©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

カスペルスキーアンチスパム ver 3.0

　２００６年 11 月株式会社ケイエルジェイテック

http://www.kljtech.com/〒 101-0032 　東京都千代田区岩本町 1-10-3 紀繁ビル 2F

TEL : 03-5823-8867 FAX : 03-5823-8880

インターネットの利用が進むとともに、「スパムメール」あるいは「迷惑メール」と呼ばれるジャンクメールの問題が大きくなってきています。スパムメールの数はここ数年で急上昇し、あるデータによれば、インターネット上を流れるメールの９割以上がスパムメールだという結果も出ています。スパムメールの存在は、単に迷惑なだけでなくビジネス場面における業務効率を落とし、限られた資源であるインターネットの帯域を浪費することにも繋がっています。 ITベンダや ISP 各社はこれら問題に対抗すべく「スパム対策」を主力機能として各種製品やソリューションの開発に日々労力を費やしています。世界最高クラスのセキューリティベンダー Kaspersky Labs は、スパム対策の最新技術を投入し、 「カスペルスキー・アンチスパム」製品を 3年前にリリースし、最新版である 3.0 は 2006 年にリリースしました。

22©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

Kaspersky Anti-Spam 3.0 処理能力の向上処理能力の向上

大規模トラフィック向けの設計思想に基づく高速処理の実現 前後の MTA からの大規模トラフィックでも安定した動作 使用メモリの効率化を実現 ログレポートシステムの改良 KeepUp2Date™採用により、 DB更新の安定化と複数サーバラウンドロビンに対応

新しいスパムフィルタリング技術新しいスパムフィルタリング技術 ウイルスやスパイウェアが自動生成するスパムに対応 SPF及び DCCフィルタリングに対応 本文中の URL ブラックリスト (SURBL) に対応 OCR 画像処理に対応した画像スパム対応技術の採用 ORDB （オープンリレーブラックリスト DB）を含む RBL-DNSBL に対応 大量配信スパムに即時対応する UDS (Urgent defense System)技術 改良されたブラックリスト /ホワイトリストシステム（ BL/WL ） Base64 及び MIME のデコードに対応し、エンコードされた本文のフィルタリングも可能

新新 GUIGUI による簡単な管理による簡単な管理 スパムの統計レポートに対応し、グラフィカルな分析と CSV/HTMLレポート出力 スパムエンジンの設定管理に対応 階層化されたポリシーとグループ管理で直感的なルール設定が可能に 日本語を含む複数のアジア圏文字コードに対応

33©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

カスペルスキーのスパム対策はどのようなフィルタリングを行っているか？Kaspersky Anti-Spam 3.0

44©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

UDS (Urgent Detection System) Urgent Detection Systemは、特定のホストより大量のスパムが配信された

際、リアルタイムに検出、フィルタリングするためのシステムです。1. メールのヘッダ及び本文の情報から、メールの分析に対する最低限の情報を収集します。 2. メールの分析データをカスペルスキー本部の UDSサーバーに送信します。この際、個人情報に関す

る情報のやり取りは発生いたしません。 3. UDSでは分析データを自動的に処理し、瞬時に結果を回答します。

スパム DB配信時のタイムラグ の間、 UDSで確実なフィルタリングを実現します。

Kaspersky Anti-Spam 3.0

UDSのシステムは、本部サーバとのやり取りでUDP7060ポートを使用します。

UDSサーバの情報はリアルタイムで更新され、複数あるUDSサーバの内、ネットワーク的に最適なサーバと常に通信が行われます。

55©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

スパム定義 DBによるフィルターカスペルスキーアンチスパムの処理の中心的なフィルタリングです。定期的に更新されるスパム DBにより、メールヘッダ分析、アナグラム処理、 IP/URLブラックリスト、メール本文のコンテンツフィルタリング情報等、

さまざまなフィルタリングが DBベースで行われます。

20分に 1回のペースで逐次 DBを更新します。 日本語の DBを独自に用意しており、スパムサンプルをいただいてから約 20分

で登録が可能です。 DBは内部で分類化され、 2週間から 2ヶ月データが保持されます。 更新プログラムはラウンドロビンに対応し、複数のサーバーに対し効率的に更

新を行います。

Kaspersky Anti-Spam 3.0

66©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

SPF（ Sender Policy Framework）スパム・フィルター・システム

　 Sender IDの仕組みは比較的シンプルです（図 1）。 SPF Recordと呼ばれるテキストファイル一覧を用意し、そこに「あるメールアドレス（ドメイン名）の送信元として適切なメールサーバの IPアドレス一覧」を書き込んでおきます。メールの送信先サーバはメールを受け取った段階で、そのメールに書かれた送信元アドレスのドメイン名に対して DNS経由で SPF Recordを参照します。もし当該のメールを送信してきたサーバの IPアドレスがSPF Record内に記載されていれば、そのメールは Sender IDによって認証されたメールとなります。一方で、もし SPF Record内に記載がなければ、そのメールは認証されないメールと判断されます。認証されていないメールは、送信元を偽っている可能性があり、これを受信前にスパムメールとして一括処理することも可能です。この SPFの仕組みのメリットは、メールが最終目的地のメールサーバへと到達していない段階で認証を行い、場合によってはそれを排除することができる点となります。

Kaspersky Anti-Spam 3.0

77©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

OCR (Optical Character Recognition)

ここ最近、スパム対策フィルタを回避するために、画像を利用したスパムが増えています。画像スパムの大多数は、ノイズを含んだ画像の中に文字を含ませ、画像は毎回再生成しているので、通常のフィルタリングでは検知できません。新手法では光学式文字認識（ OCR ）機能を使用して文字を識別し、文字データに変換してから解析を行うため、画像スパムに対して非常に有用となります。メールのブロックの可否を決定するスコアは、メールヘッダやメール本文などのメール構成要素のスコア情報と組み合わせて、総合的に判断されるます。

また同社は、画像を含むスパムメールから特徴的なフィンガープリントを取得する手法を開発しました。この機能により、既知のスパムフィンガープリントから新しいスパムメールのメール構成要素を解析し、スパムフィンガープリントに適合したメールを自動的にブロック、隔離、またはタグ付けして送信できるようになります。

Kaspersky Anti-Spam 3.0

88©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

BAYESIAN ・フィルター

ベイジアンという単語を最近良く聞くかと思いますが、ベイジアンフィルタの核となるベイズ理論とは、文章の要素からその分類である確率を求める、統計学の理論の一つです。ベイズの定理はベイジアンフィルタの利用を目的として作成されたものではなく、したがってベイズの定理をみせて「これがベイジアンだよ」と言うのは間違いです。ベイズ理論とそうでない（古典）統計学は、サンプル数を Nとすると 異なる結果は 1/N程度となりそれほど大きな違いがあるものではありません。 Nが数百くらいになると、その差は問題ではなくなります。現在のベイジアンフィルタの隆盛は、 N=数百から数千の非線形なモデルを扱う事ができる程度にコンピュータの能力が上がってきた為です。ベイズ理論は、スパムメールを分類する場合に計算を導きやすいという特徴があります。ベイジアンフィルタは、スパムメールの中の単語、 URL 、ヘッダ情報より「スパム」及び「正常メール」の可能性を導き出し、他の複雑なフィルタリング技術よりより単純かつ正確な値を導き出すことが可能となりました。日本語の文章は単語の間に空白がないため、単語分かちの技術と併用することでフィルタリング精度が向上します。

ケイエルジェイテックはスパムフィルター技術について Kaspersky AntiSpam 3.0 と bayesianフィルター（ optionで）設定をする事が可能です。

Kaspersky Anti-Spam 3.0

99©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

RBL(S) ファミリー・フィルター

RBL/DNSBL （ BlackList）DNSBL とは、迷惑メール、すなわち spam の送信元或は中継を行うホストの IP アドレスを収集したデータベースです。 RBL は MAPS LLC の登録商標であり、 DNSBL サービスの一つを指します。メールの送信サーバが受信サーバへ送信を行おうとすると、受信サーバは送信サーバの IP アドレスを取得し、 DNSBL サーバに対し DNS のプロトコルで問い合わせを行います。 DNSBL サーバは受信サーバに対し、当該 IP アドレスがデータベースに存在するか否かを返答します。もし、データベース(ブラックホールリスト /ブラックリスト )に該当の IP があれば、受信サーバは送信サーバに対し、メール受信を拒絶するか、もしくはメールに警告を促すメールヘッダを追加、編集します。

SURBLメールの本文に書かれている URL （正しくはサーバのホスト名）を取得し、それがブラックリストに登録されているかどうかを、 DNSBL と同様の手法でチェックします。通常の RBL フィルタリングでは、メールの送信元をチェックするだけで、本文に書かれた URL までチェックすることはほとんどありません。迷惑メールは送信元を変えるだけで DNSBL を回避できますが、そのメール内部の URL の変更は頻繁には行いません。効果的なフィルタリングが期待できます。

ORDB (Open Relay Database)ORDB とは電子メールの不正中継 (open SMTP relay)が可能なホストのリストを保持・管理している非営利団体で、そのメールサーバーが不正中継されやすい「オープンリレー」になっているかどうかを確認した上で登録します。そのため、非常に信頼の置ける DNSBL となります。

Kaspersky Anti-Spam 3.0

1010©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

スパムに対して、お客様によってさまざまなポリシーがあります。ケイエルジェイテックは、エンドユーザー様から企業ポリシーをヒヤリングし、適切な設定をコンサルテーションいたします。

Kaspersky Anti-Spam 3.0

ISP レベル・ルール 出会いサイト メールマガジン OK ウイルスが自動生成したスパムが多い その他

企業向けレベル・ルール Spam Protection : SPF /DCC/RBL/Domain Name Cert Spam URL Realtime Blocklists Bayesianエンジン

教育機関 (Educational)ルール Spam Protection : SPF /DCC/RBL/DNSBL Spam URL Realtime Blocklists Bayesianエンジン 出会いサイトの完全ブロック メールマガジンもブロックする場合がある ウイルスが自動生成したスパムが多い その他

1111©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

HOW DOES IT WORK?アンチスパムの動作について

Kaspersky Anti-Spam 3.0

1212©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

アンチスパムの処理フロー資料

1313©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

SPAMエンジン・フィルターの技術カスペルスキーのフィルタリングは、 MTA と簡単にやり取りが行えます。ほとんどの MTA (Postfix 、 Cgpro 、 Exim) は共通ロジック kas-pipe で動作しています。Semdmail は milter 通信用デーモンで、 qmail では qmail-queue ラッパーで同様の処理を行います。

SDK を利用する場合、 eml 形式のファイルとエンベロープ情報ファイルを準備し、バイナリを実行することでファイルが書き換わります。

1414©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

Kaspersky Anti-Spam 3.0

KAS 3.0の GUI

1515©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

全体のステータス確認

全体のステータスを確認できます

1616©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

アンチスパムエンジン

アンチスパムエンジンのステータスとログを確認できます

1717©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

スパム DBの更新プログラム

スパム DB更新プログラムのステータスとログを確認できます。

1818©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

ライセンス管理プログラム

ライセンス管理プログラムのステータスとログを確認できます。

1919©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

アクセス統計

スパムの統計受信状況を確認できます。

2020©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

フィルタリングルール管理

フィルタリングのルールを管理します。

2121©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

一般ルール

一般的なルールの管理です。

検知の強さの指定 [ 弱 ][ 標準 ][ 最大 ]

フィルタリングの有効無効切替

[Probable Spam] ( 疑わしい )

の有効無効DNSBL (RBL) チェック

SPF メール認証

ホワイトリスト、ブラックリストの有効無効

2222©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

DNSチェック

DNSブラックリスト、 IPアドレスのネーム確認、 Sender Policy Framework（ SPF）メール認証の有効無効を設定できます。

2323©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

メールヘッダルール

メールヘッダの要素で判断します。

2424©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

文字コード制限

中国語、韓国語、タイ語、日本語の制限を設定します。

2525©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

IP、メールアドレス制限

IPアドレス及びメールアドレス制限を設定します。

2626©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

DNSBL登録

DNSブラックリストを登録します

2727©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

グループの作成

メールアドレスでグループを作成し、グループごとに細かく設定します。

2828©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

グループ毎の処理設定

グループ毎に、スパムメールを受け取った際の処理を設定します。件名にキーワードを挿入　標準は [!! SPAM]等が入ります。コピーを特定にメールアドレスに　転送します。他のアドレスに転送します。メールを拒否 (Reject)します。メールを削除します。

他にも、グループ毎に個別でDNSチェックやブラックリスト、ホワイトリストの設定等が行えます。

2929©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

アンチスパムエンジン設定

エンジンのログや動作の設定、パフォーマンスチューニング等が行えます。

3030©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

DB更新設定

DB更新のスケジュール、地域等の設定が行えます。

3131©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

ライセンス情報

ライセンス情報の画面です。ライセンスの追加も、この画面から行えます。

3232©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

Kaspersky Anti-SpamKASの迷惑メール検知率＠ケイエルジェイテック

3333©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

Kaspersky Anti-Spam 3.0システム要件

3434©Copyright 2006©Copyright 2006　　株式会社ケイエルジェイテック

お問い合わせ

株式会社ケイエルジェイテック〒 101-0032 東京都千代田区岩本町 1-10-3紀繁ビル2F

Tel: +81-3-5823-8867 Fax: +81-3-5823-8880

E-mail: info@kljtech.com

Site: http://www.kljtech.com/