Linux/CGP作業メモ

■SPFレコードとスパムパターンのメモ
　最近思うことあってCommuniGate Pro本体でのSPFレコードの判定を有効していろいろなルールを書いてスパムのパターン解析をしたメモ。

■SPFレコード
　囮アドレスに来るスパムの傾向を見てみると90%以上はSPFはPassになっている。そこでdigで該当ドメインのTXTレコードを引いてみると、かなりの確率で “v=spf1 +all” が帰ってくる。”v=spf1 +all” でない場合でも100%末尾に “+all” が指定されていることで、全てのIPアドレスから送信されることを許容した設定になっている。

■Recievedヘッダ
　こちらも90%近い確率でRecievedヘッダが一行しかない。botから直接メールサーバに送信しているパターンだと想定される。

■X-Mailerヘッダ
　上記2条件の当てはまるパターンのメールは手元では100%X-Mailerヘッダがなかった。

　これらのことから、少なくとも自メールサーバ宛てでは、SPFレコードに+allが付いていて（2011年時点で+allとか付けてる時点でスパム認定でいいような気もする）、Recievedヘッダが1行、X-Mailer無しのパターンはほぼスパムでFAということに。

ちなみにCommuniGate ProのSPFチェックを有効にするのは以下の設定。
　管理画面＞設定＞メール＞SMTP＞受信＞処理
　SPFレコードチェック　を有効にする