土曜日, 9月 16, 2006

ブラックリスト

 前回(9月15日)の記事で述べたように、2006年7月には、宛先の正しい不正メールの送信元で阻止されたのは297個であった。そのうち1個は送信者ドメインの実在の検査に引っかかり、一般規則に引っかかったものは281個であった。残りの15個はブラックリストで阻止されたもので、次のとおりである。

abcm136.neoplus.adsl.tpnet.pl [83.6.228.136]
abem128.neoplus.adsl.tpnet.pl [83.7.24.128]
abmf241.neoplus.adsl.tpnet.pl [83.7.225.241]
abty159.neoplus.adsl.tpnet.pl [83.8.170.159]
aeb234.internetdsl.tpnet.pl [83.16.105.234]
aiz151.neoplus.adsl.tpnet.pl [83.25.233.151]
boo89.neoplus.adsl.tpnet.pl [83.29.30.89]
dao137.neoplus.adsl.tpnet.pl [83.23.14.137]
dtf110.neoplus.adsl.tpnet.pl [83.24.243.110]
dtm234.neoplus.adsl.tpnet.pl [83.24.250.234]
dvn234.internetdsl.tpnet.pl [83.19.251.234]
edw31.neoplus.adsl.tpnet.pl [83.21.8.31]
xdsl-334.jgora.dialog.net.pl [81.168.149.78]
xdsl-5141.lodz.dialog.net.pl [87.105.80.21]
xdsl-9532.wroclaw.dialog.net.pl [84.40.234.60]

 ご覧のように、ドメインは二つだけである。一般規則だけによる阻止率は92.1%だったが、たった二つのブラックリスト項目が阻止率を97.0%にまで引き上げていたのである(あと0.4%は送信者ドメインの実在の検査による)。
 マークしておくべきドメインはもう一つある。

user-0cetsi8.cable.mindspring.com [24.238.242.72]

このドメインからの不正メールアクセスのうち、宛先が正しかったのはこの1件だけで、一般規則のルール1に引っかかっていた。しかし、「user-」の後の7個の英数字は番号を符号化したものと思われ、一続きで4桁以下の数字列しか含まれなくて一般規則をすり抜けることが時々ある。おそらく、一般規則をすり抜ける割合は、8桁の十六進番号よりも高い。しかも、このドメインは不正メール発信の常連である。
 そういうわけで、ブラックリストに次の3件は最低限登録しておくことをお奨めする。

/\.(internetdsl|adsl|sdi)\.tpnet\.pl$/ 450 domain UCE-blacklisted
/^xdsl.+\.dialog\.net\.pl$/ 450 domain UCE-blacklisted
/^user.+\.mindspring\.com$/ 450 domain UCE-blacklisted

 これらのうち、tpnet.plとmindspring.comは論文に示した設定ファイルの内容に含まれているが、dialog.net.plは最近見つけたもので、含まれていない。
 なお、dialog.net.plを引っかけるには、一般規則のルール6を

/^(dhcp|dialup|ppp|adsl|xdsl)[^.]*[0-9]/ 450 may not be mail exchanger

と直してもよい。

0 件のコメント: