smtp_wrapper-0.4 -- SMTP filtering(spam, virus etc) support daemon for UNIX-like systems

参照回数[

] (since 2006.05.28)

smtp_wrapper-0.4 -- SMTP filtering(spam, virus etc) support daemon for UNIX-like systems

These programs is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

These programs is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with these programs; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA

Mail suggestions and bug reports for these programs to
"Masahiko Ito" <m-ito@myh.no-ip.org>

History

2005/11/25 Develop started
2006/01/23 Ver. 0.1 release (1st)
2006/05/15 Ver. 0.2 release
- 450,451 メッセージ内容変更
- smtp_wrapper(子)起動／終了時 syslogメッセージ追加
- show_retry.sh リトライメール検索スクリプト
- EHLO に対しては `504'を返して対応しない(PIPELINING等への対応が難しいので(-.-;)
- フィルタ関連をsampleディレクトリに移動
- 制御端末の切り離しをまじめにしてみた
- ソケットの読み込みブロックを、1回につき16byteに制限した
- 同一IPからの連続したアクセスに対して許容する最小間隔を指定できるようにした(-i minimum_interval_sec)
2006/05/24 Ver. 0.3 release
- フィルタを2種類指定出来るように変更した。
  外部MTAからの接続要求時点でIPアドレスを元にチェックを行うフィルタと、コンテンツ受信完了後にコンテンツ内容を元にチェックを行うフィルタの2種類を指定できる。従来通り(Ver. 0.2.x以前と同様に)全てのフィルタリングを1つのフィルタで行うことも可能。
2006/10/02 Ver. 0.4 release
- smtp_filter*.shの効率化。
- -nsc オプション(no sequence check)追加。
- ip_filter実行中にクライアントからの通信が切れた場合、ip_filterを直ちに終了するように修正。
  S25Rに該当するMTAに対して遅延(sleep)をかけるようなスクリプトを効率良く運用できるようになります。
  参考 : Starpitでほぼ誤検出無く98%のスパムを排除 (S25R+tarpittingによるスパム対策)
  http://d.hatena.ne.jp/stealthinu/20060706/p5

What's this ?

主にspam対策としてsmtp serverと自作のspamチェックスクリプトを連係させるためのデーモンプログラムです。

spam対策としては既にいくつかの定番的手法が確立しています。クライアント側からのアプローチとしてはベイズ理論を利用したフィルタプログラム + procmailの組合せであったり、サーバ側からのアプローチとしてはMILTER対応した同様のフィルタ + sendmailの組合せであったりするようです。

ベイズ理論を利用したフィルタは実際、非常に効果があります。ただし、学習効果を積み重ねて行くうちにデータベースが肥大化していき、徐々に動きが重くなって来るような気がします。そんなおり、ウェブ上で以下の情報を見つけました。

阻止率99%のスパム対策方式の研究報告 (Selective SMTP Rejection (S25R)方式)
http://www.gabacho-net.jp/anti-spam/
spam
http://moin.qmail.jp/spam

上記のページ内容を自分なりに要約した結果、

接続元IPがDNSの逆引出来なければ一時的拒否応答を返す
->逆引出来ないSMTPサーバからのメールの多くはspamである。
接続元IPがDNSの逆引結果(FQDN)から動的IPと類推される場合は一時的拒否応答を返す
->動的IPを持ったSMTPサーバからのメールの多くはspamである。
接続要求に対して、一定時間接続を遅延させる
->spamを送信するSMTPサーバの多くは大量かつ高速にメール配信することを第一目的としており、応答の鈍いサーバに対しては早々に配信を諦めて接続を切断する傾向に有る。

という3手法のみでも、かなり高い確立でspamを排除できるのではないかと考えました。しかも、上記の方法はメール内容そのものは判断しないので、チェックにかかる負荷も非常に軽いことが予想されます。

但し、上記の方法で一時的に拒否されたSMTPサーバの内、リトライアクセスするものに関してはホワイトリスト等の手法での救済を意識する必要が有ります。

で、実際にどのように実装するかということになると、上記のページではMTA がpostfixまたはqmailである事が前提となる説明がされていて、sendmailとの組合せとなると自力でなんとかしなければならないようです。

正攻法で行くなら、MILTERを利用したフィルタを作成するべきでしょう。おそらく最も高いパフォーマンスでspamチェックをこなしてくれると思います。

MILTERを利用するにはlibmilterを利用してC言語でフィルタを作成します。ドキュメントはsendmailのソースディレクトリ中のlibmilter/docs/以下に有りますので、それを参考に作業します.....が、ごめんなさい。私には MILTERを理解してフィルタを書くことが出来ません、というかドキュメントを読解する気力がありませんでした(^_^;。ですので別のアプローチで実装することにしました。

実装するに当たって以下の点に留意しました。

フィルタはそこいらのスクリプト言語(sh, perl, ruby ...)で書きたい。
どうせならspamチェック以外の機能も簡単に盛り込めるようにしておきたい。
フィルタは「フィルタ」ちゅうぐらいですから標準入力を読んで、結果を標準出力に出力するだけで機能するようにしたい。

とりあえず志は低く、上記の3点を実現するためにsmtp proxy的なデーモンを作ってみました。

Download

Install

cd /usr/local/
tar xvzf smtp_wrapper-0.4.tar.gz
ln -sf smtp_wrapper-0.4 smtp_wrapper
cd smtp_wrapper
cc -o smtp_wrapper smtp_wrapper.c
vi smtp_filter1.sh # フィルタは各自で用意して下さい(for ip_filter)
vi smtp_filter2.sh # フィルタは各自で用意して下さい(必須)(for contents_filter)
chmod +x smtp_filter[12].sh

smtp_wrapper -h

  Usage : smtp_wrapper [-mh hostname] [-mp port] [-q backlog] 
                       [-sh smtpserver_hostname] [-sp smtpserver_port] 
                       [-t timeout_sec] [-d delay_sec] [-if ip_filter]
                       [-f contents_filter] [-cm child_max] [-i minimum_interval_sec]
                       [-F]
    -mh hostname             : my hostname [ANY]
    -mp port                 : my port [25]
    -q  backlog              : socket queue number [5]
    -sh smtpserver_hostname  : real smtp hostname [localhost]
    -sp smtpserver_port      : real smtp port [8025]
    -t  timeout_sec          : timeout second [no timeout]
    -d  delay_sec            : delay second for initial connection [0]
    -if ip_filter            : filter program for IP check [/usr/local/smtp_wrapper/smtp_ip_filter]
    -f  contents_filter      : filter program for contents check [/usr/local/smtp_wrapper/smtp_contents_filter]
    -cm child_max            : max number of connection to real smtp daemon [10]
    -i  minimum_interval_sec : minimum interval second of connection from 
                               same ip address [0]
    -nsc                     : no sequence error check
    -F                       : run in foreground

sendmailの設定

vi sendmail.mc
以下の定義を追加
DAEMON_OPTIONS(`Port=8025, Name=MTA')dnl
vi submit.mc
以下の定義を追加
DAEMON_OPTIONS(`Port=8025, Name=NoMTA, Addr=127.0.0.1, M=E')dnl
sendmail.cf, submit.cfを更新

sendmail.cfに以下の行が追加されている事を確認

O DaemonPortOptions=Port=8025, Name=MTA

submit.cfに以下の行が追加されている事を確認

O DaemonPortOptions=Port=8025, Name=NoMTA, Addr=127.0.0.1, M=E

起動

vi /etc/rc.d/rc.local

  if [ -x /usr/local/smtp_wrapper/smtp_wrapper ]
  then
      /usr/local/smtp_wrapper/smtp_wrapper \
          -t 60 \
          -d 10 \
          -if /usr/local/smtp_wrapper/smtp_filter1.sh \
          -f /usr/local/smtp_wrapper/smtp_filter2.sh \
          -cm 10 \
          -i 5
      echo ' smtp_wrapper'
  fi

reboot

Figure

※固定幅フォントで見てね

            +-----------------------------------------------------------+
            |                                                           |
            |                                                           |
 +-----+ command  +------------------+  command   +----------------+    |
 |     |--------->|(1)            [2]|----------->|                |    |
 | MTA |SOCKET(25)|   smtp_wrapper   |SOCKET(8025)|       MTA      |    |
 |(MUA)|<---------|[1]            (2)|<-----------| (sendmail etc) |    |
 |     | response |                  |  response  +----------------+    |
 +-----+    |     |     (3)  [3]     |                                  |
            |     +------+----+------+                                  |
            |            A P  |                                         |
            |            | I  |                                         |
            |            | P  |                                         |
            |            | E  |                                         |
            |   (stdout) |    V (stdin)                                 |
            |          +--------+                                       |
            |          |   IP   |--------+                              |
            |          | FILTER |CONTENTS|                              |
            |          |        | FILTER |                              |
            |          +--------+        |                              |
            |                  +---------+                              |
            |                                                           |
            +-----------------------------------------------------------+

smtp_wrapper(親)が本来のMTAに代ってsmtp(25)ポートへの接続を監視します。
接続を受けたsmtp_wrapper(親)は、今現在稼働しているsmtp_wrapper(子)の数が`-mc'オプションで指定した数を越えている場合、その数が`-mc'オプションの指定値の2分の1以下になるまで`-d'オプションで指定した秒数のsleepを繰り返します。
同一IPからの連続した接続に対して、その接続間隔が`-i'オプションで指定した秒数よりも短い場合は、その接続に対して一時エラー(421)を返し接続を閉じます。
smtp_wrapper(親)は子プロセス(smtp_wrapper(子))を生成し、以降の接続元との通信を子プロセスにまかせ、再度smtp(25)ポートの監視を繰り返します。
smtp_wrapper(子)は`-d'オプションで指定した秒数sleepした後に接続元との通信を開始(greeting message送出)します。
smtp_wrapper(子)は接続元のIPアドレスを環境変数`SW_FROM_IP'に設定したのち`-if'オプションで指定したフィルタプログラムをfork&execします。このフィルタプログラムには環境変数`SW_FROM_IP'の情報を元にしたチェックを行わせます。その際、このフィルタプログラムの標準入力に対しては一切データは渡されないので、コンテンツの内容を利用したチェックは出来ません。
フィルタプログラムには、正当な接続に対しては`OK'または`ok'または`'(空文字列)を標準出力に出力させ、不正な接続に対しては`OK',`ok'以外のメッセージを標準出力に出力させ、終了させます。
フィルタプログラム実行中に接続元からの通信が切断された場合、フィルタプログラムの終了を待たず、直ちにsmtp_wrapper(子)に制御が戻ります。
smtp_wrapper(子)はフィルタプログラムからのメッセージが`OK',`ok'以外の文字列で始まっていた場合、それを不正な接続とみなし、接続元に`450'で始まる一時エラー応答を返します。フィルタプログラムのチェックを通過した後、本来のMTAに対して接続を開始し、`-f'オプションで指定したフィルタプログラムをfork&execします。
smtp_wrapper(子)は接続元からのメッセージのうち`HELO'、`MAIL FROM:'、 `RCPT TO:'等の`DATA'コマンドまでのメッセージを本来のMTA(上図では、待ち受けポートを8025に変更)とフィルタプログラムに渡し、MTAからの応答メッセージを接続元に渡します。その後`DATA'から`.'までをフィルタプログラムのみに渡した後、フィルタプログラムからの応答(チェック結果)を待ちます。
フィルタプログラムには標準入力から受け渡されたメッセージ本文から正当なメッセージか不当なメッセージかを判断し、正当なメッセージと判断した場合は受け渡されたメッセージのうち`DATA<CR><LF>'から`.<CR><LF>'までを標準出力に出力させます。また不正メッセージと判断した場合は直ちに終了するか、 `DATA<CR><LF>'以外で始まるメッセージを標準出力に出力した後、終了させます。
smtp_wrapper(子)はフィルタプログラムからのメッセージが`DATA<CR><LF>'で始まっていた場合、それを正当なメッセージとみなし、本来のMTAに受け渡します。またメッセージが`DATA<CR><LF>'以外で始まっていた場合、それを不正なメッセージ(spam)とみなし、接続元に`450'で始まる一時エラー応答を返します。
以降、smtp_wrapper(子)は接続元から`QUIT<CR><LF>'を受け取るまで、または接続元<->smtp_wrapper(子)間のコネクションが切断されるまで、または smtp_wrapper(子)<->本来のMTA間のコネクションが切断されるまで上記の動作を繰り返します。

spam対策機能(のまとめ)

`-i'オプションで指定した秒数未満の間隔での、同一IPからのアクセスを拒否する。
接続元には以下のメッセージを返す。
```
421 Service not available, closing transmission channel(rejected by rapidly access. IP=%s)(SW01)\r\n
```
`-if'オプションで指定したフィルタにより不正と判断された場合、アクセスを拒否する。
接続元には以下のメッセージを返す。
```
450 This message was rejected according to site policy(rejected by ip_filter. IP=%s)(SW02)\r\n
```
SMTPコマンドの送受信順序を無視したアクセスを拒否する。`-d'オプション指定により遅延させたgreeting messageを待ち切れずに、おそらく多くのspammerがメッセージを送り付けて来る。これを撃退する。
接続元には以下のメッセージを返す。
```
450 This message was rejected according to site policy(rejected by seq error. IP=%s)(SW05)\r\n
```

`-f'オプションで指定したフィルタにより不正と判断された場合、受信を拒否する。
接続元には以下のメッセージを返す。

450 This message was accepted partly, but it was rejected according to site policy(rejected by contents_filter. IP=%s)(SW09)\r\n
450 This message was accepted all, but it was rejected according to site policy(rejected by contents_filter. IP=%s)(SW10)\r\n

Filter

`-if'で指定するフィルタの基本的な構造

主に接続元のIPアドレスに対するチェックを行います(S25R)。

環境変数`SW_FROM_IP'に設定されている接続元のIPおよびIPから逆引したFQDNをチェックし、正当な接続と判断したならstdoutに何も出力せずにexitして下さい(明示的に正当である事を示したい場合は`OK'または`ok'を出力しexitする事も可能)。
不正な接続と判断したなら、stdoutに`OK', `ok'以外で始まるメッセージを出力しexitして下さい。このstdoutに出力したメッセージはsyslog経由(mail.info)で記録されます。
要約
- 正当な接続時 : stdoutには何も出力せずに終了する(`OK', `ok'を出力する事も可能)。
- 不正な接続時 : `OK', `ok'以外で始まるメッセージをstdoutに出力して終了する。

`-f'で指定するフィルタの基本的な構造

主にコンテンツ内容に対するチェックを行います(第三者リレーチェック)。

必ず、一旦stdinからの入力を全てテンポラリファイルに書き出して下さい。通常stdinからは
- `HELO ...<CR><LF>'または`MAIL FROM: ...<CR><LF>'
- いくつかのSMTPコマンド
- `DATA<CR><LF>'
- メール本文
- `.<CR><LF>'
の順でデータが入って来るでしょう...。
テンポラリファイルに書き出したデータをチェックし、不正接続と判断したならexitしてください。また、exit直前にstdoutに出力した内容の最初の1行がsyslog経由(mail.info)で記録されます。その際の出力には`DATA<CR><LF>'を含めないで下さい(smtp_wrapper が正当なメールと誤判断してしまうので)。
必ず、上述のテンポラリファイル中の`RCPT TO:'の内容と環境変数`SW_FROM_IP'の内容から不正リレー(第三者リレー)をチェックし、不正接続と判断したならexitしてください。
smtp_wrapperを利用すると(おそらく)sendmailでの/etc/mail/access 等を用いた第三者リレーチェックが効かなくなります。sendmail から見ると接続して来るサーバは全て自分自身(smtp_wrapper)なので判断のしようが無いためです :-P
必要に応じて、その他のチェック(spam,virus etc)を行い、不正接続と判断したならexitしてください。
必要に応じて、その他の必要な処理(ヘッダー挿入、内容改竄、極秘保存等)を行って下さい B-)
最終的に、正当な接続と判断されたなら、上述のテンポラリファイルから
- `DATA<CR><LF>'
- メール本文
- `.<CR><LF>'
をstdoutに出力しexitしてください。
要約
- 正当な接続時 : `DATA<CR><LF>' -> メール本文 -> `.<CR><LF>'を標準出力に出力し終了する。
- 不正な接続時 : `DATA'以外で始まるメッセージを標準出力に出力し終了する。

補足

本フィルタ(`-f')は必ず設置しなければなりません。最低限、標準入力から`DATA' -> メール本文 -> `.'を標準出力に出力する機能を実装して下さい(see sample/smtp_null_filter.sh)。
従来(Ver. 0.2.x以前)と同様に`-f'オプションで指定するフィルタプログラムに全てのチェックを行わせることも可能です。その場合は`-if'オプションを指定する必要はありません。
非力なサーバで運用される場合は`-if', `-f'を使い分けた方が負荷が軽減されるでしょう。ちなみに、うちのサーバは MMX166MHz + Memory 64MB ;)

smtp_filter1.sh(sample)(S25R方式)

#! /bin/ash
#
# This part of smtp_wrapper is distributed under GNU General Public License.
#
# Sample spam filter script
#   by "Masahiko Ito" <m-ito@myh.no-ip.org>
#
# Thanks to http://www.gabacho-net.jp/anti-spam/anti-spam-system.html
#
# IPに対するチェック(S25R)を行う場合のスクリプト。`-if'オプションに指定する。
#
#============================================================
#
# 割り込み時の処理設定
#
trap "spam_exit 1 \"kill by signal\"" INT HUP TERM QUIT
#============================================================
#
# 実行パス設定
#
PATH="/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin"
export PATH
#============================================================
#
# smtp_wrapperディレクトリ指定
#
smtp_wrapper_dir="/usr/local/smtp_wrapper"
#
# テンポラリスプールディレクトリ
tmp="/var/tmp"
#
# syslog出力時のID
sl_ident="smtp_filter1"
#
# 正当ホストのIPデータベース
#
# ex. ^127\.0\.0\.1$
#     ^192\.168\.0\.[0-9]*$
#
white_ip_db="${smtp_wrapper_dir}/white_ip_db"
#
# 正当ホストのFQDNデータベース
#
# ex. ^myh\.no-ip\.org$
#
white_hostname_db="${smtp_wrapper_dir}/white_hostname_db"
#
# 不正ホストのIPデータベース
#
# ex. ^172\.21\.0\.123$
#
black_ip_db="${smtp_wrapper_dir}/black_ip_db"
#
# 不正ホストのFQDNデータベース
#
# ex. ^mail\.spammer\.org$
#
black_hostname_db="${smtp_wrapper_dir}/black_hostname_db"
#
#============================================================
#
# ある種の定数
#
cr=`echo -n -e '\r'`; export cr
tab=`echo -n -e '\t'`; export tab
pid="$$"; export pid
#============================================================
#
# spamと判断時に終了させる処理
#
spam_exit ()
{
    logger -p mail.info -t ${sl_ident} "[$$]:IP=${from_ip}"
    logger -p mail.info -t ${sl_ident} "[$$]:HOST=${from_hostname}"
    logger -p mail.info -t ${sl_ident} "[$$]:EXIT=$1"
    logger -p mail.info -t ${sl_ident} "[$$]:REASON=$2"
#------------------------------------------------------------
#
    echo "[$$]:IP=${from_ip} HOST=${from_hostname} EXIT=$1 REASON=$2"
#
# 上記の`echo'コマンドの代りに、以下の様にスリープをかけると、
# S25R+tarpittingによるスパム対策(http://d.hatena.ne.jp/stealthinu/20060706/p5)
# を取り入れたスクリプトになる。
#
#   sleep 60s
#
#------------------------------------------------------------
    rm -f ${tmp}/smtp_filter1.*.$$.tmp
    exit $1
}
#============================================================
#
# スパムチェック処理
#
spam_check ()
{
    if [ "X${from_ip}" = "X" ]
    then
        spam_exit 2 "unknown ip" # *** 送信ホストのIPが判らない ***
    fi
#
    for i in `cat ${black_ip_db} |\
    	egrep -v '^#'`
    do
        black_ip=`echo "${from_ip}" |\
    	egrep -i "$i"`
        if [ "X${black_ip}" != "X" ]
        then
            spam_exit 3 "black IP" # *** 送信ホストIPが黒IPデータベースに登録されている ***
        fi
    done
#
    for i in `cat ${white_ip_db} |\
    	egrep -v '^#'`
    do
        white_ip=`echo "${from_ip}" |\
    	egrep -i "$i"`
        if [ "X${white_ip}" != "X" ]
        then
            break;
        fi
    done
#
    from_hostname=`host ${from_ip} 2>/dev/null |\
    	egrep -i 'domain name pointer' |\
    	head -1 |\
    	sed -e 's/^.* domain name pointer *//;s/\.$//'`
    if [ "X${white_ip}" = "X" -a "X${from_hostname}" = "X" ]
    then
        spam_exit 4 "no dns" # *** 送信ホストのIPが逆引きできない ***
    fi
#
    for i in `cat ${black_hostname_db} |\
    	egrep -v '^#'`
    do
        black_hostname=`echo "${from_hostname}" |\
    	egrep -i "$i"`
        if [ "X${black_hostname}" != "X" ]
        then
            spam_exit 5 "black hostname" # *** 送信ホスト名が黒ホスト名データベースに登録されている ***
        fi
    done
#
    for i in `cat ${white_hostname_db} |\
    	egrep -v '^#'`
    do
        white_hostname=`echo "${from_hostname}" |\
    	egrep -i "$i"`
        if [ "X${white_hostname}" != "X" ]
        then
            break;
        fi
    done
#
    if [ "X${white_ip}" = "X" -a "X${white_hostname}" = "X" ]
    then
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^[^\.]*[0-9][^0-9\.]+[0-9].*\.'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 6 "rule 1" # *** ［ルール1］　逆引きFQDNの最下位（左端）の名前が、数字以外の文字列で分断された二つ以上の数 ***
        fi
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^[^\.]*[0-9]{5}'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 7 "rule 2" # *** ［ルール2］　逆引きFQDNの最下位の名前が、5個以上連続する数字を含む ***
        fi
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^([^\.]+\.)?[0-9][^\.]*\.[^\.]+\..+\.[a-z]'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 8 "rule 3" # *** ［ルール3］　逆引きFQDNの上位3階層を除き、最下位または下位から2番目の名前が数字で始まる ***
        fi
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^[^\.]*[0-9]\.[^\.]*[0-9]-[0-9]'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 9 "rule 4" # *** ［ルール4］　逆引きFQDNの最下位の名前が数字で終わり、かつ下位から2番目の名前が、1個のハイフンで分断された二つ以上の数字列を含む ***
        fi
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^[^\.]*[0-9]\.[^\.]*[0-9]\.[^\.]+\..+\.'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 10 "rule 5" # *** ［ルール5］　逆引きFQDNが5階層以上で、下位2階層の名前がともに数字で終わる ***
        fi
#
        spam_host=`echo ${from_hostname} |\
        	egrep -i '^(dhcp|dialup|ppp|adsl)[^\.]*[0-9]'`
        if [ "X${spam_host}" != "X" ]
        then
            spam_exit 11 "rule 6" # *** ［ルール6］　逆引きFQDNの最下位の名前が「dhcp」、「dialup」、「ppp」、または「adsl」で始まり、かつ数字を含む ***
        fi
    fi
}
#============================================================
#
# 主処理開始
#
from_ip=""
from_hostname=""
white_ip=""
white_hostname=""
black_ip=""
black_hostname=""
#
#============================================================
#
# 直接SMTP接続分のチェック
#
# (smtp_wrapper から環境変数 SW_FROM_IP に接続元IPが渡される)
#
from_ip=${SW_FROM_IP}
#
spam_check
#============================================================
#
# 後始末して終了
#
rm -f ${tmp}/smtp_filter1.*.$$.tmp
exit 0

smtp_filter2.sh(sample)(第三者リレーチェック)

#! /bin/ash
#
# This part of smtp_wrapper is distributed under GNU General Public License.
#
# Sample spam filter script
#   by "Masahiko Ito" <m-ito@myh.no-ip.org>
#
# Thanks to http://www.gabacho-net.jp/anti-spam/anti-spam-system.html
#
# コンテンツに対するチェック(第三者リレー)を行う場合のスクリプト。`-f'オプションに指定する。
#
#============================================================
#
# 割り込み時の処理設定
#
trap "spam_exit 1 \"kill by signal\"" INT HUP TERM QUIT
#============================================================
#
# 実行パス設定
#
PATH="/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin"
export PATH
#============================================================
#
# smtp_wrapperディレクトリ指定
#
smtp_wrapper_dir="/usr/local/smtp_wrapper"
#
# テンポラリスプールディレクトリ
tmp="/var/tmp"
#
# syslog出力時のID
sl_ident="smtp_filter2"
#
# 全てのリレーを許可するホストのIPデータベース
#
# ex. ^127\.0\.0\.1$
#     ^192\.168\.0\.[0-9]*$
#
relay_allow_host="${smtp_wrapper_dir}/relay_allow_host_db"
#
# 外部のサーバに許可する配送先アドレスデータベース
#
# ex. myh.no-ip.org
#
relay_allow_address="${smtp_wrapper_dir}/relay_allow_address_db"
#============================================================
#
# ある種の定数
#
cr=`echo -n -e '\r'`; export cr
tab=`echo -n -e '\t'`; export tab
pid="$$"; export pid
#============================================================
#
# spamと判断時に終了させる処理
#
spam_exit ()
{
    if [ -r ${tmp}/smtp_filter2.*.$$.tmp ]
    then
        logger -p mail.info -t ${sl_ident} "[$$]:`cat ${tmp}/smtp_filter2.*.$$.tmp | head -50 | egrep -i '^MAIL *FROM:|^RCPT *TO:|^From:|^To:|^Subject:|^Date:'`"
    else
        logger -p mail.info -t ${sl_ident} "[$$]:`cat | head -50 | egrep -i '^MAIL *FROM:|^RCPT *TO:|^From:|^To:|^Subject:|^Date:'`"
    fi
    logger -p mail.info -t ${sl_ident} "[$$]:IP=${from_ip}"
    logger -p mail.info -t ${sl_ident} "[$$]:HOST=${from_hostname}"
    logger -p mail.info -t ${sl_ident} "[$$]:EXIT=$1"
    logger -p mail.info -t ${sl_ident} "[$$]:REASON=$2"
    rm -f ${tmp}/smtp_filter2.*.$$.tmp
    echo "[$$]:IP=${from_ip} HOST=${from_hostname} EXIT=$1 REASON=$2"
    exit $1
}
#============================================================
#
# 第三者リレーチェック処理
#
relay_check ()
{
	allow_ip=""
	for i in `cat ${relay_allow_host}|\
		sed -e "s/${tab}/ /g;s/  */ /g" |\
		cut -d ' ' -f 1`
	do
		allow_ip=`echo ${from_ip} |\
			egrep "$i"`
		if [ "X${allow_ip}" != "X" ]
		then
			break
		fi
	done
#
	if [ "X${allow_ip}" = "X" ]
	then
		for i in `cat ${tmp}/smtp_filter2.1.$$.tmp |\
			awk 'BEGIN{
				cr = ENVIRON["cr"]
			}
			{
				if (length($0) == 1 && index($0, cr) > 0){
					exit;
				}else{
					print;
				}
			}' |\
			egrep -i '^RCPT *TO:' |\
			sed -e 's/ *//g`
		do
			for j in `cat ${relay_allow_address}`
			do
				allow_rcpt=""
				allow_rcpt=`echo $i |\
					egrep "$j"`
				if [ "X${allow_rcpt}" != "X" ]
				then
					break;
				fi
			done
			if [ "X${allow_rcpt}" = "X" ]
			then
				spam_exit 12 "no relay" # *** 第三者中継拒否 ***
			fi
		done
	fi
}
#============================================================
#
# 主処理開始
#
from_ip=""
from_hostname=""
#
#============================================================
#
# メール本文を全文受信(スプール)する
#
cat >${tmp}/smtp_filter2.1.$$.tmp
#============================================================
#
# 第三者中継拒否
#
from_ip=${SW_FROM_IP}
from_hostname=`host ${from_ip} 2>/dev/null |\
	egrep -i 'domain name pointer' |\
	head -1 |\
	sed -e 's/^.* domain name pointer *//;s/\.$//'`
#
relay_check
#
#============================================================
#
# 正当なメールと判断されたものを出力する
#
export from_ip
export from_hostname
#
cat ${tmp}/smtp_filter2.1.$$.tmp |\
awk 'BEGIN{
    from_ip = ENVIRON["from_ip"]
    from_hostname = ENVIRON["from_hostname"]
    pid = ENVIRON["pid"]
    out_sw = 0;
}
{
    if (out_sw == 0){
        head = toupper($0);
        if (head ~ /^DATA\r$/ ||
            head ~ /^DATA$/){
            out_sw = 1;
        }
    }

    if (out_sw == 1){
        print $0;
    }
}
END{
    if (out_sw == 0){
        printf("[%d]:IP=%-s HOST=%-s REASON=NOT spam, but NO DATA\n", pid, from_ip, from_hostname)
    }
}'
#
#============================================================
#
# 後始末して終了
#
rm -f ${tmp}/smtp_filter2.*.$$.tmp
exit 0

BUGS

とりあえず、フィルタスクリプトを自分で書かないと、あまり意味がありません。
一応、smtp_wrapperだけでも
- `-i'オプションによる速射spam対策
- `-d'オプションによる`greet pause'効果(sendmail-8.13.x系でも同様の機能を導入)
は見込めるのですが...。
fetchmailで取り込むメールを重複して受信することがあるようです(-_-;。
まず、fetchmailで取り込むメールはフィルタの検査対象にしてはなりません。なぜなら、複数のメッセージを取り込んでいる途中でspamと判定されるメッセージが有った場合、fetchmailの動作がその時点で終了してしまう(ようだ)からです。この場合、手動でPOPサーバ側からspamメールを削除しない限り、永久に先に進めないのではないかと思われます。
また、仮にフィルタ側で常にspamでないと判断させ、smtp_wrapperをスルーさせても、システムのロードアベレージが10を越えてsendmail自身がメッセージの受付を拒否し始めた場合に重複して受信することがあるようです。
ですので結局のところfetchmailに関しては、
```
fetchmail -S localhost/8025 ほにゃらら
```
みたいにして、smtp_wrapperをすっ飛ばして受信したほうが良さそうです。
fetchmailを使って(個人で)取り込むメールのspam対策は、procmailと上述のフィルタの応用版、もしくはベイズ系フィルタとの組合せでもって、クライアント側で対応するのが吉かと...。
sampleディレクトリ以下のスクリプトに関してはセキュリティに甘い部分があります。一時ファイルを無頓着に/tmpや/var/tmpに作成しているので、root以外のユーザによるシンボリックリンク攻撃にさらされる可能性があります。運用するサーバのローカルユーザが実質的にrootしか存在しない場合は、問題にならないと思いますが、あまり褒められたものではありません :<
その辺り、本番運用で利用される場合はくれぐれも御自身で検討し、必要な修正を施した上で利用してください。
単純にsendmail+S25Rで運用したいだけなら、「 milter-regex + S25R 方式にて spam メールの受け付けを拒否」がいいかもしれません :-)

m-ito@myh.no-ip.org

[更新]