バックスキャッター (電子メール)
電子メールのバックスキャッター (英: email backscatter) とは、通常は着信スパムの副作用として、メールサーバーによって送信される誤って自動化されたバウンスメッセージのこと。電子メールの後方散乱と呼ばれることもある。
このようなメッセージの受信者は、受信者からの要請がなく、互いに実質的に類似しており、大量に配信されるため、未承諾のバルク電子メールやスパムと見なされる。電子メールのバックスキャッターを生成するシステムは、さまざまな電子メールブラックリストに記載されている可能性があり、インターネットサービスプロバイダーの利用規約に違反している可能性がある。
ワームやスパムメッセージは送信者アドレスを偽造することが多いため、バックスキャッターが発生する。スパムメッセージを単に拒否する代わりに、誤って設定されたメールサーバーはそのような偽造されたアドレスにバウンスメッセージを送信する。これは通常、メールサーバーがメッセージをキュー後の処理ステップ(ウイルス対策スキャンやスパムチェックなど)に中継するように構成されている場合に発生するが、ウイルス対策スキャンやスパムチェックは失敗し、ウイルス対策スキャンやスパムチェックが実行されるとクライアントはすでに切断されている。このような場合、ウイルス対策スキャンまたはスパムチェックが終了するのを待っている間にクライアントがタイムアウトするため、通常、 SMTPトランザクションを拒否することはできない。この場合の最善の方法は、バックスキャッターを引き起こすリスクを冒すのではなく、メッセージを黙ってドロップすることである。
この問題を軽減するための対策としては、 SMTP接続の初期段階でスパムに対してほとんどの拒否を行うことにより、バウンスメッセージを回避する方法が取れる。偽造されていないと確実に判断できるアドレスにのみバウンスメッセージを送信する場合は、相手が正当なソースとの検証ができない場合は、メッセージを無視する(ドロップするなど)といった方法を取る。
原因
[編集]スパムやウイルスの作成者は、メッセージが正当なソースから発信されているように見せて、受信者をだましてメッセージを開かせたいと考えているため、 Webクロールソフトウェアを使用して、 ネットニュースの投稿、掲示板、Webページなどで電子メールアドレスを収集することがよくある。
SMTPメールの仕様では、これらの偽造されたメッセージを受信する受信者のメールサーバーには、送信者の信頼性を判断するための簡単で標準的な方法がない。そのため、接続フェーズで電子メールを受け入れてしまった後に、その後の検証で拒否した場合(たとえば、ソフトウェアがメッセージがスパムである可能性が高いと判断した場合)、(偽造された可能性のある)送信者のアドレスに拒否を報告することになってしまう。
メールサーバーは、4つの異なる方法で配信不能メッセージを処理する。
- 拒否: 受信サーバーは、送信サーバーがまだ接続されている間、接続段階で受信メールを拒否することができる。接続時に5xxエラーコードでメッセージが拒否された場合、送信サーバーは問題を実際の送信者に報告する。
- ドロップ: 受信サーバーが最初にメッセージ全体を受け入れた後に、スパムまたはウイルスであると判断した場合、最終的な受信者を「/dev/null」などに書き換えることで、メッセージを自動的に削除する。この動作は、電子メールの「スパムスコア」が非常に高い場合、またはメールにウイルスが含まれている場合に使用される。RFC 5321には「メッセージのサイレントドロップは、メッセージが深刻な詐欺またはその他の不適切であるという非常に高い信頼性がある場合にのみ考慮されるべき」という記載がある。
- 検疫: 受信サーバーが最初に完全なメッセージを受け入れた後に、スパムであると判断された場合、メッセージを隔離する。つまり、「ジャンク」または「スパム」フォルダーに配信し、最終的には自動的に削除される。これは一般的な対処法である。
- バウンス: 受信サーバーが最初に完全なメッセージを受け入れた後、スパムであるか存在しない受信者と判断した場合、メッセージの配信が失敗したことを示すバウンスメッセージを想定される送信者に返信する。
バックスキャッターは、「バウンス」方式が使用され、受信メールの送信者情報が無関係の第三者の情報である場合に発生する。
問題の軽減
[編集]ワームとスパムメッセージを制御するためのすべてのステップはバックスキャッターを減らすのに役立つが、このセクションのような他の一般的なアプローチも同じ問題を減らす。
接続段階の拒否
[編集]最初のSMTP接続中に、メールサーバーはさまざまなチェックを実行でき、送信サーバーが接続されたままの状態で電子メールを5xxエラーコードで拒否することがよくある。この方法で接続段階でメッセージを拒否すると、通常、送信側のMTAは、ローカルの認証済みユーザーにローカルのバウンスメッセージまたは配信不能通知(NDN)を生成する[1]。
拒否の理由は次のとおりです。
- 受信者の検証に失敗[2][3][4]
- SPF、DKIM、Sender IDといった偽造防止チェックに失敗
- 正引きで確認された逆引きDNSエントリがないサーバー
- 送信者がブロックリストに掲載されている[5]
- グレーリスト方式による一時的な拒否
メールを転送するメール転送エージェント(MTA)は、透過SMTPプロキシを使用することでバックスキャッターの生成を回避できる。
バウンス受信者の確認
[編集]電子メールバウンスメッセージを送信するメールサーバーは、さまざまな手段を使用して、返信アドレスが偽造されているかどうかを判断し、実際にメールを送信するかどうかを決定する。
バックスキャッターのフィルタリング
[編集]バックスキャッターを防止することは望ましいが、それをフィルタリングすることでその影響を減らすことも可能であり、多くのスパムフィルタリングシステムには[6]、 電子メールのバックスキャッターをスパムとして検出して拒否することもできる。
さらに、バウンスアドレスタグ検証などのスキームを使用するシステムは、受信した偽のバウンスメッセージを確実に検出できるように送信メールに「タグ付け」することもできる。
脚注
[編集]- ^ Alternatively, if the MTA is relaying the message, it should only send such an NDN to a plausible originator Klensin, J (April 2001). Simple Mail Transfer Protocol (英語). IETF. p. 25. doi:10.17487/RFC2821. RFC 2821.
as indicated in the reverse-path
e.g. where an SPF check has passed. - ^ The Hidden Power of Sender and Recipient Filtering, MS Exchange.org.
- ^ “Configuring Recipient Filtering”, Technet, Microsoft
- ^ “Recipient address verification”, Address verification readme, Postfix.org.
- ^ Marsono, MN (2007), “Rejecting Spam during SMTP Sessions”, Proc. Communications, Computers and Signal Processing, Pacific Rim: IEEE, pp. 236–39.
- ^ "The "Virus Bounce Ruleset" is a SpamAssassin ruleset to catch backscatter"
外部リンク
[編集]- (paper) Mail DDoS Attacks through Non Delivery Messages, Techzoom, (2004).
- “Backscatter” (readme), Postfix.
- “Backscatter”, SpamLinks, オリジナルの2008-04-05時点におけるアーカイブ。.
- RFC 3834: Recommendations for Automatic Responses to Electronic Mail.
- “Moronic Mail Autoresponders”, A FAQ From Hell, FI: Iki.
- “Why are auto responders bad?”, FAQ, SpamCop.
- Don't bounce spam: why you shouldn't bounce spam.
- 100 E-mail Bouncebacks? You've Been Backscattered, PC World.