インストール

オリジナルをソースを持ってきてても良いけど、やっぱりパッケージで入れた方が圧倒的に楽。

• 起動時に daemon として起動させるスクリプトが付いてくる。
• yum や apt でインストールすれば、必要な Perl モジュールを一緒にインストールされる。

CentOS の場合だと、CentOS のリポジトリには無いので、rpmforge のリポジトリを追加すれば、「yum install postgrey」で必要なインストールは完了。

ポイントは、postfix 側の設定。

通常は、SMTP の RCPT TO を受け取った時に判断するので、smtpd_recipient_restrictions でチェックをかけるのだが、ここで「S25R に引っかかった場合に Greylisting」とするには、ちょっと工夫が必要。

まず、S25R のパターンに引っかけるために、main.cf 上で、こんな風に書く。

smtpd_recipient_restrictions = permit_mynetworks,
                               check_client_access regexp:/etc/postfix/s25r,
                               reject_noauth_destination

これで、接続してきた相手をチェックするのに、/etc/postfix/s25r 中に記述された正規表現を使いますよ、ということになる。で、/etc/postfix/s25r 側はこんな風に書く。

/^unknown$/                                     check_greylist
/^[^.]*[0-9][^0-9.]+[0-9].*\./                  check_greylist
/^[^.]*[0-9]{5}/                                check_greylist
/^([^.]+\.)?[0-9][^.]*\.[^.]+\..+\.[a-z]/       check_greylist
/^[^.]*[0-9]\.[^.]*[0-9]-[0-9]/                 check_greylist
/^[^.]*[0-9]\.[^.]*[0-9]\.[^.]+\..+\./          check_greylist
/^(dhcp|dialup|ppp|[achrsvx]?dsl)[^.]*[0-9]/    check_greylist

通常なら左の条件に引っかかったら、右側に REJECT とか書いて、拒否するところに、謎の「check_greylist」などという物を書く。で、この「check_greylist」なるものを、また、postfix の main.cf で定義しておく。

smtpd_restriction_classes = check_greylist
check_greylist = check_policy_service unix:/usr/spool/posfix/postgrey

smtpd_restriction_class で、いわば、オリジナルの処理名（check_greylist）を定義しておき、その処理名に対して、処理内容を記述しているのが２行目になる。で、この check_policy_service は別のプログラムに結果を判断してもらう、というもので、指定先に接続して判断を仰ぐ。その接続先で Postgrey が待ち受けている、という寸法になっている*1。

後は、check_policy_service で指定先で Postgrey が待ち受けするように動作していれば良い。rpmforge からのパッケージに含まれる起動スクリプトでは、UNIX ドメインソケットで Postgrey が待ち受けるようになっているので、check_policy_service の指定先は、そのパスを指定することになるが、IP ベースで待ち受けるようにするのであれば、「inet:localhost:10023」といった具合になる。

これを応用すれば、

• 特定の送信者アドレスや送信先アドレスに対して Greylisting
• 特定の IP アドレスの範囲に対して Greylisting

といった事が可能になる。

Postgrey は必要なパラメータをコマンドラインから指定するため、設定ファイルが無い。rpmforge からのパッケージに含まれる起動スクリプト（/etc/rc.d/init.d/postgrey）の場合、最終的には OPTIONS というシェル変数を postgrey に渡す。/etc/sysconfig/postgrey というファイルを作って、「OPTIONS=なんちゃら」と書けば、それがコマンドラインに渡る。

とはいえ、デフォルトをいじらないと、という感じはあまりない。強いて言うと、retry-window の２日間というのは長い感じがする。あと、max-age の 35 日間は、ホワイトリストを Postgrey の自動ホワイトリスト機能に任せて、自分で状況を見てホワイトリストを追加するので無ければ、この期間でも良いと思うが、積極的に状況を観察して、必要なホワイトリストは自分たちで追加するのであれば、max-age は短くした方が良いかなぁ。

序論

企業や組織のメールサーバで spam 対策をしようと思うと、False Positive（誤検知）をどうするか、が重要。24 時間、管理体制が取れるような大企業や、アウトソーシングしてしまっているようなところだと、「こんなメールが届いているはずだけど、どうなってるんだ！ 急いでいるんだ！」となっても大丈夫だろうけど、地方の中小企業ではそうはいかない。なので、可能な限り、誤検知は避けたい。

False Positive 対策として、ISP の spam 対策サービスで行われている「留め置き」の処理が理想。なんかおかしいな、と思ったら、spam 扱いされたメールを自分で確認して、間違って spam 扱いされていたら、自分で再配送する。だけど、貧乏会社にはそういった製品を入れる余裕などない。社長が「なんとかならんか！ でも金は無い」って言うんだよなぁ...

で、Greylisting

通常のメールサーバから送られたメールであれば、SMTP のレベルで一時エラーになった場合、一定時間の間を置いて、再配送してくる。逆に、近頃の spam はボットネットを使って、普通のクライアント PC からダイレクトに送り先のメールサーバへ接続してくるものが多い。日本国内の ISP で実施された OP25B は、まさに、このタイプの spam 送信をブロックしようとしたもの。ISP のメールサーバ経由からしかメールが送られないのなら、送信者アドレスに勝手なドメイン名を使うのを抑止できたり、流量の制限をかけたりできる。

Greylisting は「まっとうなメールサーバなら再送する」というところに着目して、わざと一時エラーを起こす、というものなんだけど、こうすると、相手のメールサーバが再送してくるまでメールが届かない、ということになる。仕事で「今メール送ったんだけど、この２つめの項目の書き方って...」という電話は珍しくない。

False Positive がほとんど無いのは良いのだが、メールが遅延するのは、仕事で使うのにはちょっと困る。

で、S25R

本家のサイト（http://www.gabacho-net.jp/anti-spam/paper.html）には、誇らしげに「阻止率99%*1」などと書かれているが、IP アドレスの逆引きの結果で「怪しい FQDN ならブロック」というのが、原理的に考えて、False Positive の可能性が高い。それを回避するためにホワイトリストを用意して、などといっても、そのホワイトリストをメンテナンスするのが面倒だし、それこそ、休みの日や深夜に大事なお客さんからの急ぎのメールがブロックされたら大変。

で、DNSBL

これも、False Positive に話には事欠かない。ただ、False Positive にされるものの傾向はちょっと違う。S25R が、ホスティングのサービスを使っているような、中小企業からのメールが引っかかりやすい*2のに比べ、DNSBL の場合はニュースレターなど、もともと大量にメールを送信するものが引っかかりやすい*3。

で、組み合わせれば...

• S25R や DNSBL は、常に False Positive の危険と隣り合わせ。
• Greylisting ではメールの遅延が問題。

と思っていたら、

• だったら、S25R や DNSBL に引っかかる時だけ、Greylisting してしまえば。

という話があって、なるほど、と。これなら、

• まっとうなメールは遅延が発生しない。
• S25R や DNSBL に引っかかっても、Greylisting なら再送で救われて、False Positive になるのを防げる。

となり、管理の手間も少ない。

ということで、実践に移る話は次回へ。