最近、本当にspam発信が多いです。
最近の傾向として正規のsmtpサーバにメール送信可能な権限を持っているアカウントを乗っ取って、見かけ上smtp-auth等の認証手続きを正規に踏んで送信するケースが増えてます。
使用しているPCがトロイなどで乗っ取られていたりキーボードロガーなどを通して不正にアカウント情報を盗まれている場合がほとんどです。
サーバ管理者としては、spam送信にsmtpサーバが使われてるのを出来るだけ早く発見して手を打つ必要があります。どっかのブラックリストに登録されたり誰かから知らせてもらってからでは遅いわけです。
見かけ上、認証を正規にパスして送信してるわけですからなかなか発見できないようでいて、これがすぐわかります。大体、送信パターンが決まっていて送信先はyahoo,gmail,hotmailが多く含まれていたり、主に東欧、ロシア、ウクライナ、ベトナムなどのIPアドレスを複数、場合によっては数百使って送信したり、あまりここに書くと対策されると困るのでそんな感じで一定の特徴があります。
あと、本当に正規にサーバ利用者がメールマガジンなどを送信しているのと区別する必要があります。
そういった特徴のある送信がsmtpサーバでなされていないか検出して、必要なら自動的にブロック、管理者に通知する他、spam送信元のIPアドレスを抽出してブラックリストに登録するなど頑張って、最近ではspam送信が開始されて数分以内にブロックに成功するようになりました。
以前は管理者に通知だけして手作業で対応していたので、夜中に叩き起こされることも度々ありましたが、今後はこれをもっと発展させて行きたいと考えています。サーバ管理には監視してアラート出せばOK!みたいな安易な方法ではなくて生産技術やFAをもっと応用して行きたいものです。
smtp daemonにwrapperかませてbogofilterで字句解析してOKなら送信
だめなら発信者にエラーを返す、みたいなんじゃ駄目すかね。