Contenu connexe
Similaire à メールインフラの生々しい運用 (18)
メールインフラの生々しい運用
- 1. 1© Internet Initiative Japan Inc.
Session2:メールインフラの⽣々しい運⽤
IIJ Technical NIGHT vol.7 「まだまだ現役!モダンなメールシステムと迷惑メール最前線!」
2019年5⽉27⽇
株式会社インターネットイニシアティブ
ネットワーククラウド本部
アプリケーションサービス部 運⽤技術課
脇坂 優樹
- 2. 2
ehlo
脇坂 優樹
• おおざっぱに:IIJ セキュアMX サービスの「なかのひと」
• 2016年新卒⼊社以降メール系サービス運⽤担当
• 設備構築したり
• 迷惑メールと戦ったり
• ⼤学時代はもう少し低いレイヤーの⼈だったはず(でした)
• ネットワークとかストレージとか
• いろんなレイヤから不具合を⾒つけ出してくるのが得意に
- 8. 8
我々は何と戦っているのか?
進化していく「ウィルスメール」
「請求書」「送り状」「写真」
• MS Word や Excel を隠れ蓑にしたマクロウィルス
• 実体はマルウェア本体をダウンロードするスクリプト
• 難読化のパターンを変えればハッシュも変わる
Loveletter の類
• 有名⼈を騙って送ってくる
• 写真付けました!→ 中⾝は javascript
暗号化 zip / rar の中にウィルス
• アンチウィルスを突破するため暗号化
• パスワードはメール本⽂中に書いてある
やめよう、パスワードzipメール
ダウンローダだけが来ることが多い
本画像は講演時のみ掲載とさせていただきます
- 9. 9
我々は何と戦っているのか?
進化していく「ウィルスメール」
「請求書」「送り状」「写真」
• MS Word や Excel を隠れ蓑にしたマクロウィルス
• 実体はマルウェア本体をダウンロードするスクリプト
• 難読化のパターンを変えればハッシュも変わる
Loveletter の類
• 有名⼈を騙って送ってくる
• 写真付けました!→ 中⾝は javascript
暗号化 zip / rar の中にウィルス
• アンチウィルスを突破するため暗号化
• パスワードはメール本⽂中に書いてある
やめよう、パスワードzipメール
ダウンローダだけが来ることが多い
本画像は講演時のみ掲載とさせていただきます
- 14. 14
迷惑メールと戦う設備と⼈
vs 迷惑メール
やっぱり複数エンジンでカバー
• アンチウィルス以上に得意・不得意がわかれる
• 中⾝が頻繁に変わるので出始めが勝負
• 正規メールの誤判定率をどう抑えるかが悩みどころ
物量に負けない隔離システム
• 「誤判定あるしとりあえず隔離」と設定されてしまう
• ⼤規模キャンペーンでも捌ける分散ストレージを導⼊
• フィルタと疎結合にして⾼負荷時の配送遅延を防ぐ
ベンダとの連携
• ハニーポットで観測された spam を⾃動で即通報
• 定期的なミーティングで傾向や検知状況を情報交換
The Internet
AntiVirus A
AntiVirus B
AntiSpam Y
AntiSpam X
メールボックス
フィルタ 隔離box
- 15. 15
迷惑メールと戦う設備と⼈
vs 迷惑メール ちなみに・・・
Q. キャンペーンってどれくらいの量の迷惑メールきますか
A. 平時の数⼗倍くらいの量が数時間継続します
旧システムで⾳を上げたのはディスク保存のある隔離部分
• 新システム検証時に本番同等規模の検証環境で徹底的に負荷をかけて実験
• 実験時に問題を洗い出して本番構築時にチューニング
• バージョンアップのたびに性能検証
検証でシステム壊しすぎて当時の上司に「破壊神」と⾔われた
- 16. 16
迷惑メールと戦う設備と⼈
vs 業務メール!?
False Positive は是正が⼤変
• spam はハニーポットからいくらでも提供できる
• 顧客の業務メールは明⽰的に同意がないと提供不可
• 業種によってスタイルがバラバラ
Spam を全部とめるだけなら簡単
• 怪しいのは全部⽌めればいい!
• 業務メールを巻き添えにするのを気にしないなら
メールマガジンは spam なのか?
• 業務上必要なメールマガジンもある
• 欲しい⼈と欲しくない⼈の両⽅居る
• ⾃分で購読したのに忘れてて迷惑メール扱いする⼈も
• From が毎回違って多くの⼈に送られる
→ spam の挙動に類似
安否確認メールは特に厄介
• 普段観測されないドメインから
• リンク付きのメールが
• 短期間に⼤量に送信される
→どうみても spam にしか⾒えない!