掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2009年02月13日
ここ数日taRgreyチェックのヒット数が上昇
taRgray集計20090213

taRgreyで運用しているサーバでここ数日taRgreyのチェックに引っかかっているメールが急激に増えています。

時節柄「バレンタインデー」関連SPAMが増えているのか? とも思えますが詳細不明 ^^;
[ 投稿者:Cookie at 09:06 | taRgrey | コメント(0) | トラックバック(0) ]

2008年01月11日
taRgrey + SpamAssassin サーバ納品
とある組織からSPAMメール対策のご依頼を頂きましたので、これまで自ネットワークで実績を積み上げてきた「taRgrey + SpamAssassin」でのスパム対策ゲートウェイを納品いたしました。

サーバのハードウェアは、予備機となっていた既存の物を使用するとの事でしたので、OSからソフトウェアのインストールと設定までとなりましたが、昨日丸一日の稼動状況は次のとおりです。

★通過メール数:243
   内SpamAssassinでのSPAM判定:28

★REJECTメール数:998
   内Greylist判定:815  RBL判定:129

★lost connection数:2458

■合計:3699

■通過率 243÷3669×100=6.62%

■SPAM率 93.38%

これまでSPAMメールの削除が大変で、間違って必要なメールまで削除してしまう事も有ったとか...

大きな効果にご満足いただけました。

運用状況確認のためメールログを定期的に集計処理し、ブラウザから確認できるようにしておいたので、メールの配送状況も納入先の運用管理担当者様が簡単に確認できるようにしてあります。

ソフトウェア環境は、いつものFreeBSD。

FreeBSD 6.2-RELEASE-p9
postfix 2.4 Patchlevel 6
postgrey-1.31
postfix-sleep.patch
targrey-0.31-postgrey-1.31.patch
SpamAssassin-3.2.3
spampd-2.30
apache-2.2.6

postfixはソースからパッチを当ててインストール。
postgreyは一旦portsでインストールして、その後ソースにパッチを当てたもので上書き。

これ以外は全てportsからの導入です。

[ 投稿者:Cookie at 12:48 | taRgrey | コメント(0) | トラックバック(0) ]

2007年07月27日
taRgreyのPostgrey-1.28/1.29用パッチ
taRgreyでお世話になっている「stealthinu」さんのサイトで、「taRgreyのPostgrey-1.28/1.29用パッチ」が公開されています。

私の管理するメールサーバではまだ未検証ですが、時間が取れ次第テスト予定です。

パッチそのものはこちら
[ 投稿者:Cookie at 08:54 | taRgrey | コメント(0) | トラックバック(0) ]

2007年07月06日
taRgrey 120秒付近に切断が集中する要因
stealthinuさんの「taRgreyのtarpitting時間について」でのコメントにもありますが、taRgreyで120秒付近に切断が集中している結果について、
『やっぱりそうですよね。
ということは、このピークは、特定のbot群を持ってるスパム送信業者1社のみ、ということなんだと推測出来ます。
そこだけで、全スパムの約3〜4割を出してる、と。』

って事なんでしょうね。

私も全く同様の推測をしており、それ以外にも切断時間のピークが現れている箇所は、同一システムか同一ソフトを使っている可能性が高いって事かなと思っています。

[ 投稿者:Cookie at 12:41 | taRgrey | コメント(0) | トラックバック(0) ]

2007年07月05日
taRgrey遅延時間を125秒にして丸一日の集計
taRgrey-125sec_2

stealthinuさんの「taRgreyのtarpitting時間について」での情報を元に、taRgreyの遅延時間を「125秒」に設定してから、丸一日間の集計結果です。

※分布が分かりやすい様にグラフの形式を変えました。

昨日の約3時間程度の集計と傾向は同じで、やはり120秒台が飛びぬけて多くなっています。

# 追記
stealthinu さんが切断理由毎の集計をしていたので、こちらも補足します。
切断時間が100秒以上の場合の切断理由はそのほとんどが「pipelining」であることが分かります。
詳細は↓の方にログを抜粋して載せました。



続きを読む ...
 
[ 投稿者:Cookie at 09:06 | taRgrey | コメント(0) | トラックバック(1) ]

2007年07月04日
taRgreyの遅延時間125秒の効果
引き続き、taRgreyの遅延時間を「125秒」に設定した際の検証ですが、後段のSpamAssassinでSPAM判定されたメールのDNSBL登録でも、効果が現れているようです。

taRgreyの遅延時間を「125秒」に設定する前のDNSBL登録記録と、本日の登録記録を比較すると、圧倒的に登録数が少なくなっています。(DNSBL登録タイミングにもよりますが、間違いなく減ってます!)

DNSBL登録記録には途中に空行が2箇所ありますが、最初の空行まで(先頭ブロック)が、私の管理するドメイン宛のもので、それ以降が他のサーバからの転送分となっています。

特に先頭ブロックのDNSBL登録数が減っている事が確認できます。

▼taRgreyの遅延時間 「65秒」
DNSBL # 2007-07-03-13:59:36

▼taRgreyの遅延時間 「125秒」
DNSBL # 2007-07-04-17:06:47

尚、stealthinuさんも指摘されていますが、「false positiveの可能性」は増すので、しばらくログに注意する必要があります。

[ 投稿者:Cookie at 17:17 | taRgrey | コメント(0) | トラックバック(0) ]

taRgreyの遅延時間を125秒にした場合
stealthinuさんの「taRgreyのtarpitting時間について」での情報を元に、taRgreyの遅延時間を「125秒」に設定し、半日ほど様子を見てみました。

taRgrey-125sec

午前9時〜12時30分までのログからヒストグラムにしてみると、確かに120秒付近に大きな山が出来ます。

ログに記録された秒数では「119秒」というのが目立ちます。

▼119秒で切断した相手(sort済み)


続きを読む ...
 
[ 投稿者:Cookie at 13:29 | taRgrey | コメント(0) | トラックバック(1) ]

2007年07月03日
taRgreyのtarpitting時間について
taRgreyでお世話になっているstealthinuさんのサイトで、和歌山大学が運用しているtaRgreyの遅延時間の検証グラフが示されていました。

グラフを見ても一目瞭然ですが、121秒付近にもピークがあり、遅延時間を「125秒」程度にしたほうがより効果的と言えそうです。

私の管理しているサーバーでも、この設定を試してみたいと思いますが、変更前と変更後の検証方法を考えておかなければ...

[ 投稿者:Cookie at 16:23 | taRgrey | コメント(0) | トラックバック(0) ]

2007年05月30日
taRgrey まとめ
以前から「postfix」をベースとしたSPAM対策として「taRgrey」を運用していますが、自分の書いたエントリーが埋もれてしまうので、専用のカテゴリを作りました。

ちなみにまだ購入はしてませんが、
ネットワークセキュリティ Expert 6
【特集】Postfixサーバ管理者に贈るメールセキュリティ向上大作戦!
でも「taRgrey」がspamメール対策技術として取り上げられており、SPAM対策の標準的な手法となりつつあるようですね!

今後「taRgrey」関係はこちらのカテゴリにまとめます。

taRgrey開発者の「stealthinu」さんのブログ
モーグルとカバとパウダーの日記

taRgrey - S25R + tarpitting + greylisting (tarpit + greylist policy server)

ネットワークセキュリティExpert5 迷惑メール対策サポートページ

Googleで「taRgrey」検索

Yahoo! Japanで「taRgrey」検索

▼過去のエントリー
taRgreyポリシーサーバ評価中
http://shinshu.fm/MHz/77.88/archives/0000160531.html


postgrey_clients.db のメンテナンス
http://shinshu.fm/MHz/77.88/archives/0000161659.html


S25R+tarpitting 運用に関する解釈
http://shinshu.fm/MHz/77.88/archives/0000164300.html


taRgreyの「S25R」判定の影響
http://shinshu.fm/MHz/77.88/archives/0000170888.html





[ 投稿者:Cookie at 09:55 | taRgrey | コメント(0) | トラックバック(0) ]