本機能はあなたのローカルネットワークあてのスパムを防御するために、また、あなたの XMail を不正に利用して大量スパムを外部へ送ろうとする悪質者(スパマー)と闘うために用意しました。 1件の SMTP 接続があったとき、そこから 分を遡った時刻から接続数や RCPT TO 数をカウントしてその接続の維持を判断します。 ただし、スパマーが大きなサイズのメッセージを送信することは通常はないので、本機能では 100KB を超えるサイズのメッセージの到着の場合は何もしないことにしています。 これはメッセージ解析によるサーバへの負荷を回避するためです。

なお、メーリングリストでは短時間に大量のメッセージが配信されることがあり、本ページの設定によってはそれがスパム扱いになってしまうことがあります。これを避けるには、"除外リスト" に該当送信元の IP アドレスやメーリングリストで使用する MAIL FROM アドレスを登録してください。

"不正利用" とは、たとえばローカルアカウントで使用している POP ユーザ名とそのパスワードの 1組を誰かが不正に入手し、そのアカウントになりすましてあなたの XMail をスパム送信サーバにしてしまうことです。XMail は高速かつ安定した動作が期待できるので、数百万通のスパムを短時間に自動送信したいスパマーにとって魅力的な存在です。2015 年、作者の友人の XMail がそのようにして乗っ取られ、大きな被害をこうむりました。そこで作者はこのメニューを実際に役に立つものに改善しました。

"不正に入手" と書きましたが、入手方法として最近ではアカウント乗っ取りを目的にした POP サーバまたは SMTP サーバへの辞書攻撃が有名です。あなたの SMTP アクセスログが "AUTH=EFAIL" というステータスのもので真っ赤になったことはありませんか。その多くはスパマーによる乗っ取り攻撃の失敗の記録です。スパマーはあなたの XMail に接続し、ありそうなユーザ名とパスワードの組み合わせを使って XMail による認証に成功するか試しているのです。専用プログラムを使うのでスパマーはそれをクリックするだけで、辞書に載っている単語を片端からあっという間にパスワードとして試すことができます。安易なパスワードであれば乗っ取られるのは時間の問題です。よって、乗っ取りを防止する最良の方法はあなたの XMail ユーザに強度の高いパスワードを使用してもらうことです。ローカルユーザのパスワードの強度をチェックするメニューが [セキュリティ]-[POPパスワード強度チェック] にあります。

そのようにしてあなたの XMail が乗っ取られ、スパム送信サーバにされてしまうと、やがてあなたの IP アドレスはブラックリストに登録され、あなたは取引先やローカルユーザからクレームを受けることになります。スパム送信の巨大な負荷のため、正規のメッセージが遅延や不達の羽目に合うからです。失うものが大きいですね!! 手を尽くして闘いましょう。

しかし、本機能は慎重に運用する必要があります。スパムではないメッセージを拒否してしまわないよう細心の注意を払ってください。 また、本機能はサーバに大きな負荷をかける可能性があります。できるだけ高性能のマシンを使ってください。ディスク装置は SCSI インターフェースや SSD タイプのものがおすすめです。スパムメッセージをロギングする場合、大きなディスクスペースを消費する可能性があります。大容量のディスク装置を使い、毎日のメンテナンスではディスクの空きスペースに注意してください。

(*1) もしあなたの XMail のローカルアカウントが乗っ取り攻撃を受けた場合、あるいは実際にスパム送信サーバとして悪用された場合、または正規ローカルユーザがあなたの XMail を利用して外部へのスパム送信を試みた場合、SMTP アクセスログを見れば同じ IP アドレスを持つ SMTP クライアントから短時間に多量の異常なアクセスが観察されるはずです。そこで単位時間(デフォルトは 分)あたりのその数をカウントし、指定値を超えた場合に自動的に接続を拒否します。デフォルト値は 100 にしています。空白またはゼロを指定した場合はこの機能を実行しません。

注意すべき点として、あなたの XMail を外部組織(会社など)から利用している場合、外部組織の多くはゲートウェイ経由でアクセスしてくることが多く、この場合はアクセス元が単一の IP アドレスになるので、その組織にアカウントが多い場合は XMail から見て不正アクセスに見えることがあります。正規のアクセスを拒否しないためには "除外 IP リスト" でその組織の固有の IP アドレス(ゲートウェイ)を登録してください。

(*2) 古きよきハッカーとスパマーとの終わりなき闘争は一面においてスパマーをいよいよ狡猾にしている面があり、最近のスパマーはせっかくメールサーバの正規アカウントを乗っ取っても、目立った利用を避けるかもしれません。たとえば、短時間の大量接続を控えます。そのかわり、1回の接続で RCPT TO コマンドを数 10 回サーバに発行します。この場合、SMTP 接続としては 1個なので、ログでは目立ちません。スパマーは少し時間を置いて再び 1件のメッセージで数 10 件のスパムを送信するでしょう。RCPT TO コマンドはメール送信者が To: や Bcc:、Cc: に書いたものを見てメーラが内部的に送信しているコマンドです。

このようなスパマーに対抗するため、同じ IP アドレスからの同じ MAIL FROM を持つ接続を監視し、メッセージ到着時から過去の 分(デフォルト)を遡って RCPT TO の合計個数をカウントし、それを超えるものを拒否します。(*1) の方法に比べ、こちらの方は組織などの正規ユーザへの広範な影響を避けることができます。デフォルト値は 300 です。空白またはゼロを指定した場合はこの機能を実行しません。

注意すべき点として、あなたの XMail ユーザの中に、業務として頻繁に To: や Cc: に多くのあて先を書いてメッセージの送信を行う人がいる場合、それがスパムとみなされてしまう可能性があります。これを避けるには "除外 MAIL FROM リスト" にその送信者のメールアドレスを書いてください。

(*3) スパム送信と判定して接続を拒否するさい、XMail の不正アクセスホスト定義ファイル(spammers.tab)にその IP アドレスを自動的に登録する場合にチェックをつけてください。この場合、その IP アドレスからの次回のアクセスはセッションの冒頭で XMail 自身が接続を拒否するのでシステムへの負荷が軽くなるメリットがあります。デメリットとしては、その IP アドレスからは恒久的に接続が拒否されてしまうだけでなく、届くはずだったメッセージの内容も分からないことです。不適切な接続拒否であった場合の影響は無視できないものになる可能性があります。

(*4) スパム送信と判定して接続を拒否するさい、XMail のスパムアドレス定義ファイル(spam-address.tab)にそのメールアドレスを自動的に登録する場合にチェックをつけてください。この場合のメリットとデメリットは (*3) の場合と同様です。

(*5) 切断時の SMTP 応答コードとメッセージを "451 Pease try again later"(デフォルト) のように指定します。ただし、400 番台のエラーコードを応答するとスパマーが再びアクセスを試みる可能性があります。 "550 Requested action not taken" のように 500 番台の応答をすると、通常は再びアクセスがないことを期待しますが、スパマーが実際にそうするかは不明です。 SMTP 応答コードの詳細は他の資料を見てください。

除外 IP リストは以下のように指定できます。
  　192.168.1.10 　　　　　# 個別指定
  　10.1.0.0/24　　　　　　# マスク指定
  　10.1.1.1-10.1.1.100　　# 範囲指定
1行の指定の末尾にはシャープ文字(#)に続けてコメントを書くことができます。

除外 MAIL FROM リストには完全なメールアドレスを指定してください。大文字・小文字は同一視されますが、ワイルドカードや正規表現は使えません。

アクセスログは MailRoot/logs/XMailCFG/IPs にあります。
また、本機能による受信拒否の記録を [アクセスログ]-[フィルタ処理のログ1 (XMailCFG)] で見ることができます。