カスペルスキーアンチスパム
ver 3.0
インターネットの利用が進むとともに、「スパムメール」あるいは「迷惑メー
ル」と呼ばれるジャンクメールの問題が大きくなってきています。スパムメール
の数はここ数年で急上昇し、あるデータによれば、インターネット上を流れる
メールの9割以上がスパムメールだという結果も出ています。スパムメールの存
在は、単に迷惑なだけでなくビジネス場面における業務効率を落とし、限られた
資源であるインターネットの帯域を浪費することにも繋がっています。ITベンダ
やISP各社はこれら問題に対抗すべく「スパム対策」を主力機能として各種製品や
ソリューションの開発に日々労力を費やしています。世界最高クラスのセキュー
リティベンダー Kaspersky Labsは、スパム対策の最新技術を投入し、 「カスペ
ルスキー・アンチスパム」製品を3年前にリリースし、最新版である3.0は2006年
にリリースしました。
2006年11月
株式会社ケイエルジェイテック
http://www.kljtech.com/
〒101-0032 東京都千代田区岩本町1-10-3 紀繁ビル2F
TEL : 03-5823-8867
FAX : 03-5823-8880
©Copyright 2006 株式会社ケイエルジェイテック
Kaspersky Anti-Spam 3.0
 処理能力の向上





大規模トラフィック向けの設計思想に基づく高速処理の実現
前後のMTAからの大規模トラフィックでも安定した動作
使用メモリの効率化を実現
ログレポートシステムの改良
KeepUp2Date™採用により、DB更新の安定化と複数サーバラウンドロビンに対応
 新しいスパムフィルタリング技術








ウイルスやスパイウェアが自動生成するスパムに対応
SPF及び DCCフィルタリングに対応
本文中のURLブラックリスト(SURBL) に対応
OCR画像処理に対応した画像スパム対応技術の採用
ORDB(オープンリレーブラックリストDB)を含むRBL-DNSBLに対応
大量配信スパムに即時対応するUDS (Urgent defense System)技術
改良されたブラックリスト/ホワイトリストシステム(BL/WL)
Base64及びMIMEのデコードに対応し、エンコードされた本文のフィルタリングも可能
 新GUIによる簡単な管理




スパムの統計レポートに対応し、グラフィカルな分析とCSV/HTMLレポート出力
スパムエンジンの設定管理に対応
階層化されたポリシーとグループ管理で直感的なルール設定が可能に
日本語を含む複数のアジア圏文字コードに対応
©Copyright 2006 株式会社ケイエルジェイテック
2
Kaspersky Anti-Spam 3.0
カスペルスキーのスパム対策はどのようなフィルタリングを行っているか?
©Copyright 2006 株式会社ケイエルジェイテック
3
Kaspersky Anti-Spam 3.0
UDS (Urgent Detection System)
 Urgent Detection Systemは、特定のホストより大量のスパムが配信された際、
リアルタイムに検出、フィルタリングするためのシステムです。
1. メールのヘッダ及び本文の情報から、メールの分析に対する最低限の情報を収集します。
2. メールの分析データをカスペルスキー本部のUDSサーバーに送信します。この際、個人情報に関する
情報のやり取りは発生いたしません。
3. UDSでは分析データを自動的に処理し、瞬時に結果を回答します。
 スパムDB配信時のタイムラグ の間、UDSで確実なフィルタリングを実現します。
UDSのシステムは、本部サー
バとのやり取りでUDP7060
ポートを使用します。
UDSサーバの情報はリアルタ
イムで更新され、複数ある
UDSサーバの内、ネットワー
ク的に最適なサーバと常に通
信が行われます。
©Copyright 2006 株式会社ケイエルジェイテック
4
Kaspersky Anti-Spam 3.0
スパム定義DBによるフィルター
カスペルスキーアンチスパムの処理の中心的なフィルタリングです。
定期的に更新されるスパムDBにより、メールヘッダ分析、アナグラム処理、
IP/URLブラックリスト、メール本文のコンテンツフィルタリング情報等、
さまざまなフィルタリングがDBベースで行われます。
 20分に1回のペースで逐次DBを更新します。
 日本語のDBを独自に用意しており、スパムサンプルをいただいてから約20分で
登録が可能です。
 DBは内部で分類化され、2週間から2ヶ月データが保持されます。
 更新プログラムはラウンドロビンに対応し、複数のサーバーに対し効率的に更
新を行います。
©Copyright 2006 株式会社ケイエルジェイテック
5
Kaspersky Anti-Spam 3.0
SPF(Sender Policy Framework)スパム・フィルター・システム
Sender IDの仕組みは比較的シンプルです(図1)。SPF Recordと呼ばれるテキストファイ
ル一覧を用意し、そこに「あるメールアドレス(ドメイン名)の送信元として適切なメー
ルサーバのIPアドレス一覧」を書き込んでおきます。メールの送信先サーバはメールを受
け取った段階で、そのメールに書かれた送信元アドレスのドメイン名に対してDNS経由で
SPF Recordを参照します。もし当該のメールを送信してきたサーバのIPアドレスがSPF
Record内に記載されていれば、そのメールはSender IDによって認証されたメールとなりま
す。一方で、もしSPF Record内に記載がなければ、そのメールは認証されないメールと判
断されます。認証されていないメールは、送信元を偽っている可能性があり、これを受信
前にスパムメールとして一括処理することも可能です。このSPFの仕組みのメリットは、
メールが最終目的地のメールサーバへと到達していない段階で認証を行い、場合によって
はそれを排除することができる点となります。
©Copyright 2006 株式会社ケイエルジェイテック
6
Kaspersky Anti-Spam 3.0
OCR (Optical Character Recognition)
ここ最近、スパム対策フィルタを回避するために、画
像を利用したスパムが増えています。画像スパムの大
多数は、ノイズを含んだ画像の中に文字を含ませ、画
像は毎回再生成しているので、通常のフィルタリング
では検知できません。新手法では光学式文字認識
(OCR)機能を使用して文字を識別し、文字データに
変換してから解析を行うため、画像スパムに対して非
常に有用となります。メールのブロックの可否を決定
するスコアは、メールヘッダやメール本文などのメー
ル構成要素のスコア情報と組み合わせて、総合的に判
断されるます。
また同社は、画像を含むスパムメールから特徴的な
フィンガープリントを取得する手法を開発しました。
この機能により、既知のスパムフィンガープリントか
ら新しいスパムメールのメール構成要素を解析し、
スパムフィンガープリントに適合したメールを自動的
にブロック、隔離、またはタグ付けして送信できるよ
うになります。
©Copyright 2006 株式会社ケイエルジェイテック
7
Kaspersky Anti-Spam 3.0
BAYESIAN・フィルター

ベイジアンという単語を最近良く聞くかと思いますが、
ベイジアンフィルタの核となるベイズ理論とは、文章
の要素からその分類である確率を求める、統計学の理
論の一つです。ベイズの定理はベイジアンフィルタの
利用を目的として作成されたものではなく、したがっ
てベイズの定理をみせて「これがベイジアンだよ」と
言うのは間違いです。
ベイズ理論とそうでない(古典)統計学は、サンプル
数をNとすると 異なる結果は1/N程度となりそれほど
大きな違いがあるものではありません。Nが数百くら
いになると、その差は問題ではなくなります。現在の
ベイジアンフィルタの隆盛は、N=数百から数千の非線
形なモデルを扱う事ができる程度にコンピュータの能
力が上がってきた為です。
ベイズ理論は、スパムメールを分類する場合に計算を
導きやすいという特徴があります。ベイジアンフィル
タは、スパムメールの中の単語、URL、ヘッダ情報よ
り「スパム」及び「正常メール」の可能性を導き出し、
他の複雑なフィルタリング技術よりより単純かつ正確
な値を導き出すことが可能となりました。日本語の文
章は単語の間に空白がないため、単語分かちの技術と
併用することでフィルタリング精度が向上します。

ケイエルジェイテックはスパムフィルター技術につい
てKaspersky AntiSpam 3.0とbayesianフィルター
(optionで)設定をする事が可能です。
©Copyright 2006 株式会社ケイエルジェイテック
8
Kaspersky Anti-Spam 3.0
RBL(S) ファミリー・フィルター
 RBL/DNSBL(BlackList)
DNSBL とは、迷惑メール、すなわち spam の送信元或は中継を行うホストの IP アドレスを収集した
データベースです。 RBL は MAPS LLC の登録商標であり、 DNSBLサービスの一つを指します。
メールの送信サーバが受信サーバへ送信を行おうとすると、受信サーバは送信サーバの IP アドレス
を取得し、DNSBLサーバに対しDNSのプロトコルで問い合わせを行います。DNSBLサーバは受信サーバに
対し、当該 IP アドレスがデータベースに存在するか否かを返答します。もし、データベース(ブラッ
クホールリスト/ブラックリスト)に該当のIPがあれば、受信サーバは送信サーバに対し、メール受信
を拒絶するか、もしくはメールに警告を促すメールヘッダを追加、編集します。
 SURBL
メールの本文に書かれている URL(正しくはサーバのホスト名)を取得し、それがブラックリストに
登録されているかどうかを、DNSBLと同様の手法でチェックします。通常のRBLフィルタリングでは、
メールの送信元をチェックするだけで、本文に書かれた URLまでチェックすることはほとんどありま
せん。迷惑メールは送信元を変えるだけでDNSBLを回避できますが、そのメール内部のURLの変更は頻
繁には行いません。効果的なフィルタリングが期待できます。
 ORDB (Open Relay Database)
ORDBとは電子メールの不正中継(open SMTP relay)が可能なホストのリストを保持・管理している非営
利団体で、そのメールサーバーが不正中継されやすい「オープンリレー」になっているかどうかを確
認した上で登録します。そのため、非常に信頼の置けるDNSBLとなります。
©Copyright 2006 株式会社ケイエルジェイテック
9
Kaspersky Anti-Spam 3.0
スパムに対して、お客様によってさまざまなポリシーがあります。
ケイエルジェイテックは、エンドユーザー様から企業ポリシーをヒヤリングし、適切な
設定をコンサルテーションいたします。
 ISPレベル・ルール




出会いサイト
メールマガジンOK
ウイルスが自動生成したスパムが多い
その他
 企業向けレベル・ルール
 Spam Protection : SPF /DCC/RBL/Domain Name Cert
 Spam URL Realtime Blocklists
 Bayesianエンジン
 教育機関(Educational)ルール







Spam Protection : SPF /DCC/RBL/DNSBL
Spam URL Realtime Blocklists
Bayesianエンジン
出会いサイトの完全ブロック
メールマガジンもブロックする場合がある
ウイルスが自動生成したスパムが多い
その他
©Copyright 2006 株式会社ケイエルジェイテック
10
Kaspersky Anti-Spam 3.0
HOW DOES IT WORK?
アンチスパムの動作について
©Copyright 2006 株式会社ケイエルジェイテック
11
アンチスパムの処理フロー資料
©Copyright 2006 株式会社ケイエルジェイテック
12
SPAMエンジン・フィルターの技術
カスペルスキーのフィルタリングは、MTAと簡単にやり取りが行えます。
ほとんどのMTA (Postfix、Cgpro、Exim) は共通ロジックkas-pipeで動作しています。
Semdmailはmilter通信用デーモンで、qmailではqmail-queueラッパーで同様の処理を行います。
SDKを利用する場合、eml形式のファイルとエンベロープ情報ファイルを準備し、バイナリを実行
することでファイルが書き換わります。
©Copyright 2006 株式会社ケイエルジェイテック
13
Kaspersky Anti-Spam 3.0
KAS 3.0のGUI
©Copyright 2006 株式会社ケイエルジェイテック
14
全体のステータス確認
全体のステータスを確認できます
©Copyright 2006 株式会社ケイエルジェイテック
15
アンチスパムエンジン
アンチスパムエン
ジンのステータス
とログを確認でき
ます
©Copyright 2006 株式会社ケイエルジェイテック
16
スパムDBの更新プログラム
スパムDB更新
プログラムのス
テータスとログ
を確認できます。
©Copyright 2006 株式会社ケイエルジェイテック
17
ライセンス管理プログラム
ライセンス管理
プログラムのス
テータスとログ
を確認できます。
©Copyright 2006 株式会社ケイエルジェイテック
18
アクセス統計
スパムの統計
受信状況を確
認できます。
©Copyright 2006 株式会社ケイエルジェイテック
19
フィルタリングルール管理
フィルタリングのルールを管理します。
©Copyright 2006 株式会社ケイエルジェイテック
20
一般ルール
一般的なルールの管理です。
フィルタリングの有効
無効切替
検知の強さの指定
[弱][標準][最大]
[Probable Spam] (疑わしい)
の有効無効
DNSBL (RBL)チェック
SPFメール認証
ホワイトリスト、ブラックリス
トの有効無効
©Copyright 2006 株式会社ケイエルジェイテック
21
DNSチェック
DNSブラックリスト、IPアドレスのネーム確認、Sender Policy Framework
(SPF)メール認証の有効無効を設定できます。
©Copyright 2006 株式会社ケイエルジェイテック
22
メールヘッダルール
メールヘッダの要素で判断します。
©Copyright 2006 株式会社ケイエルジェイテック
23
文字コード制限
中国語、韓国語、タイ語、日本語の制限を設定します。
©Copyright 2006 株式会社ケイエルジェイテック
24
IP、メールアドレス制限
IPアドレス及びメールアドレス制限を設定します。
©Copyright 2006 株式会社ケイエルジェイテック
25
DNSBL登録
DNSブラックリストを登録します
©Copyright 2006 株式会社ケイエルジェイテック
26
グループの作成
メールアドレスでグループを作成し、グループごとに細かく設定します。
©Copyright 2006 株式会社ケイエルジェイテック
27
グループ毎の処理設定
グループ毎に、スパムメールを受け
取った際の処理を設定します。
件名にキーワードを挿入
標準は[!! SPAM]等が入ります。
コピーを特定にメールアドレスに
転送します。
他のアドレスに転送します。
メールを拒否(Reject)します。
メールを削除します。
他にも、グループ毎に個別でDNS
チェックやブラックリスト、ホワイトリ
ストの設定等が行えます。
©Copyright 2006 株式会社ケイエルジェイテック
28
アンチスパムエンジン設定
エンジンのログや動作の設定、パフォーマンスチューニング等が行えます。
©Copyright 2006 株式会社ケイエルジェイテック
29
DB更新設定
DB更新のスケ
ジュール、地域等
の設定が行えます。
©Copyright 2006 株式会社ケイエルジェイテック
30
ライセンス情報
ライセンス情報の画面です。ライセンスの追加も、この画面から行えます。
©Copyright 2006 株式会社ケイエルジェイテック
31
Kaspersky Anti-Spam
KASの迷惑メール検知率@ケイエルジェイテック
©Copyright 2006 株式会社ケイエルジェイテック
32
Kaspersky Anti-Spam 3.0
システム要件
©Copyright 2006 株式会社ケイエルジェイテック
33
お問い合わせ
株式会社ケイエルジェイテック
〒101-0032 東京都千代田区岩本町1-10-3紀繁ビル2F
Tel: +81-3-5823-8867 Fax: +81-3-5823-8880
E-mail: [email protected]
Site: http://www.kljtech.com/
©Copyright 2006 株式会社ケイエルジェイテック
34
ダウンロード

KASの迷惑メール検知率@ケイエルジェイテック