モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

taRgreyのtarpitting時間について

前のエントリーで書いた和歌山大学で導入されているtaRgreyの件で、和歌山大学システム情報学センターの吉田さんからメールいただき、いろいろと情報をいただいていました。
その中で、taRgreyの遅延時間について大変参考になる資料をいただきました。


これは遅延時間が3分(180秒)での切断時間のログです。
このログから、今まで推奨していた65秒の遅延では、遅延で拒否できる接続の約65%までしか拒否されず、約2分強まで掛けたほうが良い、ということがわかります。
ただ実際にはここまで漏れ(false negative)があるわけではないので、残りの分はHELOによるフィルタなどで落とされている可能性が高いと考えられます。


(追記)

Birds Of a Feather | taRgreyの遅延時間を125秒にした場合
Birds Of a Feather | taRgrey遅延時間を125秒にして丸一日の集計 より

cookie@信州FMさんのところで125秒で設定して試していただいたログでも、同様の結果が出ており、拒否されたIPを見るとやはりみなspamのようです。


自分のテスト環境ではこんな感じでした。

やはり、120秒で大きな山が出ています。
そしてこの山はpipelining(こちらが返答を返していないのにもかかわらず、待たずに残りの情報を送ってきて切断しているもの)なので、普通のメールサーバでそんなことはしませんから、それだけでほぼ間違いなくスパムであることがわかります。


これまでの65〜90秒程度までのグラフについては
モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ
のものを参照してください。


自分はStarpit、つまりgreylistingでの救済がない運用から始めているため、遅延時間を最大でも90秒程度からテストしていました。
しかしtaRgreyの場合、tarpittingで誤検出する場合でも、greylistingでの救済がありますから、tarpittingの時間を長めに取っても誤検出となる可能性は低く抑えることが出来ます。
120秒のtarpttingだと、S25Rに引っかかってtarpittingを抜けられない正しいサーバがごくまれにありますが、greylistingで救済されると考えられます。
なので逆に、tarpitting+greylistingの2重でフィルタして運用している場合は、やはり65秒程度にしておいたほうがベターだと思います。


自分は今とりあえず、125秒に設定して運用試してみています。
もしtaRgreyで65秒ぐらいで運用されている方は、false negativeが気になる場合、125秒くらいに設定試してみて、false positiveが増えたりしないか、確認いただければと思います。
もし悪影響が少ないようであれば、この値をデフォルトにしたいと思うので、レポートいただけるとありがたいです。


(関連)
モーグルとカバとパウダーの日記 - 和歌山大の情報センターでもtaRgrey導入されてる
モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ
モーグルとカバとパウダーの日記 - taRgrey - S25R + tarpitting + greylisting