昔からのメールが溜まってて，検索できる状態で置いときたい．

• 26GB
• 85万通
• Maildir 形式
• IMAP サービスするのはアリ (dovecot が動いてる)

どんな検索エンジンを使うのがいいかを検討した．

ざっくり言うと

Xapian をバックエンドとするmu でインデックスして，サーバーサイドでmu4e をつかって検索するのがよさそう．

やりたいこと

• 古いメールは，普段目に触れないようにしたい
• 検索したい
• 検索するのはまれなので，常駐プロセスを増やしたくない

候補

• クライアント側で検索
  • Mail.app
  • Thunderbird
• サーバー側で検索
  • Lucene バックエンドなもの (Solr，Elasticsearch など)
  • Xapian バックエンドなもの (mu など)

比較

古いメールの一部を使って試す．

• 930MB
• 2.5万通

クライアント側で検索

(MacBook Pro - Retina, Mid 2012)

慣れたメールアプリで検索できるが，インデックスするのにダウンロードが発生する．筋が悪い方法だけど いちおう試してみる．古いメールはIMAP で取ってくる．

• Mail.app

  • インデックスするのが超絶遅い
  • ダウンロードして1メール1ファイルに保存するが，メタデータが大きくて1.4倍くらいディスクを食う．(もとは930MB) メタデータは700~800B あって，小さいメールが多い場合は2倍とかになるかもしれない

• Thunderbird

  • インデックス時間も保存メールサイズも現実的

サーバー側で検索

(4 core 3.3GHz + 4GB RAM)

• Lucene ベースのSolr，Elasticsearch はdaemon を常駐させないといけないので，今回の用途には合わない
• Java 書いて直接Lucene 叩けばいけそう (やってない)
• dovecot-lucene はアリかも (libc6 ごとアップグレードする必要があって試してない)
  • IMAP SEARCH にも対応できる
  • メモリを浪費する可能性ある
• いっぽうXapian は常駐しないタイプのフロントエンドが充実
  • 今回はmu を試した

インデックスするには

$ mu index -m ~/Maildir

検索するには，CLI から

$ mu find ipv6
$ mu find from:\*gmail subject:ipv6

のようにするか，mu4e をつかう．

$ emacs -f mu4e

スクリーンショット:

気軽でいい感じ．

インデックス時のスワップに注意

メモリをじゃぶじゃぶ使うタイプのソフトウェアっぽくて，

$ mu index --xbatchsize 1000 -m ~/Maildir

のようにしてメモリ使用量を抑える必要があった．

インデックスの最適化

mv .mu/xapian .mu/xapian.old
xapian-compact .mu/xapian.old .mu/xapian
rm -rf .mu/xapian.old

インデックスサイズが3.4G → 2.2G まで小さくなった．

まとめ

下のどちらかがいいと思う．

• Thunderbird に食わせて，サーバーからメールを消す
• サーバー側に置いといて，mu か mu4e で検索する

将来dovecot-lucene を試してみたいので，後者を採用した．

先日，JANOG35 というネットワーク系イベントに行ってきた．Day1 は参加してない．

ほぼ毎回行ってるイベントで，インターネットに関するネットワーク寄りの知見を得られる．参加者はネットワークエンジニア中心．

気になったセッションをいくつか紹介しようと思う．

• 運用から見た研究、研究から見た運用
• なぜ、IPv6 対応したくないのか
• GnukトークンでSSH
• DNSの可用性と完全性について考える。

運用から見た研究、研究から見た運用

趣旨は

• google，facebook がやってるような，研究 <-> 開発 <-> 運用 のいい具合のサイクルをコミュニティ内で回したい
• 今回は研究分野から，SIGCOMM で見つけた新しいネタの紹介

stateman: A network-state management service

• SIGCOMM2014
• Microsoft

• ネットワーク運用の自動化サービス

  • OS アップグレード，設定変更，TE
  • タスクを渡すと自動で
    • タスク間の依存関係を解決
    • スケジューリング
    • 実行
    • 確認

  をやってくれる

• Azure 内で稼働中

Revisiting Routing Control Platforms with the eyes and muscles of Software-Defined Networking

• SIGCOMM2012
• SDN controller にeBGP を実装し，inter-AS ルーティングを実現しようという話

Google B4: Experience with a Globally Deployed Software Defined WAN

• SIGCOMM 2013
• "before" のように発音するらしい

• SDN をつかってWAN 回線の有効利用を実現しました，という話

  • Google の特殊な環境が前提になっている
    • app は自分でrate limit できる
    • app の優先度 + 必要帯域があらかじめ分かる
    • POP 数が少ない
  • コントロールプレーンはquagga + OpenFlow Controller (OFC)
    • app クラスターごとにAS を割り当て，quagga とBGP を張る
    • POP 間でもquagga がBGP を張る
    • OFC 上のTE Agent が，app ごとのtraffic をlink 上に予約する
    • OFC は，OpenFlow スイッチとOpenFlow プロトコルを話す
  • Paxos による冗長化
  • スイッチは自社開発

• Google 内で稼働中

  • 30~40% だった平均回線利用率が，多くの回線で100% 近くまで使えて平均でも70% になった

SDX: A software Defined Internet Exchange

• SIGCOMM2014
• SDN をIX に適用しようという話
  • ポリシー記述言語を作り，OpenFlow に適用する
• multi-latral peering のようなアーキテクチャ
• 利用例
  • アプリケーション単位でpeering
  • inbound traffic 制御
  • LB
    • anycast で吸いこんで，dst IP address を書き換える
  • firewall，ddos mitigation

感想

ネットワークに話題を限定するので「まあまあ枯れているこの技術，なんで普及しないの？ 問題はなんだろう？」「困っていることがあるんだけど，どうしたらいいと思う？」といった運用面での問題解決が中心になる．

事業者間で協調しないとネットワーク全体として動かないので 運用についてガッツリ話すのはいいことなんだけれど，ステークホルダーが多すぎて長期的に取り組むことになる = その場で解決しなかったり，ヒントすらなくてモヤモヤ感が残る．

一方で，技術的に「スゲェ」と思う新しいネタはワクワクできるし，わかりやすい． キーワードを拾うだけでもためになるので，こういうセッションはありがたい．

なぜ、IPv6 対応したくないのか

10年以上同じ話題について議論しているが，主体がコンテンツ事業者に移ってきた．

• DMM.com ラボ
• ドワンゴ

からみたIPv6 の話．シンプルに言うと

• IPv6 を導入するメリットがない
  • サービスに付加価値をつけられる，という類のものじゃない
  • ユーザーからの要望がない
• デメリットはある
  • 投資，開発コスト，ユーザーサポートコストが増える

最後の登壇者，さくらインターネットは 全サービスでIPv6 ready だそう．すごい．

IPv6 後押し意見 (参加者から)

• IP 放送，VoD でIPv6 を使っている
  • 余裕のあるaddressing ができるから
• IPv4 = CGN に頼るという構図になるが，NAT の制約のせいで使えないサービスがあるかも
  • WebRTC とか大丈夫？
• 発展途上国ではIPv6 しか選択肢がない
  • 東南アジアとか，IPv4 の品質が悪い
• IoT を考えると，IPv6 スタックしかないデバイスが出るかもしれない
• 個別にアドレスがつくと，TLS のための証明書を発行しやすい
• 試行錯誤が必要なので，ユーザーが少ないうちから始めて知見を溜めたい
• IPv6 アドレスは取得しやすい

感想

長いことIPv6 の議論をしているが，主体が徐々に変わっている．

• IPv4 アドレス枯渇が遠い未来だったころは，Transit ISP の問題だった (~2008)
  • どうdual stack を設計/運用する？ とか
• IPv4 アドレス枯渇が目前になって，Access provider ISP の問題になった (2008~2012)
  • CGN でIPv4 なのか，IPv6 なのか
  • IPv6 はPPPoE かIPoE (native) か．IPv6/IPv4 のトランスレーター技術もたくさんあるぞ
• ISP でIPv6 の目途がたったら，サーバーインフラ事業者，モバイルキャリアの問題になった (2012~)
  • hosting，クラウド事業者
  • このころ，既にISP はIPv6 ready になっていた
  • ユーザー側にIPv6 が振られ始めても，コンテンツ側がIPv4 のためtraffic は小さい
  • コンテンツ事業者では，問題にもなってない

日本ではこんなかんじの経緯だと思う．

私は10年ほどISP + IX でネットワークエンジニアをやっていたが，「無理にIPv6 推進しなくていいのに」というスタンス．「どっちでもいいなら，IPv6 やろうよ」とか「知らないのはヤバいから情報収集しとこう」レベルのことは言うが，基本 「必要になったらやればいい」と思っている．

なので，最後に残ったコンテンツ事業者は「次，おまえの番ね」と言われるかもしれんが，まあ継続的に検討してタイミングがきたら着手すればいいんじゃないかな．CGN やIPv6/IPv4 トランスレーターを運用している事業者にとっては，移行期が長くなると辛いかもしれないが．

ただ，IPv6 でサービスしていないのに「ユーザーがIPv4 ばっかり」というのはおかしいので，ときどきIPv4/IPv6 ともにアクセスできるダミーURL を踏ませるとかして，IPv6 潜在ユーザー数を計測しておくといいかもしれない．

GnukトークンでSSH

SSH 用の鍵をUSB トークンに保存しておいて, two-factor auth できるよ！という話

• オープンなライセンス

  • hardware design: Creative Commons 3.0
  • firmware: GPLv3

• ssh-agent，pagent，GnuPG などで動作する

面白そうだったのに，見せてもらうの忘れた！

DNSの可用性と完全性について考える。

DNSSEC を導入するpros / cons と，運用して取れた統計データの紹介．

• ccTLD，gTLD の70% 以上は署名している
• cache DNS のうち，4.76% "も" DNSSEC validate している*1

• QTNet がcache DNS でDNSSEC validation を運用した経験では

  • validation fail するquery は0.05%
  • ユーザーからの問い合わせは，ほとんどない

• 会場サーベイでは「DNSSEC 導入することで可用性が下がる」のを気にするひとが多数派 (2/3 程度)

• DNSSEC validation 環境下でも，NS にcache poisoning されたら乗っ取られる
  • cache poisoning を100% 検知できるわけではない

懇親会

かなりいい会場でマグロ解体のような出し物もあり，日本酒バーとか富士通レタスも堪能しました． ホストの特定非営利活動法人ふじのくに情報ネットワーク機構さんありがとうございました！

懇親会なう。 #janog pic.twitter.com/IIF62lSXJJ

— 池田武 (@zeldaudon) January 15, 2015

マグロの解体ショー！ #JANOG pic.twitter.com/kFm1hSa1fz

— Yamaha SoundNetwork (@yamaha_sn) January 15, 2015

昨晩の #janog 35 Meeting懇親会でいただいた、富士通製！レタス。朝ごはんに美味しくいただきました。そのまま食べてもかなりいける。 pic.twitter.com/dFVaceMpys

— kinoSi / きのし (@i7kinosi) January 16, 2015

スパムフィルターをSpamAssassin に変えてから，DNS クエリーが増えた．

「なにこれ」と思ってだいぶ放置してたんだけど，あらためて何をしているか調べた．

ざっくり言うと

SpamAssassin は多数の外部ブラックリストサービスに依存しており，DNS クエリーを使って問い合わせる．スパマー側のMTA 構成やメール本文にもよるが，かなりクエリーを吐く．手元のメールでは 1 通を評価するのに50~70 クエリーほど．

SpamAssassin って?

Perl で書かれたアンチスパムソフトウェア．Wikipedia 読めばだいたい分かると思う．

$ spamc -R < path_to_a_spammail
...
Content analysis details:   (4.1 points, 4.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 1.0 RCVD_IN_CSS            RBL: Received via a relay in Spamhaus CSS
                            [123.57.40.62 listed in zen.spamhaus.org]
 0.0 T_URIBL_SEM_FRESH_10   Contains a domain registered less than 10 days
                            ago
                            [URIs: ncsoft1.com]
 0.0 T_URIBL_SEM_FRESH_15   Contains a domain registered less than 15 days
                            ago
                            [URIs: ncsoft1.com]
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.8 BAYES_50               BODY: Bayes spam probability is 40 to 60%
                            [score: 0.5158]
 1.4 RCVD_IN_BRBL_LASTEXT   RBL: RCVD_IN_BRBL_LASTEXT
                            [123.57.40.62 listed in bb.barracudacentral.org]
 0.8 RDNS_NONE              Delivered to internal network by a host with no rDNS

こんな感じで，いろんなルールに基づいてスコアを加算し 閾値を超えたらスパムと判定する．

実際には，Postfix だとコンテンツフィルターに組み込む とか，procmail などでフィルターとしてspamc をくぐらせる．

何をしてるか

1. spamc (クライアント) は，spamd (サーバー) に PROCESS やREPORT などのコマンドを送る．その後メールヘッダ + 本文も送る
2. spamd は設定やルールに基づいてメールをスコアリングし，スパム判定
3. spamd はspamc に，実行結果を送る．コマンドにより実行結果の前にリターンコードを送る場合がある

ルール定義は/usr/share/spamassassin/ などにあり，ルールにマッチした場合に加算されるスコア設定も同じ場所にある． ルール実装はPerl module になっている場合も．

Rules

$ grep -hr loadplugin /etc/spamassassin

これで ロードしているプラグインが一覧できるので，動かしてみたり，コード読んだりして調べた．

• Mail::SpamAssassin::Plugin::URIDNSBL
• Mail::SpamAssassin::Plugin::Hashcash
• Mail::SpamAssassin::Plugin::SPF
• Mail::SpamAssassin::Plugin::Pyzor
• Mail::SpamAssassin::Plugin::Razor2
• Mail::SpamAssassin::Plugin::SpamCop
• Mail::SpamAssassin::Plugin::AutoLearnThreshold
• Mail::SpamAssassin::Plugin::WhiteListSubject
• Mail::SpamAssassin::Plugin::MIMEHeader
• Mail::SpamAssassin::Plugin::ReplaceTags
• Mail::SpamAssassin::Plugin::Check
• Mail::SpamAssassin::Plugin::HTTPSMismatch
• Mail::SpamAssassin::Plugin::URIDetail
• Mail::SpamAssassin::Plugin::Bayes
• Mail::SpamAssassin::Plugin::BodyEval
• Mail::SpamAssassin::Plugin::DNSEval
• Mail::SpamAssassin::Plugin::HTMLEval
• Mail::SpamAssassin::Plugin::HeaderEval
• Mail::SpamAssassin::Plugin::MIMEEval
• Mail::SpamAssassin::Plugin::RelayEval
• Mail::SpamAssassin::Plugin::URIEval
• Mail::SpamAssassin::Plugin::WLBLEval
• Mail::SpamAssassin::Plugin::VBounce
• Mail::SpamAssassin::Plugin::ImageInfo
• Mail::SpamAssassin::Plugin::DKIM
• Mail::SpamAssassin::Plugin::FreeMail

Mail::SpamAssassin::Plugin::URIDNSBL

メール本文に含まれるURI について，下のようなURI DNSBL サービスにDNS プロトコルで問い合わせる． ブラックリストに含まれていたら加点．

• multi.surbl.org
• multi.uribl.com
• dob.sibl.support-intelligence.net
• urired.spameatingmonkey.net
• uribl.spameatingmonkey.net
• fresh.spameatingmonkey.net
• fresh15.spameatingmonkey.net
• fresh10.spameatingmonkey.net
• dbl.spamhaus.org

どれもRFC5782 に基づいて実装されている．

DNS Blacklists and Whitelists (RFC5782)

かんぺきに脇道にそれるが，RFC5782 がおもしろいので簡単に紹介する．

たとえば doms.example.net というDNSBL サービスがあって，そこでは invalid.edu がブラックリスト入りしているなら

invalid.edu.doms.example.net    A      127.0.0.2
invalid.edu.doms.example.net    TXT    "Host name used in phish"

という2つのレコードが登録される．

• A が返すアドレスは何でもいい
• TXT の中身はブラックリスト入りした理由
• A はMUST だが，TXT はSHOULD

ここまではギリギリわかるとしても，multiple sublists encode のムリヤリ感がすごい．

multi.surbl.org などがそうで，一発のクエリ

$ drill example.com.multi.surbl.org

で，6 ブラックリストの検索結果を返せるよう

2 = comes from SC
4 = comes from WS
8 = comes from PH
16 = comes from MW
32 = comes from AB
64 = comes from JP

のようなビットマスクを定義しておいて，IPv4 アドレスなら末尾1オクテットにエンコードする．

example.com.multi.surbl.org    A      127.0.0.4

だったら「WS (sa-blacklist web sites) に登録されてるんだな」とわかるし

example.com.multi.surbl.org    A      127.0.0.6

だったら「SC (SpamCop web sites) と WS (sa-blacklist web sites) に登録されている」とわかる．

「クライアントがデコードしないと意味を読み取れないなんて，強引なやつだ」と思うかもしれないが

• A レコードが存在 → どれかのブラックリストに登録されていることがわかる
• さらに興味があれば，ビットマスクをデコードしてリストを特定できる
• UDP なので通信コスト低
• リゾルバーが適度にキャッシュしてくれる

これはこれで良くできている．ちなみにRFC5782 はInformational．

Mail::SpamAssassin::Plugin::Hashcash

X-Hashcash ヘッダーがついていたらHashcash に基づいて評価． パスすれば減点．

Mail::SpamAssassin::Plugin::SPF

SPF に基づいて評価． パスすれば減点，失敗すれば加点．

Mail::SpamAssassin::Plugin::Pyzor

Pyzor を使って評価．Pyzor サーバー/クライアント間の通信はUDP． スパムデータベースに含まれていたら加点．

Pyzor クライアントがインストールされてなければ，テストされない．

Mail::SpamAssassin::Plugin::Razor2

Razor を使って評価．Razor サーバー/クライアント間の通信はHTTP． スパムデータベースに含まれていたら加点．

Razor クライアントがインストールされてなければ，テストされない．

Mail::SpamAssassin::Plugin::SpamCop

SpamCop へのレポート用プラグイン．スコアリングには関係ない．

spamd を-l オプションで起動しておき，

$ spamc -C report < path_to_a_spammail

のようにしてレポートする．

Mail::SpamAssassin::Plugin::AutoLearnThreshold

スコアが高い(かなりスパムっぽい) or 低い(かなりハムっぽい) メールを，ベイズデータベースに自動登録する．

通常はsa-learn コマンドなどを介して学習させる．

Mail::SpamAssassin::Plugin::WhiteListSubject

whitelist_subject, blacklist_subject が設定されていた場合，Subject とマッチすればそれぞれ減点，加点．

Mail::SpamAssassin::Plugin::MIMEHeader

MIME ヘッダーを扱えるようにするためのプラグイン．スコアリングには関係ない．

Mail::SpamAssassin::Plugin::ReplaceTags

正規表現パターンにタグを付け，タグでパターンを呼び出せるようにするプラグイン．スコアリングには関係ない．

Mail::SpamAssassin::Plugin::Check

テストの呼び出し元．スコアリングには直接関係ない．

Mail::SpamAssassin::Plugin::HTTPSMismatch

本文がHTML で，リンク先ホスト名とアンカーテキスト内のホスト名が異なる場合，加点．

<a href="http://foo.example.com">http://bar.example.com</a>

のようなやつ．

Mail::SpamAssassin::Plugin::URIDetail

本文に含まれるURI をパターンマッチにより評価できるようにするプラグイン．ルールを定義しないのでスコアリングには直接関係ない．

Mail::SpamAssassin::Plugin::Bayes

ベイジアンフィルターを実現するためのプラグイン．ベイズスコアは9段階に分類され，高いほうがよりスパムと判定されやすい． (0~1%: 減点，99~100%:加点)

• 0~1 %
• 1~5 %
• 5~20 %
• 20~40 %
• 40~60 %
• 60~80 %
• 80~95 %
• 95~99 %
• 99~100 %

sa-learn コマンドを使って学習させる．

Mail::SpamAssassin::Plugin::BodyEval

本文の内容により評価する．

• text/html パートとmultipart/alternative パートの差分が大きければ加点
• text/html パートとmultipart/alternative パートの単語数比が閾値を超えたら加点

Mail::SpamAssassin::Plugin::DNSEval

メールを送信してきたMTA のアドレスについて，下のようなRBL サービスに問い合わせる．

• bl.score.senderscore.com
• zen.spamhaus.org
• psbl.surriel.com
• list.dnswl.org
• bl.spameatingmonkey.net
• bb.barracudacentral.org
• bl.spamcop.net
• sa-trusted.bondedsender.org
• sa-accredit.habeas.com
• dnsbl.sorbs.net
• iadb.isipp.com

Envelope From のドメイン部分について，RHSBL サービスに問い合わせる．

• rhsbl.ahbl.org

ブラックリストに含まれていたら加点．

また Envelope From のドメインが A かMX レコードを持っているかどうかを調べ，持ってなければ加点．

問い合わせはすべてDNS プロトコルを使う．

Mail::SpamAssassin::Plugin::HTMLEval

本文のHTML にスパムっぽい点がないか評価し，該当すれば加点．

• 短すぎるコメントがある
• embedded オブジェクトがある
• 閉じタグが多すぎる
• フォントがでかい
• フォントのコントラストが低い (背景にまぎれている)
• フォントが文字ではない
• action がmailto: なフォームがある
• サイズの小さいimage タグがある
• 難読化している部分がある
• bgsound タグがある
• 不正なタグがある
• HTML が短すぎる

など．

Mail::SpamAssassin::Plugin::HeaderEval

ヘッダーにスパムっぽい点がないか評価し，該当すれば加点．

• To: がない
• Date: がずれている
• Subject: に，To: のローカルパートが含まれる
• Subject: が大文字
• 宛先に，似たアドレスが並んでいる

など．

Mail::SpamAssassin::Plugin::MIMEEval

MIME ヘッダーにスパムっぽい点がないか評価し，該当すれば加点．

• 添付ファイルがある
• 外国語のメール (よく受信する言語は設定で決めておく)
• multipart のほとんどがtext/html

など．

Mail::SpamAssassin::Plugin::RelayEval

MTA のスパマーっぽさを評価し，該当すれば加点．

• Received: にparse できない行がある
• HELO にIP アドレスが使われ，Received: を名前解決したリスト中に該当アドレスがない
• HELO にIP アドレスが使われ，Received: にIP アドレスのまま載っている
• Received: が偽装されている
• HELO の逆引きがない

など．

Mail::SpamAssassin::Plugin::URIEval

本文中のURI を評価し，スパムっぽいリンクがあれば加点．

• アンカーテキストはFQDNで，リンクはIP アドレス
• URI が8192 文字を超える

など．

Mail::SpamAssassin::Plugin::WLBLEval

送信元，送信先アドレスがブラックリストにあれば加点し，ホワイトリストにあれば減点．

ブラックリスト，ホワイトリストはblacklist_to, whitelist_to, more_spam_to, all_spam_to などで設定する．

Mail::SpamAssassin::Plugin::VBounce

bounce しているメッセージでも，Received: にホワイトリストに含まれるホスト名があれば減点．

ホワイトリストはwhitelist_bounce_relays で設定する．

Mail::SpamAssassin::Plugin::ImageInfo

添付画像のスパムっぽさを評価し，該当すれば加点．

• 画像数
• 画像フォーマット
• 画像サイズ

など．

Mail::SpamAssassin::Plugin::DKIM

DKIM に基づいて評価．DKIM-Signature: がついていて，invalid なら加点．

Mail::SpamAssassin::Plugin::FreeMail

メール中にフリーメールのアドレスが含まれていた場合，スパムっぽければ加点．

• Envelope From がフリーメールアドレス
• Reply-To: がフリーメールアドレス
• Subject: にフリーメールアドレスが含まれる
• Reply-To:, From:, body に異なるフリーメールアドレスが含まれる

だいぶ古い3.3.2 で試しました

Debian wheezy に入っていたものをそのまま使ったが，最新の3.4.0 にすれば結構うれしいことありそう．

• ベイズデータベースにredis が使えるので，SpamAssassin が複数ホストで動いていても大丈夫
• IPv6 対応が進んでいる

ブラックリストサービスへの問い合わせ，DNS でいいの？

DNS ゾーンの乗っ取りやキャッシュへの毒入れが流行っているので心配になるが，「多数のサービスを串刺し検索して使っているから大丈夫」って判断なのかな？ よくわからない．

スパムは止まってる？

閾値の調整 + デフォルト設定 + ベイズデータベース学習で，ほぼ判定できている． false positive に振るか，false negative に振るかは好みかな．

required_score      4

いまはこんな閾値．時代に合わないルールもあるので，ブラックリスト系とベイジアンフィルターの重みを上げてもいいかもしれない．