NDRスパムの配信に加担していませんか?:ITpro

IT セキュリティ

NDRスパムのお話です。

通常はUserUnknownとかの通知として使われるNDRですが、それを悪用してスパムを送っちゃおう大作戦です。
これなら、スパムフィルタにも引っかかりませんしね。

NDRスパムは,実在するメール・アドレスが断りなくスパム・メールのFrom行に使われることで起きる。スパム・メールのあて先が存在しなかったり,受信者のメール・ボックスに空きがなかったりするとメール配信は失敗し,From行に記載されたアドレスの持ち主が出したメールでないにもかかわらず,そのアドレスにNDRが送られる。

相手のほうが強い・・・・どうやって対抗すれば・・・

スパム送信者は,四六時中アンチスパム・フィルタをすり抜ける手口を探している。最近になってNDRスパムが急増したことから,スパム送信に利用されるメール・アドレス一覧に無効なデータが存在しているというよりも,スパム送信者がスパム・メッセージをメール・ボックスに届ける目的で無効なアドレスを狙うようになったと考えられる。メール配信を故意に失敗させるには,ランダムなメール・アドレスを実在するドメイン名入りででっち上げればよい。

基本的に検出は難しいよなぁ・・・

NDRスパムを検出する作業は,以下のような問題があって難しい。

  • NDRそのものは,正当なメール・サーバーから届く技術的に正常なメールである。その結果,NDRスパムとして検出することが困難になる
  • スパム・メッセージを含まないNDRの場合,従来のコンテンツ・フィルタリング技術だと正規のNDRNDRスパムを区別できない
  • チャレンジ・レスポンス方式のメールは,当然配信を阻止できない
  • MTAによってNDRの形式はさまざまなので,検出作業が難しい

コンテンツをスキャンすれば95%は落とせる・・・確かに。

・現在のところ全NDRスパムの95%以上が何らかのスパム・コンテンツを含んでおり,既存のコンテンツ・フィルタリング技術を使えばこうしたコンテンツを見つけてスパム配信を阻止できる。我々はコンテンツ入りNDRスパムの大多数を検出できており,漏れをなくせるよう努力している。とりあえずは,NDRに悩まされているユーザー向けとして,当社製品にNDR配信の完全停止というルールを設定できるようにした。

screenshot