?


来週はセキュアOS塾で
海外さん


来週、日本オラクル 青山センターで PostgreSQL の紹介をする。
詳しくはセキュアOS塾-04を参照。

SE-PostgreSQL v.s. Oracle Label Security

SE-PostgreSQL は、SELinuxと連携したPostgreSQL。


第09回まっちゃ445勉強会


迷惑メール対策 イントロダクション
umqさん
公開資料


・現状
流通する86%が迷惑メール。
ほとんどが海外発。

・対策

  1. 経路 (怪しいネットワークと通ってきてないか)
  2. メッセージ (メッセージそのものの情報を調べる)


DKIM, SPF設定と送受信サーバの分離 → メール送信サイトの設定
umqさん
公開資料


送信ドメイン認証の話。

・送信側で、DNSを使って主張をする技術

  • SPF/SenderID
  • DKIM

・SPF/SenderID
(受信側にとって)SMTPクライアントのアドレスが登録されているか?
SPFはDNSに書くだけなのでお勧めとの事

・DKIM
ポリシーに従って署名ヘッダをつける
公開鍵と署名付与方針をDNSに登録する

dkim-milter は fork して OpenDKIM になったそう。


S25R スパム対策方式のご紹介
浅見 秀雄さん


選択的SMTP拒絶方式。
メール経路制限のコンセプト。

spamはbot化してるクライアントが直接メールを送信する事が多い。
メールサーバ経由で送信せず、直接受信側サイトのメールサーバに接続するものをはじく。

「逆引きできないクライアント」や「メールサーバでないと思われるクライアント(数字を多く含むホスト名など)」からの接続に対し、応答コード「450」を返し、再送要求する。
受け取る必要のある接続は、再送されてくるまでにログをみてホワイトリストに登録する(救済)。
再送されてくるまでが救済猶予期間なので、きちんと確認する必要がある。

ホワイトリストは公開されている。
メンテは大変そう。お疲れ様です。

SMTPセッションでのスパム対策とtaRgrey
佐藤 潔さん


spamを送信するbotは短い時間に大量のメールを送信できるように、振る舞いが普通と違う。

greylisting
- 一時拒否してから、再送されてきたら受け取る
- botは再送処理をしない事が多い
- メールの遅延が発生する。
- 再送しないサーバもある。
- 再送用の異なるサーバ(異なるIPアドレス)から再送してくる事もある。

nolisting
- botはプライマリMXしか見ない事が多い。
- プライマリMXは動作しないサーバを指定し、セカンダリMXに正しいサーバを指定しておく。
- spamの8割を拒否できた。

・tarpitting
- SMTPセッションの返答を何10秒か待たせる。
- 10秒程度で諦めるbotが多い。
- 85秒待たせる90%位をはじける
- 短い時間しか待たない正しいサーバもある
- FWが、SMTPセッションの応答を待たせている時間を、無通信時間をみて接続を切ってしまう
- 待たせている間、プロセス数が増大してしまう

・passive OS fingerprinting (p0fなど)
- TCPセッションでOSが分かる
- Windowsからだったらbotと判定
- でもWindowsだからと言ってすべてがbotというわけではない・・・。

・国コード (GeoIP)
- IPアドレスから国コードを識別
- 特定の国だったらspamと判定
- でも某国から来たからといってすべてがspamというわけではない・・・。

JavaMailはコーディングしないと再送処理をしないって話もあった。

「誤検出がない事を重視すべき」
→ 誤検出や副作用を減らすため、複数の技術を組み合わせて多段にする

1次フィルター、2次フィルター・・・(多段)

DNSBLよりS25Rはゆれが少ない。
ISPがDNSBLに登録されてしまう事がある。


milter manager / milterに重みを置いて
須藤功平さん
公開資料


milter manager でmilter活用。
複数のmilterを組み合わせて運用できる。

・「肉リリース」とは
毎月29日、または、2/9に必ずリリースして、コンスタントに成果をだし、開発の勢いを活性化させる手法。
この日も8/29だったのでリリースしたそうです

・プレゼンアプリ
自作のプレゼンテーションアプリを使って発表していた。
多分「Rabbit 0.6.2」。
1つ前の発表をした佐藤 潔さんも使ってました。
画面下でウサギとカメが競争していてかわいかった。
多分、プレゼンのスピードを管理してるんだと思う。
ウサギはページ数に対応して左から右に動いて、カメはタイマーで左から右に動く。
ウサギとカメが同じ位置にいれば丁度良い時間でプレゼンしてると言う事だと思う。
1つのページで長く話しすぎてるとウサギが居眠りするようにしたらどうだろうか?

多分コレ (Rabbit)


自動メール分類ツール POPFile
いいむらなおきさん (hatena)
公開資料


POPFileは、元々はspam対策ではなく、メールをいくつかの分類に振り分けるために作られた。
Proxyサーバとして稼動して、POP3、NNTP、SMTPに対応。
IMAPモジュールもある。

「擬似単語」は、spam判定されないようにするスパム送信者が良く使うトリックの1つ。
例えば、単語の各文字の間にスペースを入れる。(例: w o r d)
POPFileが解釈することができる「疑似単語」はココを参照。

POPFileの考え方としては、「間違ったときだけ、再分類する」。
DB肥大化したり、判定ミスが多くなるから。


日本語化SpamAssassin
滝澤 隆史さん (hatena)
公開資料


日本語対応パッチは、日本SpamAssassinユーザ会 - ダウンロードSpamAssassin関連実験場経由で入手できるっぽい。

SpamAssassinは、様々な試験のスコアを加算して、スパムらしさを判定する。
SpamAssassin単体では振り分けは出来ず、メールにヘッダが追加されるだけ。
procmailなどを使って振り分けをする。

Perlモジュールがあるので、PerlプログラムにSpamAssassinを組み込む事が出来る。

各試験は、プラグインとルールで出来ている。


TLECのuser_prefs
松田陽一さん
公開資料


息を切らせ、弾ませ発表してくださいました :)。

SpamAssassin本家で配布してるルールには副作用を起こすルールも多い。

松田さんが使用してるSpamAssassinのユーザ定義ファイルをそのまま公開している
日本語スパムに特化したルール。
ユーザ定義ファイルのフォーマットを決めているのでSpamAssassinの出力をgrepするとどのISPかすぐ分かるようになっている。
DNSBLやRazor2などのスコアを意図的に低くしている。

・spam判定で気をつけること。

  • Fromヘッダはほとんど無意味。
  • ボディよりヘッダーを見た方が良い (日本語の場合?)

今日のアフターフォローは、日本SpamAssassinユーザ会のフォーラムでやるそうです。公開資料へのリンクもあります。

お菓子

今回はまっちゃ445勉強会1周年記念って事でちょっと奮発したそう。
Pastelなめらかプリン&フルーツショート
おいしかったです。

第09回まっちゃ445勉強会で出たなめらかプリン&フルーツショート

トラックバック(0)

このブログ記事を参照しているブログ一覧: 第09回まっちゃ445勉強会

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/525

コメント(6)

stealthinu :

さとうです。

今回の講師陣で連絡やりとりしていて、事前にプレゼン資料PDFで出したら、須藤さんがRabbitでプレゼン出来るよってことで当日見せてくれて。
PDF化してあればなんでも、あの時間表示機能使ったプレゼンできるので、それだけでも結構使えるかもと思いました。
特に今回は時間がタイトだったので、すごくわかりやすくて良かったです。

あと、今回は話しなかったのですが、フィルタ組み合わせ系の考えはWebアプリにも応用できて、例えばこちらのブログのようにコメント認証機能を使う場合も、コメントにURLが書いてある場合だけCAPTCHAによるチェックが入るとかできると思います。
あとGeoIPでCNからだったらチェックとかですね :)

ike :

さとうさん。コメントありがとうございます :)。

Rabbitは、当日教わってすぐに使えちゃうんですね。時間表示機能、便利そうでした!

なるほどう、Webアプリへの応用ですかー。
その場合も多段にする(URLあり→CAPTCHA、GeoIP→CAPTCHA)必要がありそうですねー。
私のblogの場合、国際性ないのでGeoIPのみではじいちゃっても問題ないかもしれないけど ^^;

stealthinu :

そうそう。そんな感じで多段にするイメージです。
今回の勉強会では話さなかったのですが、spam_filter.phpというPukiWiki用のスパム対策とかもちょっと書いてまして、それはまさにそんなことや、複合条件(メタ条件)でのフィルタとかができます。
メールの不要な遅延を減らしたいのと同じく、できれば不要なCAPTCHAは減らしたいんですよ :)

ike :

さとうさん。どうもです。

「spam_filter.php」はこれ↓ですね?

・PukiWiki Plus!用のスパムフィルタ spam_filter.php
http://d.hatena.ne.jp/stealthinu/20070516/p2

すばらしい。沢山フィルタが用意されてますね!
多段もばっちりそうですね!

このblogにおいて、banしたトラックバックの送信元上位5ヶ国はこんな感じ。
(banしたコメントはちょっと前に削除しちゃったみたいでなかった・・・)

US : 26231
GB : 626
RU : 324
NL : 274
DE : 255
:
CN : 83 (参考:12番目)

調査サンプル数が少なすぎるけど、ブログに関してはCNは問題少ないのかな?。

stealthinu :

それですそれです。

メールのスパムとコメントスパムの傾向って結構違いますし、トラックバックスパムとコメントスパムでもたぶん違うと思います。
あと、普通のコメントとWiki狙いの場合とでも違う感じです。
このへんは、結構細かく専門にしてる業者が違ってるようで、自分もちゃんとデータ取れてないんですが、例えばメール用のDNSBLはコメントスパムで使ってもほとんど意味なさないとか、そういうのでわかります。

で、CNなところからのコメントスパム着弾は少ないのですが、Wiki狙いだと、MMORPGのRMTで儲けることが目的でアカウントハックをするためのサイトへの誘導をする書き込みがあって(自分でもなにを書いてんだかわからなくなるような文ですが…)それがCNからがほとんどなのです。

ike :

さとうさん。どうもです。

メール、コメント、トラックバック、wiki、・・・で業者が違って傾向も違うのですね。

> MMORPGのRMTで儲けることが目的でアカウントハックをするためのサイトへの誘導

他人のオンラインゲームのアカウントを盗んでゲーム中のアイテムを現金に換えてしまうのですね。

今回の勉強会で、「spam業者は、名簿の件数でお金を貰ってるのではなく、spamを送って得た実際の売り上げの何%という形でお金を貰ってるようだ」(オフレコじゃなかったですよね?)なんて話がありましたね。やっぱり、高いアイテムを持ってるユーザを探すノウハウなどあるんでしょうかね?
そういえば、先日、INTERNET Watchに『「魔法の剣」売却益も所得です――ネット取引の申告漏れが急増』なんて記事がありました。

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2009年8月31日 08:54に書いたブログ記事です。

ひとつ前のブログ記事は「TOMOYO Linuxメインライン化記念勉強会 (第07回まっちゃ445勉強会)」です。

次のブログ記事は「第10回まっちゃ445勉強会」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

On 第09回まっちゃ445勉強会
  • ike: さとうさん。どうもです。 メール、コメ
  • stealthinu: それですそれです。 メールのスパムとコ
  • ike: さとうさん。どうもです。 「spam_
  • stealthinu: そうそう。そんな感じで多段にするイメージ
  • ike: さとうさん。コメントありがとうございます
  • stealthinu: さとうです。 今回の講師陣で連絡やりと
Powered by Movable Type 4.261