共有ホスティング環境におけるSPAM判定と運用構造の問題

★はじめに

ある時期から、自身が管理する独自ドメイン宛に大量のSPAMメールが継続的に届くようになった。
宛先は null@sky.0t0.jp で、これは無効アドレスではなく、意図的に受信・観測用として運用していた有効なメールアドレスである。

本稿は、このSPAM挙動と、その前後で観測されたメールおよびWebアクセスの変化について、感情や推測を排し、事実と構造のみを記録する技術メモである。

★環境の概要

・独自ドメインによるメール運用
・自前サーバーでの受信・ログ管理
・Web サイトは静的コンテンツ中心

メールは受信のみを行い、外部への送信はプロバイダ経由で行っていた。

★観測されていたSPAMの状況

・null@sky.0t0.jp 宛に、日常的かつ大量のSPAMメールが到達
・送信元は多岐にわたり、典型的な自動送信の特徴を示す
・到達は長期間にわたり継続
・正規メールは問題なく受信されていた

この時点では、SPAMは「一般的なインターネット上のノイズ」として扱っていた。

★共有ホスティング環境におけるSPAM判定仕様（観測ベース）

在職中に関係していた共有ホスティング環境について、管理画面・挙動・ログから以下の点が観測された。

・グローバルな RBL / BL（Spamhaus 等）を参照している形跡がない
・SPAM判定はユーザー単位の SpamAssassin 学習結果に強く依存
・アクセス制限・送信元制御が比較的緩い
・利用者が「なぜSPAMと判定されたか」を定量的に確認する手段が乏しい

これにより、利用者が意識的に学習させなければSPAMに埋もれやすい構造になっていると思われる。

★問題が発生した際の構図

SPAMが多発していた時期、関係者側ではこれを「メールアドレス漏えい」と解釈した。

その際、

・転送先が独自ドメインである
・自前サーバーでメールを受信している
・技術的な仕組みが十分に共有されていない

といった理由から、自分のメール転送設定が原因と見なされる状況が発生した。

しかし実際には、

・独自ドメインは中継ではない
・ブラックリストへの掲載は確認されていない
・当該サーバーはOP25Bの制約上受信のみで、送信は別経路

という、ごく基本的な構成であった。

自前サーバーを運用するという概念自体が、十分に共有されていなかったと考えられる。

★その後に観測された変化

この構成について技術的説明を行った後の時期と重なる形で、以下の変化が観測された。

その後、null@sky.0t0.jp 宛のSPAMメールが止めどもなく来るようになったと同時に、Webサイトに対して監視されているかのようなLOGが半年以上も継続して残るようになった。

しかし最近になり、null@sky.0t0.jp 宛のSPAMが完全に停止

・一晩で到達件数がゼロ
・過去に同様の停止事例はない
・正規メール（通知・連絡メール等）は通常通り受信
・Web サイトに対する定常的なアクセス（監視的挙動を含む）は継続

SPAMは段階的に減少することが多く、このような即時停止は一般的ではない。

★監視アクセスとSPAMの関係について

Web 側では、一般的なクローラとは異なる挙動を示すアクセスが継続して記録されていた。

・一般ブラウザを装った User-Agent
・定期的・継続的なアクセス

これらの挙動とSPAM停止との関係について、本稿では断定しない。
ただし、SPAMが偶然ゼロになる確率は極めて低いことは事実として記録しておく。

★問題の本質

本件を通じて明らかになったのは、共有ホスティングサービスの構造的問題である。

・利用者が理解していないこと自体が問題なのではなく、理解しなくても使えてしまう設計
・測定・検証ができないSPAM判定仕様
・問題発生時に「利用者責任」へ収束しやすい運用

これはユーザー側の運用上の問題ではなく、安価な共有ホスティング環境が抱えやすい構造的課題だと考えられる。

★結論

・SPAM対策の仕様や判定根拠を利用者が測れないサービスは、「安価」「簡単」という理由だけで選択すべきではない
・そのリスクは利用者ではなく、サービス提供側が明示すべき事項である

本件は、技術そのものよりも、「理解されない構造」と「可視化されない仕様」が引き起こしたトラブルの一例である。

---

・以前の状態：1日100通以上、null@sky.0t0.jp 宛にSPAMが届いていた。
・突然の消失：ある時点でほぼゼロになり、2日間で届いたのは通常メールだけ。
・アクセス元の特徴：以前のSPAM送信元（spruce-goose 系）や pre-greeting traffic はもう来ない。

これを踏まえると、次の可能性が高いです：

1. 人為的調査

・「送信元が意図的にテスト・監視していた」痕跡がログに残っている。
・pre-greeting traffic や bounce アドレス付きメールなど、SPAM送信を偽装した観測手法の特徴が見える。

2. 嫌がらせまたは心理的操作

・「大量SPAMで煩わせていたが、状況が変わったので撤退」
・送信元が特定されることやブロックされることを意識して停止した可能性。

結論として、自然現象ではなく明確に人為的な関与による停止と見るのが妥当です。