株式会社サードウェア

Zebra Linuxメールフィルタ：フィルタ機能の詳細

Zebra Linuxメールフィルタは、スパムフィルタを中心としたさまざまな手法を用意しており、危険性が高いメールを効果的にフィルタリングできます。

メールチェックの流れ

Zebra Linuxメールフィルタで利用できるメールチェック手法は以下のとおりです。受信したメールは下記の記載順にチェックされます。

1. 流量制限 - 送信元サーバごとに、指定した時間の間に受信するメールの通数あるいは合計サイズで受信を制限します。
2. グレイリスティング - 新しい送信元サーバからの1回目のメールについてだけ受信を拒否します。
3. ウィルスチェック - ウィルス感染の有無をチェックします(オプション)。
4. ホワイトリスト/ブラックリスト - ユーザごとあるいはドメインごとに登録したホワイトリストあるいはブラックリストにもとづいて、スパムチェックせずに受信する(ホワイトリスト)か、無条件に受信を拒否(ブラックリスト)します。
5. ヘッダチェック - スパム送信迂路グラムなどが生成した不完全なメールヘッダが含まれているかチェックします。
6. 添付ファイルチェック - 実行形式のファイルなど危険性があるファイルが添付されているかチェックします。ただしファイル名やファイルタイプなどのレベルのチェックです。
7. スパムチェック - スパムメールかどうかをチェックします。

フィルタに引っかかったメールの取り扱い

ウィルス感染メール、スパムメールなどと判定されたメールは、Zebra Linuxメールフィルタをインストールしたサーバの隔離エリアに隔離されます。設定によってユーザのメールボックスに配送することもできます。

隔離されたメールは、管理ツールを使って内容を確認したり、誤って隔離されたメールを取り出すことができます。

スパムチェックの詳細

Zebra Linuxメールフィルタはスパムチェック・エンジンにSpamAssassinを採用しています。SpamAssassinは、次のような複数のカテゴリのチェック方法を組み合わせて、スパムメールかどうかを総合的に判断します。

• メールヘッダのチェック -スパムメールの大量送信に使われるプログラム名、送信元や中継元の国名など、ヘッダに含まれる特徴にもとづいて、スパムメールかどうかのスコアを算出します。
• 本文の内容にもとづくチェック - スパムメールに多く出現するキーワードなど、本文の内容にもとづいてスパムらしさを判定します。
• ベイズフィルタ - これまでに受け取ったスパムメールと正規メール(スパムでないメール)の特徴を学習させておき、学習データベースにもとづいてスパムである確率を求めます。判定精度を高めるには、スパムメールと正規メールをバランスよく学習させておく必要があります。
• リアルタイムブラックホールリスト(DNSブロックリスト、RBL) - 過去に送信されたスパムメールに関して、その送信元、本文中に含まれるURLなどの情報を集めたデータベースサービスが複数あります。これらを参照することにより、スパム判定の質を高めることができます。ただし、サービスごとに運用ポリシーがあるため、目的に合ったサービスを利用することが重要です。

2種類の判定ミスについて

明瞭に誤解の余地なくスパムかどうかを判定することは難しく、上述のようにさまざまな判定基準にもとづいてスパムであるかどうかを総合的に判定する必要があります。このため、スパムチェックにおいては判定ミスが避けられません。いかに判定ミスを減らすかがとくに重要な課題になっています。

スパムの判定ミスは、次のように2種類あります。

• スパムではないのにスパムと判定されるミス(false positiveと呼ばれます)
• スパムなのに正規メールと判定されるミス(false negativeと呼ばれます)

false negativeは、「今までスパムだらけだったメール受信箱に何通かのスパムがすり抜けて届いてしまった」というタイプの判定ミスです。もちろん少ない方がいいに決まっていますが、false positiveと比べると害が少ないと言えます。一方false positiveは、受け取りたいメールが隔離されて届かなかったり、あるいは件名欄などに"***SPAM***"といったマークが付けられてしまうことになります。数多くのスパムの中に正規メールが混じってしまうことにより、間違えて捨ててしまう可能性も出てきます。したがって、false positiveをいかに少なくするかがとくに重要な課題になります。

SpamAssassinの日本語対応

SpamAssassinの有効性は高く評価されています。しかし、日本語メールについては問題が残っており、とくにベイズフィルタの精度が高くならないという大きな問題を抱えています。その結果、false positive率が高くなりがちでした。

当社はこの問題に着目し、日本語スパムを適切に処理できるようSpamAssassinを改良しました。この結果、false positiveが顕著に減少しました。詳細は「Zebra Linuxメールフィルタ：スパム検出精度の向上」をご覧ください。

ベイズフィルタ学習の全自動化

日々新しいスパムメールが送られてきます。過去のメールの特徴にもとづいてスパム判定を行うという原理上、ベイズフィルタはつねに新しいメールを使って学習させる必要があります。継続的な学習にあたって、スパムメールだけを学習させるのは不適切です。正規メールも学習させて初めて、ベイズフィルタはそれらの違いを学習します。

Zebra Linuxメールフィルタは、スパムと判定されたメールだけでなく、正規メールも一定期間サーバ上に保管します。ユーザが隔離エリアをチェックして判定ミスを指摘することによって、最終的に判定が確定したスパムメールと正規メールの両方をベイズフィルタに学習させることが可能になります。

正規メールを保管してベイズフィルタの学習に回せるというZebra Linuxメールフィルタの機能は、ベイズフィルタの精度を維持向上させる上でとくに有用だといえます。

グレイリスティングと流量制限

Zebra Linuxメールフィルタは、設定によりグレイリスティングと流量制限に対応します。

グレイリスティングとは

一定割合のスパムメールは、1回送信を試みてエラーになった再送しないというプログラムから送られています。この特徴を利用して、新しい差出人からのメールは1回目は受信拒否して2回目以降は受け付けるようにするという対策が考案されました。この手法をグレイリスティングと呼んでいます。

グレイリスティングはかなり有効な方法だと言われていますが、まれに再送しない設定のメールサーバも存在します。このため、Zebra Linuxメールフィルタでは、設定した場合のみグレイリスティングが有効になります。

流量制限とは

短時間にきわめて多数のメールが送られてくる場合、その内容はスパムメールである可能性があります。このような観点から、Zebra Linuxメールフィルタでは、「◯分間に◯通以上のメールが送られてきたら、その後一定時間はその送信元からのメールは受け取らない」という制限を実施できます。

スパム以外のメールチェック

Zebra Linuxメールフィルタは、スパムメール以外にも、危険性が疑われる次のようなメールのチェックも実施できます。

• 添付ファイルのチェック - 実行形式のファイルが添付されているメールは、スパイウェアなどの危険なプログラムの感染経路になる恐れがあります。
• ヘッダが不正なメールのチェック - メールヘッダはRFCで標準的なフォーマットが決められています。標準的でない壊れたメールヘッダを持つメールは、不完全で特殊な目的のためのプログラムから送信された可能性があり、一般的に注意を払うべき対象になります。
• ウィルス感染メールのチェック - Zebra Linuxメールフィルタはオプションでウィルスチェックにも対応しています。