ちゃたろうふぁんくらぶ

うちの鯖ではメーリングリストを2件運用している。さくらのレンタルサーバがfmlをインストールしてくれてあるので、設置はとても簡単なのだが、今月に入ってそのうちの一つのMLでやたらスパムメールが飛び交うようになってしまった。
多分原因はメーリングリスト参加メンバの一人がウイルススパムに引っかかって、自分のアドレス帳に載っているメールアドレスを垂れ流してしまったこと。そのなかにメーリングリスト用のアドレスも入っていて、どこかで拾われたっぽい(ので僕のところには自分のアドレスとMLのアドレスと両方からスパムが増えてしまった)。
まあ、参加メンバがウイルスに引っかかったり、スパムをやらかしたりと言うのは責におえる話では無いし、そういう状況に対応してこそ自前で運用していることの最大のメリットであるべきだと考えているので、いろいろ設定を加えてみた。この記事はその備忘記事。

なお、この記事の内容はfml の SPAM 対策を大いに参考にしてもらった。と言うか、ほとんど抜粋でしかない。参考記事は決して新しい記事ではないようだが、参考元にもあるようにfml自体が相当に古いソフトでもあるので、参考記事の内容で充分であった。

スパムメールフィルタを通す設定にする

まずは必須の設定。さくらのレンタルサーバはspamassassinと言うベイジアンフィルタを標準搭載しているので、これはぜひ活用したい。
スパムアサッシンの設定はサーバ提供の初期設定でも構わないが、可能なら日本語環境向けにカスタマイズぐらいはしておきたい。
うちのサーバでのspamassassinカスタマイズ状況は、臨時対策：最近急に増えたスパムメール対策および2011年04月版SpamAssassinのベターな設定＠さくらインターネットのレンタルサーバにまとめてあるので、そっちを参考にされたし。
で、SpamAssassinに対応する設定は以下の通り。

まず、/home/(user名)/fml/spool/ml/(ml名)/を開き、そこのconfig.phファイルとcfファイルに以下のコードを書き加える。
(config.ph：445行目ぐらいに設定があるのでコメントアウト外して追記しても、その辺りにコード追記でも構わない。もちろんどこに書いてもいいけど)

<code>
$USE_DISTRIBUTE_FILTER = 1;
&DEFINE_FIELD_PAT_TO_REJECT('X-Spam-Flag', 'Yes');
</code>

(cf：90行目辺りの# YOU CAN EDIT MANUALLY AFTER HERE.　の後に書いておくのが無難だと思う)

<code>
USE_DISTRIBUTE_FILTER	1
&DEFINE_FIELD_PAT_TO_REJECT('X-Spam-Flag', 'Yes');
</code>

両方同じ設定を書いてあるように見えるけど、まあおまじないと言うことで両方書いておいた方がいい。また、同じように見えて；一個分表記が違うのでその辺は一応注意。たしかさくらのレンタルサーバ初期設定でも、うちのスパムフィルタ設定参考にしても、さくらのレンタルサーバ非公式FAQを参考にしても、X-Spam-FlagをYesにして判定しているのは同じはずなので、そこは気にしなくてもいいだろう。これで、fmlのフィルタ機能が有効になる。

次に、同じく/home/(user名)/fml/spool/ml/(ml名)/の、includeおよびinclude-ctlに以下のように書き足す。
(includeの場合)

<code>
"|/usr/local/bin/spamassassin |/home/user-name/fml/fml.pl /home/user-name/fml/spool/ml/fml-name "

# Multipart Canceler Filter by Yuao TANIGAWA 
#"|/home/user-name/fml/bin/multipart.pl |/home/user-name/fml/fml.pl /home/user-name/fml/spool/ml/fml-name "
</code>

(include-ctlの場合)

<code>
# ***ATTENTION***  --ctladdr options is stronger than "--distribute", 
# Hence even if config.ph has the setting &DEFINE_MODE(distribute),
# this "fml.pl ... --ctladdr" does commnads-service;
"|/usr/local/bin/spamassassin |/home/user-name/fml/fml.pl /home/user-name/fml/spool/ml/fml-name  --ctladdr"

# Multipart Canceler Filter by Yuao TANIGAWA 
#"|/home/user-name/fml/bin/multipart.pl |/home/user-name/fml/fml.pl /home/user-name/fml/spool/ml/fml-name  --ctladdr"
</code>

つまり、|/usr/local/bin/spamassassinを書き足す(上記コードではuser-nameおよびfml-nameを適宜修正すべし)。include-meadなんてファイルもあるが、これは書き換えても書き換えなくてもどっちでもいいだろう(エラーメール用のフィルタらしい)。これで、フィルタの中でSpamAssasinを呼ぶように設定が加わる。なお、参考記事では|/usr/bin/spamassassinとなっているけど、さくらのレンタルサーバではSpamAssassinの置き場所が違うのでそこは注意。一応SSHログインしてwhich spamassassinをして場所を確認しておいた方がいいかもしれない。

で、この二つを書き終えるとスパムからのfml投稿は拒否されるわけだけど、拒否された結果どこかの.spamボックスなどに残るのか、闇夜の彼方に消え去るのかはちょっと不明。時間があれば調査したい。

参加者以外の投稿を禁止

上記設定してあればほとんどのメールは食い止められると思うが、一部スパムフィルタをすり抜けるメールは存在するだろうので、ML登録者以外からの投稿は禁止してしまった方がいい。メーリングリストを介してスパムを垂れ流すなんて正直、管理者として赤っ恥もいいところなので、そんなメールはゼロにしたいと言う強い思い入れでもある。
なお、この設定をして何が困るかと言うと、ML参加者が複数のメールアドレスを所持していて、たまたまML配信先とは違うアドレスから投稿したら拒否された、と言うケースだが、fmlでは一応『配信可能なアドレス』と『配信されるアドレス』は別個に設定できる。設定はさくらのレンタルサーバコントロールパネルからでも可能だし、fmlの設定メニュー(makefml config ML)からでも可能だけど、めんどくさいので/home/(user名)/fml/spool/ml/(ml名)/にある
members→『配信可能なメールアドレス』
actives→『配信されるメールアドレス』
の一覧なのでこれに直接書き足した方が手っ取り早いと思う。で、管理者ですら知らないメーリングリスト参加者の保有メールアドレスへの対応はすっぱり諦めよう(余裕があれば棚卸調査のメールをMLに流してもいいとは思うが)。

で、以下のように設定を書き換える。/home/(user名)/fml/spool/ml/(ml名)/を開き、そこのconfig.phファイルとcfファイルを再び開きコードを書き換える。
(config.ph：90行目ぐらいと115行目ぐらいに設定があるので、書き換える。)

<code>
$MAIL_LIST                     = "fml-name\@$DOMAINNAME";
$PERMIT_POST_FROM              = "members_only";
$REJECT_POST_HANDLER           = "ignore";

$CONTROL_ADDRESS               = "fml-name-ctl\@$DOMAINNAME";
$PERMIT_COMMAND_FROM           = "members_only";
$REJECT_COMMAND_HANDLER        = "ignore";
</code>

(cf：26行目辺りからのアクセスポリシーの書き換え)

<code>
### Access Policy
MAIL_LIST                	lapis@$DOMAINNAME
PERMIT_POST_FROM         	members_only
REJECT_POST_HANDLER      	ignore

CONTROL_ADDRESS          	lapis-ctl@$DOMAINNAME
PERMIT_COMMAND_FROM      	members_only
REJECT_COMMAND_HANDLER   	ignore
</code>

これも両方設定は同じことなんだけどおまじないで両方書き換えで。要するにPERMIT_XXX_FROMをmembers_onlyに、REJECT_XXX_HANDLERをignoreにしている。参加者以外からのメールは拒否した上に無視する、と言うこと。無視にしておかないと、『spam業者がfmlにメールを投げる』→『fmlが拒否メールをspam業者宛てに返す』→『spam業者から文句のメールが返ってくる』と言うくだらない事態が起こるからだ。文句と言うのはReturned mail: see transcript for details(reason: 550 5.1.:User unknown)だったりWarning: could not send message for past 4 hours(454 4.7.1 : Relay access denied)だったりとまあいろいろ(と言うか文句言ってるのはspam業者の鯖じゃなくてうちの鯖か)あるのだけど、こんな無駄なキャッチボールしてても仕方ない。

この設定をしておくことで、少なくともfml参加者にスパムを垂れ流すことは防げるだろう。いや、さらにfml参加アドレスで詐称してスパムメール流して来たらどうすんの？とかなくもないけど、そこまでになったらその時考える。まあ、可能性として高いのは、『詐称されるアドレス垂れ流すほどリテラシーの低いそのML参加者の方になんらかの対策を促し、それが不可能ならそのML参加者を退会処置にする』とすべきかなあ。

不正メール受信時の警告メール抑制

上記まで終えるとスパムメールがメーリングリスト上に流れたり、スパムメールに対して無駄な応答をしたり、と言った処置には対応が済むのだけど、最後の迷惑モノとして、メーリングリスト管理者宛てに「不正メールが来たので報告しておきますよ」と言うfmlのおせっかい機能がある。まあ、そりゃfmlのソフトの挙動として不審なエラーを報告する義務は大事なんだけど、毎日そんな報告を何件も受けていても仕方ない。ので、このfmlおせっかい機能を無効にする。

これは直接ソースコードを書き換えるしかないので、/home/(user名)/fml/を開き、そこのfml.plファイルを開きコードを改変する。
(fml.pl：1833行目辺りからのIgnoreHandler関数の改変)

<code>
sub IgnoreHandler
{
    &Log("Ignored: \"From:\" field is not member");
#    &WarnE("Ignored NOT MEMBER article from $From_address $ML_FN", 
#	   "Ignored NOT MEMBER article from $From_address");
}
</code>

IgnoreHandler という関数定義の中の「WarnE」をコメントアウトする。

これでfmlへの迷惑なメールの対処は一応完了。

ここ数日、スパムメールを受ける割合が急速に増えた。
正しく言うとスパムメールフィルタ(SpamAssassin)をすり抜けて受信してしまうメールが増えた。
これはどういうことかと思い調べてみると、どうやら同一の手口のメール対策が不十分で、受信してしまうことが分かった。

Return-Path:
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on www302.sakura.ne.jp
X-Spam-Level: ******
X-Spam-Status: No, score=6.1 required=12.0 tests=BAYES_50,CONTENT_TYPE_PRESENT, HTML_MESSAGE,MIMEQENC,MULTIPART_ALTERNATIVE,ONLY1HOPDIRECT,ONLY1HOPDIRECTRIPE, QENCPTR1,QENCPTR2,RCVD_IN_SBL,RIPE_NCC,RP_MATCHES_RCVD,TOOLONGSTR, URIBL_JP_SURBL autolearn=no version=3.3.2
Received: from www302.sakura.ne.jp (ksav31.sakura.ne.jp [210.224.165.211])
by www302.sakura.ne.jp (8.14.5/8.14.5)
with ESMTP id s1PCK5ID038721 for <___@________.net>;
Tue, 25 Feb 2014 21:20:05 +0900 (JST) (envelope-from OnlineDoctorate-___=______.net@_alaskansmokedsalmonplus.com)
X-Nat-Received: from [202.181.99.22]:20402 [ident-empty] by smtp-proxy.isp with TPROXY id 1393330805.22619
Received: from net._alaskansmokedsalmonplus.com (net._alaskansmokedsalmonplus.com [77.81.108.140])
by www302.sakura.ne.jp (8.14.5/8.14.5)
with ESMTP id s1PCJhkJ038572 for <___@________.net>;
Tue, 25 Feb 2014 21:19:46 +0900 (JST) (envelope-from OnlineDoctorate-___=_______.net@alaskansmokedsalmonplus.com)
MIME-Version: 1.0
From: Online Doctorate
To: ___@______.net
Subject: Find the degree program for you.
Reply-To: replyto1@_alaskansmokedsalmonplus.com
List-Unsubscribe:
Message-ID: <5253142afb72bdd6c0db0751d4f7433d@_alaskansmokedsalmonplus.com>
Date: Tue, 25 Feb 2014 12:19:51 +0000
X-Anti-Virus: Kaspersky Anti-Virus for Linux Mail Server 5.6.45.2/RELEASE, bases: 25022014 #7301207, status: clean
X-Antivirus: avast! (VPS 140224-1, 2014/02/25), Inbound message
X-Antivirus-Status: Clean
Content-Type: multipart/alternative; boundary=”===============3635023624886176509==”
Content-Transfer-Encoding: 7bit

There is no text only message available for this email. Please use an HTML capable email client.
Unsubscribe from future emails: unsub1@_alaskansmokedsalmonplus.com

(HTMLパートは省略)

Return-Path:
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on www302.sakura.ne.jp
X-Spam-Level: **********
X-Spam-Status: No, score=10.9 required=12.0 tests=BAYES_50, CONTENT_TYPE_PRESENT,HTML_MESSAGE,MIMEQENC,MULTIPART_ALTERNATIVE, ONLY1HOPDIRECT,ONLY1HOPDIRECTRIPE,QENCPTR1,QENCPTR2,RCVD_IN_MSPIKE_L3, RIPE_NCC,RP_MATCHES_RCVD,TOOLONGSTR,URIBL_DBL_SPAM,URIBL_JP_SURBL autolearn=no version=3.3.2
Received: from www302.sakura.ne.jp (ksav51.sakura.ne.jp [219.94.192.131])
by www302.sakura.ne.jp (8.14.5/8.14.5)
with ESMTP id s1OAV2Tv091610 for <____@______.net>;
Mon, 24 Feb 2014 19:31:02 +0900 (JST) (envelope-from CookingSchool-___=______.net@jessicadegouw.net)
X-Nat-Received: from [202.181.99.22]:44918 [ident-empty] by smtp-proxy.isp with TPROXY id 1393237862.29202
Received: from non._jessicadegouw.net (non._jessicadegouw.net [31.220.43.158])
by www302.sakura.ne.jp (8.14.5/8.14.5)
with ESMTP id s1OAV1lg091606 for <___@______.net>;
Mon, 24 Feb 2014 19:31:01 +0900 (JST) (envelope-from CookingSchool-___=________.net@jessicadegouw.net)
MIME-Version: 1.0
From: Cooking School
To: ___@________.net
Subject: You won’t get in trouble for playing with food here.
Reply-To: replyto1@_jessicadegouw.net
List-Unsubscribe:
Message-ID: <5253142afb72bdd6c0db0751d4f7433d@_jessicadegouw.net>
Date: Mon, 24 Feb 2014 05:31:02 -0500
X-Anti-Virus: Kaspersky Anti-Virus for Linux Mail Server 5.6.45.2/RELEASE, bases: 24022014 #7276764, status: clean
X-Antivirus: avast! (VPS 140223-1, 2014/02/24), Inbound message
X-Antivirus-Status: Clean
Content-Type: multipart/alternative; boundary=”===============9001998848229897669==”
Content-Transfer-Encoding: 7bit

There is no text only message available for this email. Please use an HTML capable email client.
Unsubscribe from future emails: unsub1@_jessicadegouw.net

(HTMLパートは省略)

一部伏字にしてあるけどこんな感じのメール。SpamAssassinのフィルタがしきい値(うちは12に設定している)までカウントしていない。
手口としては、
・送信元サーバはいろいろ。偽装サーバではなくちゃんとドメインも存在していそう。
・Return-Pathのアドレスに受信したうちのアドレスが入っているので、ヘタに返信するとさらに多量のスパムを受け取ると思われる。
・メッセージ本文にUnsubscribeアドレスが入っているけど、ここにメール送ってもたぶんスパム100倍返しを食らうだろう。
・送信元サーバは様々だけど、Unsubscribeアドレスがどれも「unsub1@XXXX」になっているので、たぶん同一犯かなあ。

と言うことで、メッセージ本文中のUnsubscribeアドレスに送れ、の文章が同じことに着目して、private_prefsに以下の通り設定を追加してみた。
(user_prefs、private_prefsの設定し方については過去の記事参照。)

<code>
# For irregular spam.
rawbody  UNSUB1 /Unsubscribe from future emails/
describe UNSUB1 Unsubscribe adress is unsub1@example.net
score    UNSUB1 10.0
</code>

ついでに、今のprivate_prefsを他のところも抜粋して書いておくと

<code>
# 
# more information (default spamassassin rules)
# -- about : http://spamassassin.apache.org/tests_3_2_x.html
# 

# added 2011/04/15 by [chatarou] helped by [yoh]
# for checking SAKURA & MY MAIL's network.
# following IPs are anti-Virus Servers of SAKURA INTERNET (ksavXX.sakura.ne.jp)
trusted_networks 210.224.165.38 210.224.165.45 210.224.165.143 210.224.165.142 210.224.165.211 210.224.165.212 210.224.165.35 210.224.165.220 219.94.192.131 219.94.192.132 219.94.192.133 219.94.192.134 219.94.192.135 219.94.192.136 219.94.192.137 219.94.192.138 219.94.192.139 219.94.192.140 219.94.192.141 219.94.192.142 219.94.192.143 219.94.192.144 219.94.192.145 219.94.192.146 219.94.192.147 219.94.192.148 219.94.192.149 219.94.192.150 219.94.192.151 219.94.192.152 219.94.192.153 219.94.192.154 219.94.192.155 219.94.192.156 219.94.192.157 219.94.192.158 219.94.192.159 219.94.192.160 219.94.192.161 219.94.192.162 219.94.192.163 219.94.192.164 219.94.192.165 219.94.192.166 219.94.192.167 219.94.192.168 219.94.192.169 219.94.192.170 219.94.192.171 219.94.192.172 219.94.192.173 219.94.192.174 219.94.192.175 219.94.192.176 219.94.192.177 219.94.192.178 219.94.192.179

#replace_tag MYMTA ((mail|www)\.chatarou\.net)
#trusted_networks 127.0.0.1 192.168.0.1/24

# I receive very few Japanese spam mails, allmost all of spam mails are come from foreign countries.
# so changes some socres of Japanese mail's rule. :2011/04/26 by [chatarou]
score ISO2022JP_CHARSET -2.0
score ISO2022JP_BODY -2.0

# 
# We use SAKURAWEB as SMTP. so the following rule has no meanings. : 2007/12/21 by [chatarou]
# 
score SAKURAWEB 0.0

# For RAKUTEN Mail.
header   RAKUTEN_INFO Subject =~ /\!Z3ZE7\!\[/
describe RAKUTEN_INFO Rakuten Mail
score RAKUTEN_INFO -5.0

# For SONY Info Mail.
header   SONY_INFO From =~ /info\@e\.crmstyle\.com/
describe SONY_INFO SONY Info Mail
score SONY_INFO -5.0

# For irregular spam.
header   VIRTUAL_VEGASCLUB From =~ /Virtual VegasClub/
describe VIRTUAL_VEGASCLUB Virtual VegasClub
score    VIRTUAL_VEGASCLUB 5.0

header   LINKEDIN Subject =~ /LinkedIn/
describe LINKEDIN LinkedIn
score    LINKEDIN 5.0

header   PAYROLL Subject =~ /Payroll Invoice/
describe PAYROLL Payroll Invoice
score    PAYROLL 50.0

header   IRREGULAR_RETURN_PATH Return-Path =~ /\-___\=example\.net/
describe IRREGULAR_RETURN_PATH Return-Path contains (-___=example.net)
score    IRREGULAR_RETURN_PATH 6.0

rawbody  UNSUB1 /Unsubscribe from future emails/
describe UNSUB1 Unsubscribe adress is unsub1@example.net
score    UNSUB1 10.0


# 
# "FERA" ,or "DYN_FERA" is defined & scored as porn word by [yoh].
# but, "FERRARI" is not porn word for [chatarou]...: 2011/04/16 by [chatarou]
# 
rawbody  FERRARI /\%U\%\'\%i\!\<\%j/
describe FERRARI  Ferrari (maybe F1 WORKS TEAM)
score    FERRARI -0.1

#'

rawbody  MCRALEN /\%\^\%\/\%i\!\<\%l\%s/
describe MCRALEN  Mcralen (maybe F1 WORKS TEAM)
score    MCRALEN -0.1

meta  F1_MAIL FERRARI && MCRALEN
score F1_MAIL -4.0

# 
# Other Virtual Domains(chatarou.sakura.ne.jp, www302.sakura.ne.jp) are not used on mailservice. : 2011/04/24 by [chatarou]
# 
header   FAKE_VDH_TO To =~ /\@(chatarou|www302)\.sakura\.ne\.jp/
describe FAKE_VDH_TO To:  @(chatarou|www302).sakura.ne.jp
score    FAKE_VDH_TO 5.0

# 
# Other Virtual Domains are used by spammers as fake from-address. : 2011/04/24 by [chatarou]
# 
header   FAKE_VDH_FROM From =~ /\@www302\.sakura\.ne\.jp/
describe FAKE_VDH_FROM From:  @www302.sakura.ne.jp
score    FAKE_VDH_FROM 5.0

# 
# Spammers frequently writes "Nothing" in To:header. . : 2011/04/24 by [chatarou]
# 
header   NOTHING_TO_HEADER To =~ /!@/
describe NOTHING_TO_HEADER To:  Nothing
score    NOTHING_TO_HEADER 5.0


# 
# Default postmaster is used by almost only spammers. : 2008/06/20 by [chatarou]
# 
header   POSTMASTER_TO To =~ /postmaster\@example\.net/
describe POSTMASTER_TO To:  postmaster@example.net
score    POSTMASTER_TO  5.0

# threshold level down from 10.0 to 8.0 2011/04/13 by [chatarou]
# threshold level up to 12.0 2011/04/18 by [chatarou]
required_score 12.0
</code>

こんな感じになっていた。一応判定基準等をメモっておくと
・楽天とソニーはやたら危険な文字列をメール本文に盛り込むせいで、しょっちゅうスパム行き誤判定を食らっていてかわいそうだったので、救済措置をつけた。
・VIRTUAL_VEGASCLUBってのは一時期スパムフィルタをすり抜けて来ていたメールだけど、最近見かけないが設定放置。
・LINKEDINも同様。って言うかうちでNGにしてるって、LINKEDINは過去にどんな変なメール送ってきていたのやら。さっぱり記憶なし。
・PAYROLLって言うのは2013年末ごろから頻繁に見かけるようになった気がする。これはスパムメールではなくウイルスメールなので、絶対に受信拒否。
・UNSUB1は今回追加のルール。IRREGULAR_RETURN_PATHも今回の対策に反応するように書いた予備のルール。
・FERRARI、MCRALEN、F1_MAILの理由は以前の記事で書いたので省略。以降の設定も以前の記事と同じなので省略。

僕は臨時で困ったときのみ対策をするけど、こういうのを常にチェックしていて日本語用スパムフィルタ設定ファイルを書いているyohさんには頭が下がるなあと思いました。