本学のメールサービスは、一般的な MTA である qmail とDEEPSoft 社の SPAMBlock による SPAM メール処理から、2006年の総合情報処理センターシステム機種更新より DEEPSouft 社の MailSuite によって運用されている。MailSuite は MTA、メーリングリストサーバ、WEB メールサーバ、ウィルスフィルタ、SPAM フィルタなどの機能が搭載された製品であり、SPAM フィルタ部分は SPAMBlock 相当の機能を持つとされている。しかし、SPAM フィルタ部分の機能は SPAMBlock と異なる部分が多く、それまで SPAMBlock で有効であったいくつかの戦略が無効になってしまった。
　また、近年インターネット上の SPAM メール送信数も爆発的に増大しており、メールサービスにおけるコンピュータリソースの多くをその処理に浪費せざるを得ないという大きな問題がある。
　本報告では、本学のメールサービスの変遷を紹介した後、現在のサーバ構成、SPAM メールフィルタ設定の概要を説明し、運用開始から現在までのメール統計情報を示す。

　本学にFDDIによる学内ネットワークが敷設されたのは1989年の ことであり、これは全国国立大学の中でも非常に早い時期のネットワーク基盤整備であった。これ以前に工学部旧計算機科学科では既にメールサーバの UUCP 接続によって JUNET に参加し、インターネットドメイン形式の電子メールを教職員と学生の全員が利用していたが、この年に同学科の LAN と学内 FDDI ネットワークが接続され大学全体でのメールサービスが提供された。この時点では学内のメールサーバは計算機科学科内に数台と情報処理センターに１台であ り、メールサービスの学内ユーザは申請者だけの限定的なものであった。
　1992年 に TRAIN に参加し、学内ネットは TCP/IP による常時インターネット接続になった。この後、学内の部署・研究室単位でのメールサーバ設置が進み、メール利用者は増大した。情報処理センターでは、1995年に教職員だけでなく全ての学生に対してメールサービスを提供した。入学時点での全学生へのメールサービスの自動的な提供は、国内の大学でもかなり早い時期だった。
　その後、学内ネットワークは ATM、ギガビットイーサネットと高速、高帯域化された[1,2]。また、学外接続は1999年より学術情報ネットワーク（SINET）経由の接続となり、現在では一般ノード校として1Gbpsでの接続となっている。
　ネットワークの高速化に伴ないインターネット時代に突入した本学におけるメールサービスには、

• 部署、研究室毎のメールサーバの乱立
• 学外（インターネット）から閲覧できるメールサービスの要求増加

と いった問題があったことが予想される。部署、研究室毎のメールサービスには、ハードウェア/ソフトウェアのメンテナンスやインターネットを介してのサーバ 攻撃に対する対策に関し問題が懸念される。特に管理者の継続的な養成に失敗した場合にセキュリティレベルの低下に直面する。また、メール大量配送による サービス遅延あるいは停止や、迷惑メールおよびウィルス感染メールへの対応に関する問題も発生するようになった。正式な情報伝達手段としてメールが使用さ れる事例が学内外で増加するとともに、メールサービスの安定性、安全性への方策が総合情報処理センターに求められるようになった。
　このような背景のもと、2003年4月に統合メールサーバが本格導入された。本学の教職員は誰でも申請によってこのサービスのメールアドレスを所得することが可能であり、SquirrelMail によるWEBメールサービスが提供された。そして2005年12月から DEEPSouft 社の SPAMBlock によって、メールのウィルスチェックとフィルタリングが実施されるようになった。
　現在、総合情報処理センターが提供する全学共通メールサービスは、

• 全教職員、全学生に利用されるメールドメイン（@yamanashi.ac.jp）
• DEEPSoft 社の MailSuite による統合されたサービス（メール送受信、SPAMメール対策、ウィルスメール対策）
• DEEPSoft 社の DEEPMail によるWEBメールサービス

といった特徴を持つ。附属病院スタッフを含めた全教職員と３学部、各種専攻の全学生を合せたメールユーザ数は8000以上となっている。

　 メールシステムの構成を図 1に示す。メールサーバは二台のサーバで冗長構成されており、負荷分散装置によってメールの送受信サービスが振り分けられている。各ユーザのメールボック スはファイルサーバに保存されている。ファイルサーバは耐故障性の高いRAID6で構成されており、毎日データのバックアップが行なわれている。メールサーバとファイルサーバを結ぶネットワークは学内の通常ネットワークから隔離されたプライベートネットワークとし、安全性を高めている。

図 1．メールシステムの構成

　メールサーバに送信されるメールは、下記の順番で フィルタリングされる。ただし、管理者設定フィルタで条件にマッチングした場合、ユーザ設定フィルタは適用されない。また、学内ユーザ同士で送受信される メールについてはいずれのフィルタも適用されない。なお、中継する学内サブドメイン宛てメールについては１，２が適用される。SPAMフィ ルタの適用ルールを図２に示す。

図２．SPAMフィルタ適用ルール

　次に、メールサーバで設定可能なすべてのフィルタの機能と現在の設定を示す。1 から 3 が管理者が設定するSPAMフィルタ、4 がユーザが設定するフィルタである。

1. サーバフィルタ

• 接続許可

• 接続遮断リストやフィルタ設定に関係なく、無条件に接続を許可する条件（IP、送信者、受信者）を登録する。利用者の望まない判定が起こるケースや、誤検知が起きた場合のデメリットが大きいケースについて、主にユーザからの報告や要望を分析して条件を設定している。現在、152のドメイン、アドレスが登録されている。

• 接続遮断

• 接続を拒否するIPアドレス、送信者のアドレス、受信者のアドレスを登録する。システムが自動登録するものと管理者が手で登録するものとがあり、現在、64のIPアドレス、754のドメイン、アドレス、63の受信者が登録されている。

• RBL

• ブラックリストを提供するプロバイダの Realtime Blocking List を参照して、このリストに含まれるホストからの接続を切る。本学では、sbl-xbl.spamhaus.org をリスト提供サーバとして指定している。

• SPF

• 送信元ドメインのDNSのSPFレコードを参照し、From 行を偽装して送られるメールを遮断する。現在、使用していない。

• Greylisting

• まず、接続してきたすべてのメールに対して一定時間、サーバ側のエラーとして受信を 拒否し、再送要求を出す。この時、最初に接続してきた際にIPアドレス、 envelope-from 、 envelope-to を一組の情報（Triplet）としてデータベースに記録する。次に、一定時間が経過し、再送をしてきた場合、データベースに記録してあるIPアドレスか ら、envelope-from とenvelope-to も一致した場合にのみ、メールを受け取る機能。
  2007年度に試行したが、メールの遅配、不達が急増したため、現在、使 用していない。

• 自動遮断

• 「10秒間に同一のIPに対してSPAMと判定されたメールが100通以上配送された」場合、送信元のホストを自動的に遮断する。

• 制限設定

• メールヘッダ関連の設定：メールのヘッダ情報の不正、過大な受信者数のメールをブロックする。現在、使用していない。
• サイズ制限：添付ファイルやメール全体のファイルサイズの制限をする。現在、30720KB以上の添付ファイルが付加されたメールは送受信拒否される。
• 送信数制限：同一サーバから10秒間に250通以上のメールが送信された場合、そのホストを自動遮断リストに追加する。
• 接続数制限：同一サーバから10秒間に250回以上の接続がある場合、そのホストを自動遮断リストに追加する。

• 個別制限設定

• 接続制限：指定したIPから一定時間に一定回数の接続があった場合にブロックする。現在、設定なし。
• 送信制限：指定したIPから一定時間に一定数以上の送信があった場合にブロックする。現在、設定なし。

2. パターンフィルタ

• 有害サイト遮断

• URL遮断設定：メール本文に含まれているURLを検索して、そのURLが設定されている特定テキストが含まれているメールを遮断し、そのURLを自動登録する。現在、5つのURLが登録されている。
• コンテンツ遮断設定：メール本文に含まれるURLに直接接続し、指定したコンテンツがある場合、そのサイトを遮断URLに自動登録する。現在、96のコンテンツが登録されている。
• 許可URL：URL遮断及びコンテンツ遮断の設定にかかわらず、メールの受信を許可したいURLを登録する。現在、230のURLが登録されている。
• 遮断URL：URL遮断及びコンテンツ遮断の設定によって遮断されたURLリストの一覧。現在、103428のURLが登録されている。

• ベイジアン

• 統計的な学習に基づき、メールをブロックするフィルタ。効果的な運用には学習用データ（正例、負例）の管理が必要である。本学ではSPAMメールの分析から、迷惑メールが多数届く無効なアドレスを数件抽出して負例収集用のハニーポットとして使用している。現在、二時間毎に学習を行ない、このフィルタによって検出されたメールはSPAMマークを付けて送信される。

• 同一テキスト

• メール本文が同じメールが複数送信された場合、受信を拒否する。現在、設定なし。

3. 一般フィルタ

• 送受信許可

• 登録されたIP、ドメイン、アドレスからのメールの送受信を許可する。以下の一般フィルタに優先して適用される。現在、設定なし。

• 送受信遮断

• 登録されたIP、ドメイン、アドレスからのメールの送受信を遮断する。以下の一般フィルタに優先して適用される。現在、設定なし。

• メッセージ

• メール件名：メールの件名に含まれているテキストを検索して、SPAMメールとして処理する。処理方法は、接続を切る、またはSPAMマークを付けて送信。現在、41のテキストが登録されている。
• メール本文：メールの本文に含まれているテキストを検索して、SPAMメールとして処理する。処理方法は、接続を切る、またはSPAMマークを付けて送信。現在、791のテキストが登録されている。
• 本文URL：メールの本文に含まれているURLを検索して、SPAMメールとして処理する。処理方法は、接続を切る、またはSPAMマークを付けて送信。現在、2234のURLが登録されている。
• メールヘッダ：メールのヘッダ73を検索して、SPAMメールとして処理する。処理方法は、接続を切る、またはSPAMマークを付けて送信。現在、73のヘッダが登録されている。
• フィルタ分類：一般フィルタを分類するカテゴリを指定する。分類毎に遮断レベルを指定することができる。現在、一般フィルタは分類されていない。

• 添付ファイル

• ファイル拡張子、ファイル名などを指定し、添付ファイルによってメールのフィルタリングを行なう。現在、14のファイル名が登録されている。処理方法は、接続を切る。

4. ユーザフィルタ

• SPAM 遮断設定

• 管理者が設定しているフィルタ以外に、個人で設定するフィルタ。IP、メールアドレ ス、本文や件名に含まれるメッセージなどを設定してフィルタリングする。

• 例外処理設定

• SPAM フィルタから除外したいルールを設定する。

• 遮断レベル

• SPAM メールの拒否レベル設定：管理者がフィルタにレベルを設定している場合、そのレベルを選択する。本学ではレベル設定していない ので、「使用しない」、「高い」のいずれかを選択する。
• 個人 フィルタ使用の選択：個人フィルタを使用する場合はチェックボックスにチェックを入れる。

　現在のメールサーバを稼動した2007年4月2日から2009年1月11日までの（送受信）メール総数のうち、SPAM判定されたものとそうでないもののうちわけを図 2に示す。統合メールサーバでは多い日には120万件を 越えるメールが送受信されている。また、SPAMメールの誤判定を考慮しなければ、メールサーバで受信するほぼ半数がSPAMメールであることが分かる。メールシステムのコンピュータ資源の多くをSPAMメールの処理に振り分けなければならない現状は由々しき問題である。
　この図で、2007年末のメール総数の急激な減少の原因は不明であるが、2008年末のSPAMメールの減少は、大規模ボットネット運営者にサービスを提供していた米国 のISPが同年11月にインターネットへの接続を遮断されたこと、また同年12月より改正された「特定電子メール法」の適用範囲及び罰則の強化が一因と考えられる。その他、この図では読み取れないが、週末、年末には平日よりもSPAMメールが増加する。

図 2．メール総数

　次に、各フィルタが検出したSPAMメール数を示す。この図 3より、大半のSPAMメールはサーバフィルタによって検出されることが分かる。

図 3．SPAMメール内訳

　更に、サーバフィルタに検出されたメールのうちわけを以下に示す。図 4より、サーバフィルタによる判定のほとんどはRBLによるものだということが分かる。

図 4．サーバフィルタ内訳

　2006 年の総合情報処理センターの機種更新で導入されたメールサーバについて、特に SPAM メール対策に関して SPAM フィルタ設定と SPAM メール件数を示す統計情報を示した。総合情報処理センターでは、ソフトウェアである MailSuite の機能制限と現状の SPAM フィルタ設定による誤ったフィルタリング処理が発生していることを把握しており、現在においても随時、フィルタの更新とメーカへの機能改善要求を行なって いる。しかし、メールサーバ本体におけるフィルタリングルールは緩い方向に設定せざるを得ず、そのため各ユーザには、SPAMメールの処理にある程度の労力が要求されることになる。

1. 美濃英俊，「山梨大学新キャンパスネットワ－ク G-YINS」，2001年度山梨大学総合情報処理センター研究報告．
2. 廣嶋くに代，「山梨大学キャンパスネットワークの歴史およびデータ転送量の推移」，2001年度山梨大学総合情報処理センター研究報告．