前のエントリで少し毛嫌いしてたけども、 Starpit の手法であれば「まだマシ」かなぁと思った。 greylisting では確実に該当 IP からの一発目のメールが遅延してしまうけど、こっちならば遅延はない ( その代わりにサーバの初期応答が 1 分半ほど遅れる ( 応答遅延時間は設定による ) ) 。
ただ問題なのは、ここで述べられているけど、 Postfix 本体でこれを実現しているので、 RCPT TO 単位で tarpitting が起こってしまう。つまり 1 通のメールだったとしても宛先が 10 件あれば、 90 秒の tarpitting だとすると、全ての宛先に送りきるまでに 15 分待たされてしまう。
この構造的にまずい点については、postgrey による greylisting のように Postfix の filter で実現できるといい感じらしい。 この考えを取り入れた taRgrey というハイブリッドな手法にすれば、これらの弱点は克服できるそうだ。ふむふむ。しかしまだこの手法に対する実装は無いとのこと。
ここまで調べて、うちの鯖に実装するなら taRgrey だなぁと確信…。
taRgrey なら、まずスパムのほとんどは tarpitting によって阻止可能。この部分の設定はメンテナンスフリー。
スパムではないのに tarpitting で接続が切れてしまったものに対しては greylisting で救済する。この部分の設定は、ホワイトリスト & ブラックリストのメンテナンスが必要だが、そもそも tarpitting での誤検出はごくまれらしいので、単体で greylisting するよりもメンテナンスが容易 ( なはず ) 。
S25R に該当する正当なメールに対して tarpitting してしまっても良いのであれば、ホワイトリストのメンテすらやらなくて良い ( はず ) 。
うーん、やっぱり「メンテナンスフリー」は大事ですよ。
単体の greylisting なんて、趣味の自鯖では到底やろうとは思えない。いや、むしろ仕事なら尚更かも。
taRgrey の実装が待ち遠しい今日この頃です。
確かに、メンテナンスフリーは重要だと思います。ホワイトリストが必須では、大規模な運営になると現実的でなくなってくるので。
taRgrey早いこと実装したいと思っているのですが、その前にいろんな細かなことがあったりして、なかなか出来ていません。
とりあえず、postfixのregexpが当たる順がおかしいののパッチを書かねばとか。
あと、S25Rのホワイトリストを、それまでのログから自動的に作るスクリプトとか。
これはtaRgreyの実効性を知る意味でも必要だし、すぐに出来るからとっととやれば良いんですが…
おお、ご本人様からコメントが。ありがとうございます。
やっぱり大規模でも対応して欲しいですが、目指すものが大きいと、事前準備って本当に大変ですよね。
C / C++ ソース ( パッチ ) となるとちょっとつらいですが、スクリプト系なら何かお手伝いできることもあるかもしれません。^^