月曜日, 3月 21, 2016

ネットワークサービスのサブドメイン丸ごと許可

 S25R公開ホワイトリストに以下の登録をした。

# Mar 18, 2016: (revised; guaranteed by the domain administrator)
# Mar 17, 2016: m2mdaNNN.as.sphere.ne.jp (*)
/\.as\.sphere\.ne\.jp$/ OK

これは、sphere.ne.jpの管理者の方から、同社のお客様が送信に引っかかるケースがあるのでと要請があったもので、「できれば .as.sphere.ne.jp の後方一致条件で、無理なら m2mdaNNN.as.sphere.ne.jp(NNNは数字列)の条件で」とのことだった。いったん後者の条件で登録した後、返信した。

「S25Rスパム対策方式は、メール送信元の逆引き名の特徴から、ウィルス感染しうるエンドユーザーコンピュータの可能性が高いと判定した時に一時的受信拒否を返して受信を遅延させるという方式で、概念的にはOP25Bとほぼ同等の対策を受信側で行うものです。迷惑メール防止に効果が高いと評価されて、多くのサイトで採用されています。しかし、エンドユーザーコンピュータでなくても、ISPが機械的に割り振る連番入りの逆引き名は誤判定してしまうという副作用があります。誤判定からの救済の運用を自動でも手動でもきちんと行っていないサイトがまれにあり、送信者が困ることがあるのが恐縮です。.as.sphere.ne.jp の配下に、ウィルス感染しうるエンドユーザーコンピュータも、『特定電子メールの送信の適正化等に関する法律』に違反するメールを送信しうるメールサーバもないことをドメイン管理者様が保証くださる場合には、その全体を許可する条件を登録します。」

 これに対して、保証する旨の回答をいただいたので、翌日にサブドメイン丸ごと許可の条件に改めた。
 従来、ホワイトリスト情報を提供いただいた時や私が発見した時には、エンドユーザーコンピュータを収容していないと推測される企業や組織ならサイトドメインの丸ごと許可、固定IPアドレスであっても不正メールの送信に悪用するユーザーがいないとは限らないネットワークサービス(実際に悪用されているとの情報があるamazonaws.comなど)ではホストの個別許可というポリシーで運用している。ネットワークサービスのドメイン管理者からポリシーの保証があって丸ごと許可を登録したのは初めてのケースである。

木曜日, 12月 17, 2015

gabacho-net.cn

 12月15日に、上海のドメイン登録事業者からメールが来た。

「『gabacho-net.cn』というドメイン申請がありましたが、これがあなたのドメイン名『gabacho-net』と衝突することを発見しました。これはあなたの商標ですか?また、あなたのビジネスパートナーが中国にいますか?」

 その日のうちに返信した。

「『gabacho-net.jp』は私の個人の趣味のためのドメイン名であり、商標ではありません。しかし、私のドメイン名は、私が開発して公開しているS25Rというスパム対策方式のために世界でわりと有名です。もし同じ『gabacho-net』というドメイン名が無関係の人や会社に使われたら不満です。単に『gabacho』なら、これは実在のスペイン語の単語にすぎないので問題ないのですが。ともかく、貴社あるいは貴国のポリシーに従うしかないと思いますが、私がすることがあれば教えてください。」

 その後、12月17日10時時点でまだ処置についての連絡はない。「gabacho」だけならまだしも、「-net」まで一致させるとは、S25Rスパム対策方式の開発者である私との関係者を装って悪事を働くことを目論んでいるのではないかと思ってしまう。でも、商標ではないからという理由で認可されてしまってもやむを得ない。本来、ドメインネームシステム上では、トップレベルドメインが異なればサイトドメイン名に同じものがあってもよいのに、こうして他国のサイトドメイン名との衝突まで調べて知らせてくれただけでもありがたい。もし「gabacho-net.cn」のサイトができてしまったら、私のサイトで「無関係」を宣告するまでのことである。

(追記)
 ドメイン登録時業者が申請者に「ドメイン名を変えたらどうか」と助言してくれていたらしい。本日12月17日、申請者から私に「gabacho-net.cn、gabacho-net.com.cn、gabacho-net.net.cn、およびgabacho-net.org.cnというドメイン名は我々のビジネスに重要なものだから、登録申請を強行する」との通告が来た。「OK。違法でない限り私はドメインの登録を差し止めることはできない。しかし、あなたが私のユニークなドメイン名を真似ることが純真な意図によるものだとは私は信じない。それらのドメインは私とは無関係であると私のウェブサイトで宣告する。通告ありがとう」と返した。なあに、かえって箔が付く。

(再追記)
 さっそく私のウェブサイトのホームページとその英語版スパム対策技術のトップページとその英語版に宣告を掲載した。

土曜日, 10月 24, 2015

おとりのアドレスに宛ててくるまともなサイト

 スパムをおびき寄せるためのおとりのアドレス<otori4@gabacho-net.jp>宛に、昨日10月23日にmail.kedahmedical.com.myからメール送信アクセスがあった。ドメイン名はまともそうで、www.kedahmedical.com.myおよびkedahmedical.com.myは順引きできたが、ウェブアクセスしてウェブページが現れなかったので、公開ブラックリストのポリシーに則ってブラックリストに登録した。しかし、今日10月24日に再度ウェブアクセスしたら、www.kedahmedical.comへのリダイレクトを案内するページが現れ、クリックしたらマレーシアの病院のウェブサイトが現れた。それで、登録をコメントアウトした(いったん公表してしまった情報を単に削除するのでは、削除したことがわかりにくいおそれがあるため)。

# Oct 24, 2015: (cancelled because the honest website was found)
# Oct 23, 2015: mail.kedahmedical.com.my
#/^(.+\.)?kedahmedical\.com\.my$/

 おとりのアドレスは、私のGabacho-Netのホームページ

<A HREF="mailto:otori4@gabacho-net.jp"> </A>

というHTML記述で仕込んである。リンク用文字列はスペース(半角)1個なので、ブラウザ上ではリンクとして現れない。メールアドレスを片っ端から拾い集めるための自動プログラムにのみ、このメールアドレスが見える。このアドレスはuser unknownになるので、スパムであっても受信されてしまうことはないが、これに宛てて来たホストは、「そのドメインのまともなウェブサイトがない」などのポリシー条件に適合するならば容赦なく公開ブラックリストに掲載している。しかし、ウェブからまともなサイトと判断した場合は掲載していない。もちろん、そのサイトと取引などの関係があるS25R利用サイトを困らせないためである。
 これまで、国内サイトからもこのおとりのアドレスにアクセスがあったことが何度かある。その中で、送信者アドレスが外国のドメインであることから、サーバが侵害されたと判断して知らせてあげたことが2回あった。そのうちの1回は、丁寧な返事をいただき、その後、あるサーバ事業者のブラックリストに載ってしまって取引先に送信できなくなったという相談に乗ってあげて感謝された。
 ところが、国内サイトで、そのサイト自身が意図的にこのおとりのアドレスに宛ててメールを送ろうとしたとしか思えないケースも、記憶の範囲では2件ほどあった。繰り返されてはいないので苦情のメールを送ることはしていないが、これは「特定電子メールの適正化等に関する法律」に抵触する行為である。なぜなら、同法では、送信者にあらかじめメールアドレスを教えていない受信者への特定電子メール(つまり未承諾広告メール)は、アドレスを公開している団体か個人で、個人にあっては営業を営む人にしか送ってはならないと定められている。これに抵触しないように未承諾広告メールを送るには、自動プログラムで片っ端から拾い集めたアドレスで送信先リストを作っては危ないことくらいわかりそうなもの。
 国内サイトなのに迷惑メール防止のための国内法を遵守しないとは嘆かわしい。まず自分の事業に関係があるかもしれないサイト(たとえば薬や医療機器の販売者にとっては、病院や医師と推定されるサイト)のURLを集め(これは自動でもよい)、それらのURLに基づいてブラウザでウェブを見て、未承諾広告メールを送ってよい相手かどうかを確認し、公開されているアドレスを拾うようにすればよいのである。

水曜日, 10月 21, 2015

予防的ブラックリスト登録が効いていた

 10月14日の記事で、HELOアドレスが「yanhua.073322.com」で、逆引き名がパラノイド検査エラーでunknownになる送信元のドメインをブラックリストに予防的登録したことを述べた。報告が遅くなったが、その予防的登録が効いていた。パラノイド検査エラーになっていた10月14日の4日後の10月18日、順引きが直されてS25Rチェックをパスするようになっていたのが、ブラックリストで阻止された。私のサイトでは「5桁以上の数字で始まるサイトドメイン名」のローカルルールでどのみち阻止できたのであるが、一般のS25R利用サイトでも公開ブラックリストを利用されていれば、めでたく阻止できた可能性がある。
 そのホストの挙動は以下のとおりであった。

Oct 18 12:28:55 C yanhua.073322.com [103.41.176.21] from=<g***@mail.com> to=<w***@gabacho-net.jp> helo=<yanhua.073322.com>
Oct 18 15:59:12 〃
Oct 18 18:17:15 〃
Oct 18 19:17:26 〃
Oct 18 20:17:35 〃
Oct 18 22:15:26 〃
Oct 18 23:15:38 〃
Oct 19 00:15:45 〃
Oct 19 01:15:48 〃
Oct 19 02:15:52 〃
Oct 19 03:15:59 〃
Oct 19 04:16:04 〃
Oct 19 05:16:07 〃
Oct 19 06:16:13 〃
Oct 19 07:16:16 〃

水曜日, 10月 14, 2015

公開ブラックリストへの予防的登録

 以下のスパムアクセスを発見した(拒絶ログソーティングスクリプトによる表示)。

Oct 13 19:55:12 C unknown [103.41.176.21] from=<s***@mail.com> to=<w***@gabacho-net.jp> helo=<yanhua.073322.com>
Oct 14 05:18:53 〃
Oct 14 06:19:03 〃
Oct 14 07:19:05 〃
Oct 14 08:19:10 〃

 逆引き名がunknownだから当然S25Rで一時拒否されているのだが、HELOアドレスyanhua.073322.comに気付いた。よく見られる、数字だけのサイトドメイン名で、私は「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字で始まる」というローカルルールで一時拒否しているが、一般のS25R利用サイトでは、逆引きの設定が整ったら突き抜けられる。調べてみたら、103.41.176.21を逆引きするとyanhua.073322.comが得られるが、それを順引きすると50.63.202.33で、パラノイド検査エラーになっていた。
 そこで、公開ブラックリストに予防的登録を掲載した。

# Oct 14, 2015: yanhua.073322.com (preventive)
/^(.+\.)?073322\.com$/ 450 spam ex-convict

 なお、http://www.073322.com/ または http://073322.com/ は、英語で「このサイトは一時的に無効です」と書かれたページなので、掲載は公開ブラックリストのポリシーに適合している。

日曜日, 9月 27, 2015

34時間で止まっていたスパム再送信アクセスが再開して48時間後まで継続

 昨日、スパムと思われる1分間隔の再送信アクセスが34時間で止まったことを述べた。ところが、止まった8時間21分後に再開していた。そして、最初に始まった時の48時間後に止まった。途中で中断していた理由はわからないが(中継回線の障害の可能性も考えられる)、やはりスパム送信サーバの再送信期間は48時間というのが相場のようだ。

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<d***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃
Sep 27 00:23:41 〃
Sep 27 00:24:54 〃

Sep 27 06:02:14 〃

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<w***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃
Sep 27 00:23:42 〃
Sep 27 00:24:57 〃

Sep 27 06:02:14 〃

土曜日, 9月 26, 2015

34時間1850回のスパム再送信アクセス

 再送信アクセスを発見したが、スパムの可能性が高いと思って放置してみた。
 その理由は第一に、同じ所から個人アドレス「deo」と公開アドレス「webmaster」の両方に宛ててきていること。個人アドレスはwhoisからわかるが、知らない送信者アドレスからのメールがいきなり個人アドレス宛で来るのは今まで全部スパムだった。
 第二に、再送信間隔が約1分であること。そもそも、受信側サーバの一時的受信不能が1分やそこらで解消される可能性は少ないはず。まともなメールサーバの再送信間隔はたいてい5分以上である。
 今までの経験では、スパム送信用サーバの再送信は48時間で終わるケースがかなりあった。RFC 5321を尊重したPostfixなどのデフォルト設定は5日なので、人が手動で送信したまともなメールを中継するメールサーバならば48時間では終わらないことが多い。ほったらかしてみたら、34時間で止まった。アクセス回数は二つのアドレス宛それぞれ1850回ずつである。ログファイルが無駄に膨らんだのが不愉快だが、スパム送信サーバの挙動の一例を把握できたのでよしとする。
 以下は、拒絶ログソーティングスクリプトの表示形式によるログ。

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<d***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<w***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃

火曜日, 8月 18, 2015

公開ブラックリスト登録1000件

 今日(8月18日)、私が7月16日に発見して公開ブラックリストに登録したrr8r.com(FQDNはnuoyi.rr8r.com)と所有者が同じドメインが31個ある(いずれもウェブサイトなし、またはWgetの結果のコンテンツサイズがゼロ)と協力者が知らせてくださった。その登録をもって、公開ブラックリストの登録はちょうど1000件になった。
 公開ブラックリストが私自身にどれだけ役に立っているかというと、8月12日に「Email: ***@sina.com」が本文チェックに引っかかって登録したyywy.netが今日再び効いた。しかし、協力者から寄せられた多数の予防登録が私のサイトで効いたのはまだ観測していない。そういうことがあると痛快に思えるのだが。

(8月26日追記)
 1000件と書いたが、当日時点で本当は1001件だったことがわかった。登録件数を数えるのに、エディタで「450 spam ex-convict」という文字列の数を数えていたが、1箇所にこの文字列のスペルミスがあり(スパムのブロックには支障はない)、その分がカウントされていなかった。
 なお、本日8月26日時点で登録は1465件である。

水曜日, 8月 05, 2015

著書「迷惑メールを97%阻止 S25Rの真髄」の出版のお知らせ

 私の著書「迷惑メールを97%阻止 S25Rの真髄」が8月1日から発売開始になりましたので、お知らせします。
 S25Rホームページに案内を載せました。楽天ブックスとアマゾンのページへのリンクを設けています。そこでブックカバーの画像をクリックすると、前書きと目次をご覧いただくことができます。

土曜日, 7月 04, 2015

まだ一般規則で阻止できるホストの予防的ブラックリスト登録

 今日(7月4日)、協力者から報告されて公開ブラックリストに掲載した項目に

/^(.+\.)?0mfx\.com$/ 450 spam ex-convict

というのがある。不審なホストのFQDNはCybill.0mfx.comとのことである。実は、そのIPアドレス115.159.74.217は、現時点で逆引きできない。だから一般規則で阻止でき、このブラックリスト項目にはまだ効果がない。これは予防措置として提案されたものである。これは一例である。
 その方は、高い調査スキルをもって「このIPアドレスは怪しい。まだ逆引きできない(またはパラノイド検査エラーになる)が、DNS設定が整ったら突き抜けられる」などのように予見して、ローカルルールでブロックするということもしておられるそうである。それで実際、DNS設定が整った後で、スパムを受信することなくスパム送信ホストを釣り上げてただちに報告してくださったこともある。

 その方のサイトのMTAはsendmailである。sendmailは、PTRレコードが引けたらその名前をログに表示し、パラノイド検査エラーになったら「(may be forged)」(偽造かもしれない)を付記する。Postfixは、PTRレコードが引けてもパラノイド検査エラーになったら逆引き名を「unknown」とするが、それに比べて、怪しそうなホストを名前で識別できるケースが増えるという点で、sendmailの流儀にメリットがあると言えそうである。Postfixもそのように仕様変更してほしいとまでは思わないが。

木曜日, 7月 02, 2015

第三者中継チェックか?

 第三者中継として拒否したアクセスがあった。

Jul  2 19:02:29 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
Jul  2 19:02:34 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>

 6月13日の記事で、第三者中継を目論むアクセスを何度もしてきているnairobi.pollmans.co.keを、ちゃんと第三者中継の禁止をしているサイトにとっては無害だがスパムの前科者としてブラックリストに載せたことを述べた。こいつは続けて2回も第三者中継のアクセスをしてきてやがる、失礼な奴だな、こいつもブラックリストに載せてやろうかと思った。
 しかし、よく見ると宛先アドレスのユーザー名はtestである。送信者アドレスに私のドメインreto.jpを使っているのも無礼だなと一瞬思ったが、よく考えてみたら、送信者アドレスが自分のドメインだったら外への中継をしてしまうという間違った設定をしているメールサーバが世の中にあるので、そういう穴がないかどうかをチェックしているのかもしれない。
 それにしても、第三者中継をしないことは1回のアクセスでわかるだろうに2回アクセスしたことと、自ドメインでなく無関係のgmail.comドメインを宛先にしたのは、私の価値観から言えばモラルにそぐわないと思うぞ。RCPTコマンドが受け付けられたらDATAコマンドまで送り込んで、受理されてしまうことまで確認するのかどうかはわからないが(それは見せかけの受理ということもありうるが)、もし第三者中継をしてしまうホストだったら、gmail.comへの無駄な送信アクセスを発生させるおそれがある。その無駄な送信アクセスを自ドメインで受けるというポリシーをはっきり見せているチェックアクセスなら、モラルにそぐわないなどと言うつもりはない。

水曜日, 7月 01, 2015

怪しいホストが3匹釣れた

 今日(7月1日)、公開ブラックリストに登録した項目のうち3件は私のサイトで見つかったものである(協力者からは16件も報告された)。この3件を見つけるに際して、スパムは一通も受信していない。見つかった順に示す(ファイル上での記載は逆順)。

# Jul 01, 2015: auchan.025552.com
/^(.+\.)?025552\.com$/ 450 spam ex-convict

 「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字列で始まる」というローカルルールで検出した。
 このドメインのウェブサイトはない。送信ドメインはyahoo.de。これにはSPFがないが、www.yahoo.deはde.yahoo.comにリダイレクトされるので、Yahooのドイツ法人であることは間違いない。だから、送信元がyahoo.comのSPFに合わない以上、送信者アドレスは偽造だと断定してよいだろう。また、一時的受信拒否に対して再送信はなかった。これらにより、怪しさ確定。
 私のローカルルールはすべてのS25R利用サイトに勧められるものではないが、自分のリスク負担でこれを使うことによって、すべてのS25R利用サイトに勧められるブラックリスト項目をこうして釣り上げることができる。

# Jul 01, 2015: yimiao.kongqingbao.com
/^(.+\.)?kongqingbao\.com$/ 450 spam ex-convict

 body_checksで「Contact: ***@sina.com」が引っかかった。このドメインのウェブサイトはない。送信ドメインはやはりyahoo.deだった。
 もしこの内容チェックが偽陽性判定だとしたら、「こういうスパムが来て困ってるんですけど」という相談メールということがありうる。もしそうなら、送信者は善良そうな人だということは送信者アドレスから見当が付くだろう。そうなったらこちらからメールを送って連絡をとればよい。組織サイトにはあまり勧められない内容チェックだが、個人サイトの私ならそういうリスクマネジメントができる。

# Jul 01, 2015: hal9000.okrutny.net
/^(.+\.)?okrutny\.net$/ 450 spam ex-convict

 宛先のユーザー名がotori4というおとりのアドレスだった。ホームページに仕掛けた見えないmailtoアンカーに釣られたものである。送信ドメインは著名なaol.com。もちろんそのSPFに送信元が整合するはずもない。www.okrutny.netのウェブページは現れ、連絡先として電話番号は書かれているが、どういうビジネスのサイトなのかがわかる説明はない。「黒」確定。
 なお、おとりのアドレスは、2003年からホームページに見えないmailtoアンカーで仕掛けたのがotori1だった。その後、スパムの送信停止受付サイトにわざと書き込んでみたのがotori2とotori3だった。これにも引っかかったスパマーがいた。otori1はしばらくやめていたのだが、昨年、スパムアクセスが非常に少なくなったことから、「これから釣れるのはどのくらいになるだろうか」と思って、再びホームページに仕掛けていたのがotori4である。

公開ブラックリストのポリシーを少し修正

 公開ブラックリストのポリシーを少し修正した。下線部分が変更点である。

 スパムを送信したことがあり(そのスパムが受信されてしまったかどうかにかかわらず)、かつ以下のいずれかの条件を満たすホストまたはドメインをブラックリストに掲載します。
  • そのドメインのウェブサイト(http://www.ドメイン名/ または http://ドメイン名/)がない。――ドメイン全体を警戒する拒否条件を掲載します。
  • ウェブサイト(リダイレクトされたページを含みます)があっても、そのドメイン固有の真っ当なビジネスの説明が掲示されていない。――ドメイン全体を警戒する拒否条件を掲載します。
    (空白のページ、パスワード入力ページ、ドメイン転売のページ、リンク集だけのページ、違法なビジネスのページはこの条件に含まれます。)
  • ウェブサイト(リダイレクトされたページを含みます)に掲示されたビジネスは、顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービスである。――そのドメイン内の不審なホストまたはホスト群だけを警戒する拒否条件を掲載します。
    (ネットワークサービス事業者のコントロール下にあるメールサーバは、たとえそこからスパムが送信されても、掲載しません。)
 上記の条件に当てはまらないホストであっても、挙動が悪質である(ビジネスは合法でも、広告メールの送信を違法に繰り返しているなど)か、またはドメイン所有者などの情報から疑わしいと判断される場合は、掲載することがあります。

 まだスパムの前科のないドメインまで疑わしいと判断してブラックリストに掲載するというポリシーは、私には運用が困難だという考えから、今まで明文化していなかった。しかし、いつも協力してくださっている方が、高い調査スキルを駆使して、そういう疑わしいドメインも報告してくださっている。そこで、そのような貢献を受け入れるというポリシーを明文化する意味で、上記のように修正した。

月曜日, 6月 29, 2015

公開ホワイトリストの棚卸し

 いつもホワイトリスト情報とブラックリスト情報にご協力くださっている方が、明らかに無意味になったホワイトリスト項目の指摘も時々くださっている。私もホワイトリストの棚卸しをしたことはあるが、「ホワイトリスト登録されたホストからスパムを受けた」という申告がない限りはほったらかしても実害はないから優先度は低いと思っているうちに、棚卸しをしないまま何年か過ぎてしまった。
 最も古い項目(ファイルの一番下)の登録日は、S25Rを発表した2004年である。11年も経ったらもう廃止されてしまったホストもあるだろうと思って、登録の古いものから順に棚卸しを始めた。コメントアウトしたものでいくつか典型的なものを古い順に示す(これらの記載はファイルの上部へ移動している)。

# Jun 28, 2015: (host has become unreachable)
# Feb 24, 2004: pioneer.co.jp's
#/^221x115x147x174\.ap221\.ftth\.ucom\.ne\.jp$/

 かつてパイオニア社から私が受けた案内メールの送信サーバである。221x115x147x174.ap221.ftth.ucom.ne.jpはping応答がない。tracerouteをかけるとucom.ne.jp内の途中のルータからunreachableの応答が返る。ホストは生きていてもセキュリティのために(ホストの存在を無差別に探られないためとか?)ICMPを遮断しているという可能性が考えられなくもないが、もしそうだとしても、「私は生きています」という返事さえ返さないホストをいつまでも救済対象としておく価値はないという考えに基づき、コメントアウトした。

# Jun 28, 2015: (domain "info-ntt.co.jp" expired)
# Apr 17, 2004: info-ntt.co.jp's
#/^ps23\.suite2\.arena\.ne\.jp$/

 かつて、NTTのサービスの広告をウェブサイトに載せてくれないかと連絡してきた会社である。info-ntt.co.jpドメインはもう消滅していることがわかったので、コメントアウトした。

# Jun 28, 2015: (host expired; canceled whole domain permission by policy)
# Nov 29, 2004: rohhc.com's h216.70.22.140.superiorbroadband.com, etc. (*)
#/\.superiorbroadband\.com$/

 コメント行に記載していたh216.70.22.140.superiorbroadband.comは順引きできなくなっていた。superiorbroadband.comドメインは存在するが、「顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービス」(サーバをネットワーク攻撃に悪用するユーザーがいるとの情報があるamazonaws.comのような)でないという確信が持てないので、ポリシーに基づいてsuperiorbroadband.comドメインの丸ごと許可を取り消した。もしそれで即時受信に支障を来たすサイトがあったら、改めてホワイトリスト登録を申請してください。

 この調子で昨日(6月28日)、2006年3月登録の分まで見直した。今後も気が向いた時にちょっとずつ棚卸しをするつもりである。登録項目は1600以上あるから時間がかかりそうであるが。
 ちなみに、コメントアウトした許可条件から「OK」のキーワードを消しているのは、エディタで「 OK」の文字列を数えることによって有効なホワイトリスト項目を数えるための便宜である。

公開ブラックリストの需要はまだ少ない

 公開ブラックリストの本格運用を開始したが、ブラックリストファイルへのアクセスは少ない。
 試行運用をブログでアナウンスした6月9日の前日の6月8日には、black-list.txtファイルへのアクセスは5件あった。2010年に「S25Rの一般規則を使わない代わりのドメインブラックリスト」を試行したことがあり、その後立ち消えになってしまってファイルをほったらかしていたが、その後ずっとcronで定期的に取得していたサイトが複数あるようである。black-list.txtファイルの作成ポリシーを私が突然変えてしまったことになるが、メンテされていなかったブラックリストが今さら役に立っていたはずもない。実際、ファイルの内容が根底から変わってしまったことについての苦情は受けていない。
 6月24日に本格運用をブログでアナウンスするとともに、今までにS25Rに関する用件でメールをいただいたことのある人55人(アドレスエラーになった人を除いて)にメールで案内したが、その日のアクセスは33件(アクセス回数であり、アクセスしたホスト数は数えていない)。その後、25日には20件、26日には18件、27日には13件、28日には12件という具合で、需要は少ないようである。
 アクセスが少ない理由については、普段協力してくださっている方からもコメントをいただいたのだが、自前のドメインでS25Rを突破するスパムが現れたとはいえ、受信者が業務を妨害されるほどに突破率が増えているわけではないので、私のウェブコンテンツをまめにチェックする人はあまりいないのかもしれない。また、案内メールを55人に送ったが、その中には異動やシステム運用の外注化などでもうS25Rの運用に関わっていない人も少なくないかもしれない。
 ただ、案内メールへの返信をくださった人が1人だけいた。「ヘッダチェックでブロックするケースが増えてきていたので、感謝です」と言ってくださった。
 今後需要が伸びるかどうかはわからないが、推定数千くらいのS25R導入サイトのうち数サイトでも利用してくれるなら、続ける価値はあると思っている。また、どのくらい使ってもらえるかはともかく、「金をかけてドメインを買ってまでS25Rを破ろうとする手口をS25R方式の開発者は容赦していない」という姿勢を見せることが、S25R方式への信頼を維持し続けるために役に立つと思っている。

木曜日, 6月 25, 2015

私のサーバの逆引きドメインの説明ページ

 公開ブラックリストのポリシーでは、スパムの送信元ホストの逆引きドメインのまともなウェブがなければ怪しいと判断することにしている。
 考えてみたら、私のgabacho-net.jpドメインのメールを送信するサーバ(ウェブサーバも同じ)の逆引き名はa.reto.jp(retoはエスペラント語でnetの意味)で、reto.jpドメインを説明するウェブページを用意していなかった。もちろん私のサーバがスパムを送信することはないが、これでは紺屋の白袴のようなもの。そこで、http://www.reto.jp/のURLで以下の意味の英語の説明を表示するようにした。

reto.jpは、以下のためのドメインです。
  • オーナーのgabacho-net.jpドメイン用サーバの逆引き名
  • ウェブリダイレクションサービス
  • 非公開のメール/ウェブサービス

 なお、ホスト名省略のreto.jpにはAレコードもMXレコードもない。なぜか「***@reto.jp」(***は心当たりのない日本人名)というアドレスに宛てたメール送信アクセスを何度も受けてうざかったことがあるからである。非公開のグループに提供しているメールアドレスは、このドメイン名の直下にホスト名を指定しなければならないようにしている。

 余談だが、紺屋の白袴で思い出した。もう消えてしまったブログだが、ずいぶん前にこんな記事を見たことがある。その人(日本人)は外国のVPSサービスを使って個人用サーバを運用していた。スパム除けのためにS25R方式を使っていたが、自分に割り当てられたIPアドレスには逆引きが設定されていない。「これでは、『健康のために痩せなさい』と言っている医者が太っているというようなものだな」と思って、プロバイダに「逆引きは設定してもらえる?それとも、逆引きゾーンを委譲してもらうことになる?」と問い合わせたら、すぐに「OK。名前は何にする?」と返事が来て、対応のあまりの早さに驚いたということだった。

ブラックリスト項目の見直し

 本格運用を開始した公開ブラックリストであるが、整理したポリシーに基づいて、すでに掲載していた項目を一部見直した。

/^nairobi.\pollmans\.co\.ke$/ 450 spam ex-convict

このホストについては、6月13日「名前が怪しくないホストのブラックリスト登録」で述べた。何度も第三者中継のアクセスをしてきている(その記事を書いた後も、6月14日から23日にかけて6回のアクセスがあった)。pollmans.co.keドメインのウェブがないので、「名前は怪しそうでない」という感覚でなくポリシーに則って、ドメイン全体を警戒する拒否条件

/^(.+\.)?pollmans\.co\.ke$/ 450 spam ex-convict

に改めた。
 co.keを冠するからには、ケニアの法人格を持つ企業なのだろうが、ウェブがないこととスパムの前科から、憶測だが、まともな会社ではなく、スパム送信を請け負う仕事をしているのかもしれない。

 もう一つ、ポリシーがまだ固まっていなかった試行運用期間中に協力者から報告された

/^pavlovickyalpha\.hanacke\.net$/ 450 spam ex-convict

があった。ウェブはあって、チェコ語と英語のページが用意されているが、英語のページは工事中になっている。チェコ語を翻訳にかけたところ、ネットワークサービスらしいと見当が付いたが、本格的なビジネスとしてのネットワークサービスには見えず、同好会のようなものかもしれない。
 スパムを送信したホストがネットワークサービス事業者のコントロール下にあるメールサーバならば載せない、顧客のコントロール下にあって悪用されるリスクのあるホストならホストまたはホスト群だけを警戒する拒否条件を載せるというポリシーである。ホストpavlovickyalphaはhanacke.netのMXではないとはわかった。かといって、ネットワークサービス事業者のコントロール下にあるメールサーバでないという確証はないけれども、スパム送信の前科がある以上は疑わしいと判断してよいと考え、そのままとした。

水曜日, 6月 24, 2015

公開ブラックリストの本格運用を開始

 S25R公開ブラックリストの本格運用を開始した。
 ポリシーは以下のように説明している。

 スパムを送信したことがあり(そのスパムが受信されてしまったかどうかにかかわらず)、かつ以下のいずれかの条件を満たすホストまたはドメインをブラックリストに掲載します。
  • そのドメインのウェブサイト(http://www.ドメイン名/ または http://ドメイン名/)がない。――ドメイン全体を警戒する拒否条件を掲載します。
  • ウェブサイト(リダイレクトされたページを含みます)があっても、そのドメイン固有の真っ当なビジネスの説明が掲示されていない。――ドメイン全体を警戒する拒否条件を掲載します。
    (空白のページ、パスワード入力ページ、ドメイン転売のページ、リンク集だけのページ、違法なビジネスのページはこの条件に含まれます。)
  • ウェブサイト(リダイレクトされたページを含みます)に掲示されたビジネスは、顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービスである。――そのドメイン内の不審なホストまたはホスト群だけを警戒する拒否条件を掲載します。
    (ネットワークサービス事業者のコントロール下にあるメールサーバは、たとえそこからスパムが送信されても、掲載しません。)
 上記の条件に当てはまらないホストであっても、挙動が悪質である(ビジネスは合法でも、広告メールの送信を違法に繰り返しているなど)ならば、掲載することがあります。

 このように明確なポリシーを整理できたのは、試行運用期間中にご協力くださった方のおかげである。ここに厚くお礼申し上げます。

 公開ブラックリストの自動ダウンロードは、一日4回まではしていただいてよいことにした(6時間に1回までという意味ではなく、一日内の適当な時刻に4回までということである)。公開ホワイトリストは、頻繁にダウンロードしなくても各サイトでの正当なメールの受信に失敗するわけではないので「一日1回まで」とお願いしているが、公開ブラックリストは、もう少し頻繁にダウンロードしてもよいとした方が、スパムの阻止に成功する確率が上がって喜ばれるだろうと思うからである。また、スパマーがスパム送信のために多数取得するドメインは長期間維持されずに消滅するだろうから、ブラックリストファイルはあまり巨大にならずに済むだろうと考えてのことでもある。ダウンロード頻度については以下のように説明している。

サーバで定期的にダウンロードされる場合は、ダウンロードの頻度は一日4回までにしてください。日本時刻23:00~7:00の時間帯に2度ダウンロードするのは無駄と思われます。

 もちろんこれは、日本時刻23:00~7:00の時間帯でのダウンロードは避けてほしいという意味ではない。その時間帯での1回のダウンロードは、前日の最後の更新を取り込むことができるが、翌日の私の活動が始まらないうちにもう1度ダウンロードするのは無駄だという意味である。だから、たとえば毎日0時、6時、12時、18時にダウンロードする設定では、そのうち6時は無駄である。
 でもまあ、時刻設定の推奨例は書かない方がいいだろうな。その時刻にアクセスが集中することになりかねないので。

月曜日, 6月 22, 2015

「あなたの方式は今なお有効ですか?」

 6月20日の夜遅くに、トップレベルドメイン名がnetのドメインから「admin」名のメールが届いた。アメリカのサイトらしい。
「あなたのサイトの最終更新は2009年でした。あなたの方式は今なお有効ですか?」
 なお、「有効」と訳した英単語は「relevant」である。これを英和辞書どおりに「関連した/適切な」と訳すとわかりにくいが、英英辞書を引いたら「環境に適合している(appropriate)」という意味があることがわかったので、「様々な手口のスパムが存在するというインターネット環境に今なお適合しているか」と解釈して「効果がある」=「有効」と訳した。
 で、返事を送った。
「はい、ことに日本では今なお広く使われています。」

 多分、S25R方式のレポートの最終更新日が2009年11月23日になっているので、そういう疑問を持たれたのであろう。どのページにも他ページへのインデックスがあって、更新履歴を見れば、今年2015年に至るまで何らかのコンテンツ更新を続けていることや、2014年にも導入報告の追記をしていることがわかるはず。また、ホワイトリストのページを見れば、今もホワイトリストファイルの頻繁な更新を続けていることがわかるはず。とはいえ、方式を説明するコンテンツが6年もバージョンアップされていないのに、様々に手口を進化させているであろうスパマーに今なお対抗できているとは、にわかには信じにくいのもわかる。
 ともあれ、もうすぐ6月26日で発表11周年を迎えるS25R方式に新たに注目してくれる人が今なお現れていると知ったのは嬉しい。

日曜日, 6月 21, 2015

スパムを送信したウクライナのサイトに通報

 6月19日の記事で、ウクライナのベビー用品会社のメールサーバと思われるmail.malysh.uaからのスパムアクセスがSpamCopでブロックされたが共有ブラックリストに掲載しなかったことを述べた。
 その後さらに
Jun 19 12:51:31
Jun 19 20:47:30
Jun 20 00:24:10
にもスパムアクセスがあった。6月20日(土)の早朝にたまたま目が覚めてしまった時に、同ホストからのスパムアクセスが続いていることに気付き、同社に通報することにした。
 www.malysh.uaのウェブを見たら、ウクライナ語でしか書かれていない。キリル文字の「Контакти」がcontactの意味だろうと推測してクリックしたら、移動先のページに「m***@malysh.ua」(m***はmalysh)というメールアドレスが書かれていたが、なぜか「m***@」と「malysh」と「.ua」に3分割されたリンクで、mailtoアンカーではないのでメーラーの送信メールがポップアップすることはなく、メッセージ入力フォームが現れるでもなかった。そこで、スパムアクセスの送信者アドレスだった「a***@malysh.ua」(a***はadmin)に宛てることにした。もちろん、スパムの送信元がmalysh.uaドメイン配下であることはパラノイド検査で確認されていることなので、アドレスをかたられた被害者に迷惑がかかるからやってはならないとされる「スパムへの返信」にはあたらない。

「こちらは日本のアマチュアのインターネットサイト管理者です。貴社のホストmail.malysh.uaが私のサイトへスパムを送ろうとしているようです。それはSpamCopにブラックリスト登録されています。一時的拒否に対するそれの挙動はまともなメールサーバのものではありません。侵害されている可能性があります。チェックしてください。」

 メールは正常に送信された。ウクライナの時刻は日本より6時間遅いので、向こうでは金曜の夜遅くである。ウクライナでも土日は休業なら、返事があるとすれば22日以降になるだろう。もし同社が意図的にスパムをばらまいたのだとすれば返事は来ないだろうが、私のメールを「スパムを送るな。バカたれ!」と解釈してくれるだろうから、それでよし。

(2015/06/27追記)
 結局、ウクライナ時刻の26日(金)の終業時刻まで営業日1週間、返事が来ることはなかった。同社が意図的にスパムをばらまいた可能性は否定できないが、その後同社からのスパムアクセスは来ていないので、もうどうでもいい。