CNET メールサーバーのメール受信ポリシー

文責:豊田二郎
Rev.1.0, Sep 15, 2003
Rev.1.1, Oct 27, 2003
あなたのパソコンから、アメリカオンライン(@aol.com)にメールが送ることができますか?
これと同じような方針から、CNET メールサーバーでは DNS でアドレスの逆引きできないサイトからの メールを受信いたしません。

お願い

以下に示す理由から、CNET メールサーバーでは IP アドレスの逆引きが正しく行えないメールサーバからの メールの受け取りを拒否しています。 メールの配送に出来ないなどのトラブルがある場合には、 お手数とは思いますがメール送信側の DNS の設定を見直していただきますようお願いします。

概要

最近の SPAM メールの蔓延に伴い、CNET メールサーバーにも大量の SPAM メールが届いています。
現状では、一般的な不正中継の対応として、 @chem.sci.osaka-u.ac.jp 宛てのメール以外はメールの受信を拒否する設定を行っています。 また、CNET メールサーバーにアカウントの存在しないユーザ宛てのメールも受信拒否するように設定しています。 しかし一方で、SPAM メールが大量に不正中継されて送られてきています。 そして、これに伴うエラーメールの配送や、配送のための DNS アクセス等が大量に発生しているのが現状です。
実際に送られてきている SPAM メールのほとんどは、 ネットワークの不正利用で自分の正体の追求を逃れるため、 DNS にて IP アドレスの逆引きができないような サイトから送信してきます。

現状でのメール受信ポリシー

前述の理由から、大量の SPAM メールを受け取らないためにも、 メールの受信には厳しい受信制限を実施せざる得ない状況です。 このため、最初に述べたように、 IP アドレスの逆引きが出来ないサイトからのメールは、 メール受信を拒否するように設定してあります。
よってメールの配送が出来ない原因が、 DNS の設定によるものであれば、 大変ご迷惑とは思いますが
メール送信側にて DNS にてIPアドレスの逆引きが 正しくできるかご確認・対処のうえ、再送をお願いします。
厳しい運用ルールと思われるかもしれませんが、アメリカオンラインをはじめ、同様のルールを実施しているサイトが増加しています。 CNET メールサーバー宛てのメールトラブルと認識しないで、 ほかのサイト宛てメールでも今後は同様のトラブルが多発することが予想されることから、 送信側で対処することをお勧めします。 実際、CNET メールサーバーでこの設定を行ってから、SPAM メールの受信を 70% 以上減らすことができています。

典型的な配送エラーの履歴

実際に配送エラーが発生したメールの、エラーメールでのメッセージ例を以下に示します。

> ... while talking to chem.chem.sci.osaka-u.ac.jp.:
> >>> RCPT To: <xxxxxx@chem.sci.osaka-u.ac.jp>
       ↑配送する相手(chem.sci.osaka-u.ac.jpが付属)
> <<< 450 Client host rejected: cannot find your hostname, [11.22.33.44]
> < xxxxxx@chem.sci.osaka-u.ac.jp>...
> Deferred: 450 Client host rejected: cannot find your hostname, [11.22.33.44]
       ↑送信者のIPアドレス
> Message could not be delivered for 5 days
> Message will be deleted from queue

よくあるアドレスの逆引きのできない原因

NAT経由で割り振られるアドレスが逆引き登録されていない。
組織内と組織外が、Firewall や NAT 機能を持つルータにて接続されている場合、 NATにて自動的に割り振られるグローバルアドレスがDNSに登録されていない事例が多くあります。 前記の事例であれば、使用されているメールサーバーの IP アドレスが DNS で逆引きできるか、ご確認ください。
【例】 % nslookup 11.22.33.44
    :
** server can't find 44.33.22.11.in-addr.arpa: NXDOMAIN
DNS 設定の間違い
DNS の設定は複雑です。メールが届くとか WWW が参照できるとはいえ、 設定に間違いがある場合があります。DNS の管理者と相談のうえ間違いがないか確認が必要です。
最も簡単なチェック方法
一番簡単なチェック方法は、あなたのコンピュータからどなたか知り合いの方のアメリカオンラインのアドレスにメールを 送って下さい。正しく送信できますか? CNET メールサーバーと同じ理由から、アメリカオンラインでも逆引きできないサイトからの メールを受け取らないはずです。

受信拒否したメールの一覧

IP アドレスが DNS で逆引きできなかったために、CNET メールサーバーが受信を拒否したメールの一覧です。
ネームサーバーに正しく登録されていないホストからの reject メール一覧
chem.sci.osaka-u.ac.jp ドメインからしか アクセスできません。

Q&A

Q1: 逆引きのチェックを行うたびに DNS による問い合わせが行われるので、予期せぬ DoS 攻撃(Denial of Service attack:サービス不能攻撃)になりませんか?
A1: 大量の SPAM メールを受け取って、エラーメールを送信する場合にも同じ数だけ DNS による問い合わせが発生します。SPAM 業者(もしくは SPAM プログラム)が、 「あのサーバーは SPAM を受信しないサーバーである」と認識すれば、送信されてくる SPAM メールの総数は減りますので、結果として DoS 攻撃にはなりません。 実際、CNET メールサーバーでこの設定を行ってから、SPAM メールの受信を 70% 以上減らすことができています。

Q2: このような手段を使わなくても、SPAM を排除することは可能ではないですか?
A2: 他の考えられる方法は、ほとんどすべて試した後です。

Q3: DNS の管理者が逆引きを登録してくれないのですが……。
A3: IP アドレスの逆引きの設定は、基本的に IP アドレス 256 個単位で設定しなければなりません。ひとつのドメインで IP アドレスを 256 個以上持っていれば いいのですが、サブドメイン等で 256 個より少ない IP アドレスの単位で管理している場合は、特別な設定 が必要です。まともな管理者であれば、このような設定を行って 256 個より少ない IP アドレス単位でも逆引きの登録を行ってくれるはずですが、技術力がない管理者や、 登録の設定が面倒だと思う管理者の場合は、「セキュリティーのため逆引きは登録しない」等の理由にならない理由で逆引きを登録してくれない場合があります。「逆引きを登録しないとアメリカ オンラインにメールが出せない」等の理由をあげて説得されることをお勧めします。

Q4: 自宅 ADSL でサーバーを運用しており、ダイナミック DNS サービスを使ってメールサーバーのドメイン名を登録していますが、メールは届きますか?
A4: 元の ADSL の IP アドレス(たとえば 10.222.33.44)とホスト名(たとえば examplebb102223344.example.net)の逆引きと正引きが正しく登録されていれば問題ありません。この登録は ADSL 業者が行っているはずですので、ダイナミック DNS サービスとは関係ありません。

Q5: 最近はセキュリティーのために「逆引き」を設定しない方向にあるのではないですか?
A5: そんな話は聞いたことがありません。むしろ「なりすまし」等を防ぐために、逆引きを正しく登録する方がセキュリティーは高くなります。 攻撃を行う人は、プログラムを使って並列的に総当たり攻撃を行いますので、逆引きを設定しないメリット(タイムアウトによる攻撃の遅延等)は全くありません。

Q6: IPアドレスの逆引きができないサーバーからの受信拒否は永久に行うのですか?
A6: 永久ではありません。逆引きができないサーバーからの受信拒否の効果が薄れた場合や、より効果的に SPAM を排除する方法が見つかった場合はやめることがあります。

用語集

CNET メールサーバー
大阪大学大学院理学研究科、化学専攻・高分子科学専攻等で運用しているメールサーバー。chem.chem.sci.osaka-u.ac.jp。

SPAメール
無駄な大量メール。ダイレクトメール配送業者からのメールがほとんどです。

不正中継
SPAM配送業者が自分のサーバからの配送が出来ないため、 自分以外のサイトのメールサーバを中継に利用して大量のメールを出す場合が多いです。 古いメールの配送ルールでは、バケツリレー的なメールの配送をしていたため、メールサーバは受け取ったメールを中継して送信する機能が普通でした。

DNS
www.chem.sci.osaka-u.ac.jp といったホスト名(アドレス)から IP アドレスに変換したり(正引き)、IP アドレスからホスト名に変換したり(逆引き)するシステム(Domain Name Service)。
電話に例えるならば、電話帳のような存在です。

IP アドレスの逆引き
通常のネットワークの接続では、ホスト名から IP アドレスを調べ接続するコンピュータを選びます。
これとは逆に、IPアドレスからホスト名を調べる機能を逆引きと呼びます。
接続元の素性が正しいものか調べるために用いられます。近年の不正利用の危険性から、逆引きできないネットワークからの接続には制限を加えられるのが普通になってきています。

リンク

福井工業高等専門学校 メール受信ポリシー
この Web ページは、このサイトを参考にして作成しました。許可をいただきましたことを感謝いたします。

東北大学 SuperTAINS News No.20「IPアドレスとホスト名 〜 DNS について 〜」
「4 自分のコンピュータをネームサーバに登録する必要はあるか?」を御覧ください。

DNSによる送信者制限
DNS を使って送信者アドレスなどを制限するのはやめましょうと呼び掛けているページ。 CNET メールサーバーのメール受信ポリシーとは逆の立場です。