スパム・メールに関する最大の悩みとは,正当なメールを間違えてスパム扱いしてしまうという「偽陽性(false positives)」の問題であろう。スパムに関する偽陽性は,特に企業にとって重大な問題になる場合がある。誰でも仕事上の仲間などから「あいつは俺たちを無視している」などと思われたくはないだろう。偽陽性の問題を回避しながらスパム・メールを自動的に処理するためには,どのような技術を使うのが良いのだろうか。

 最近筆者は「Security Matters」というブログに,あるメール・サーバーに多数のフィルタを設定している友人の話を書いた(関連記事)。彼のサーバーでは,スパム・メールを除去するために10数種のフィルタを使用している。フィルタを使用する場合に注意しておかねばならないことは,ある種類のメールに対してうまく機能するフィルタが,別の種類のメールに対してもうまく機能するとは限らないということである。従って,様々なフィルタを試して,受信したくないタイプのメールを除去するにはどのフィルタが最も適しているかを調査する必要がある。

 彼のシステムを調べた際に筆者が気づいたことを紹介しよう。彼のシステムの様々なフィルタで25万4000を越えるメッセージが処理されたのを見て,筆者が気づいたことは,そのシステムでは単純な言語フィルタが最も効果的だったことである。言語フィルタでは,システムで使用していない文字セットで記述されたメッセージが振るい落とされる(訳注:英語以外のメールを一律で削除しているものと思われる)。ただし,言語フィルタはどのような企業でも使えるというわけではない。国際的に事業を展開している企業にとっては特にそうだ。とはいえ,このようなフィルタが役に立つ企業も多いことだろう。

 2番目に効果的なフィルタは,IPブラックリスト・フィルタである。IPブラックリスト・フィルタは,ブラックリスト・サービス・プロバイダに対して,メッセージ送信者のアドレスや,メッセージがリレーされた配信ルートのアドレスなどの所定のIPアドレスについて問い合わせる。その結果,問い合わされたIPアドレスがサービス・プロバイダのブラックリストと一致した場合は,そのメッセージがスパムである可能性は高いと判断する。また,ブラックリスト・サービス・プロバイダの中には,トロイの木馬やワーム,バックドア,その他のマルウエアなどのウイルス送信者として判明しているアドレスを探り当ててくれるところもあり,このようなブラックリストは,ネットワークからそのような厄介者を排除することに役立つだろう。

 Security Mattersブログの読者から,筆者が取り上げたシステムでどのブラックリストを使用しているのかという質問を受けた。そこで,ブラックリスト・サービス・プロバイダの名前を,ブラックリストに載っているIPアドレスの発見率に基づいて下に挙げることにする。

sbl-xbl.spamhaus.org
blackholes.five-ten-sg.com
dnsbl.sorbs.net
t1.dnsbl.net.au
bl.spamcop.net
no-more-funn.moensted.dk
sbl.csma.biz
cn-kr.blackholes.us
cbl.abuseat.org
multihop.dsbl.org
list.dsbl.org

 そのほかにブラックリスト・フィルタ処理には,Uniform Resource Identifier(URI)フィルタ処理という単純な手法もある。この方法では,メッセージの内容をスキャンして本文のすべてのURIを突き止め,さらに,それらのURIは,URIブラックリスト・サービスで既知のスパム送信者と一致するかどうかチェックされる。私が試してみた時点では,URIブラックリスト・プロバイダはSpam URI Realtime Blacklists(SURBL)(DNSアドレス:multi.surbl.org)だけだったが,現在では,URIBL.COM(DNSサーバー・アドレス:multi.uribl.org)というURIブラックリスト・サービス・プロバイダも誕生している。URIBL.COMは先週使い始めたばかりで,パフォーマンスの程度についてはまだなんとも言えない。

 もちろんブラックリスト・フィルタでも,偽陽性判定が生じることはある。ただし,ブラックリスト・フィルタの使用は非常に効果的だということで,ほとんどの意見は一致している。他の種類のフィルタとしては,奇妙なスペル・パターン(「s.A v.e. B 1 g.!!!」など)をチェックするフィルタや,メール・ソフトが使わないようなおかしなSMTPヘッダーを検証ソフトなどを試したり自分で作成してみるのもいいだろう。

 ブラックリスト・フィルタの機能については,Windows IT Pro Magazineの「Dynamic Blacklists Demystified」という記事で説明されている。 インターネット上にあるブラックリスト・フィルタについての他の記事は,こちらを参照して頂きたい。

 Jeff Makey氏が公開している月例報告では,どのIPブラックリスト・サービスが彼の環境で最もよく機能したかが報告されている(Jeff Makey氏のブログ)
。彼のページをブックマークして,時間があればじっくりと検討してみるのもいいだろう。まだ知らない新しいIPブラックリスト・サービス・プロバイダについて情報が得られるかもしれない。

 ただし,ブラックリスト・サービスも万人向けではない。ブラックリスト・サービスにも問題点が存在する。それについては,次回のコラムで紹介したい。