火曜日, 7月 17, 2007

またもやリトライするスパム

 2006年7月ころには、約5分間隔で5回トライするスパムアクセスがけっこうあった(2006年7月31日「手動ホワイトリスティングの利点」)。最初のアクセスから最後のアクセスまではたいてい23分未満なので、Rgreyではpostgreyの起動オプションを「--delay=1500」と指定することによって、25分未満のリトライを阻止できるだろうと述べた(2006年8月28日「リトライするスパムをRgreyで蹴る」)。しかし、2006年12月にはそのようなスパムは見かけなくなった(2006年12月4日「リトライするスパムが減った」)。
 ところが、今日(7月17日)、新たなパターンのリトライするスパムアクセスが見つかった。

Jul 17 11:15:41 cpe-024-167-187-239.triad.res.rr.com [24.167.187.239]
Jul 17 11:25:48 cpe-024-167-187-239.triad.res.rr.com [24.167.187.239]
Jul 17 11:35:58 cpe-024-167-187-239.triad.res.rr.com [24.167.187.239]

Jul 17 12:15:58 dsl-244-237-47.telkomadsl.co.za [41.244.237.47]
Jul 17 12:26:06 dsl-244-237-47.telkomadsl.co.za [41.244.237.47]
Jul 17 12:36:13 dsl-244-237-47.telkomadsl.co.za [41.244.237.47]

 約10分間隔で3回トライしている。この2組のリトライは同じパターンである。新たなボットかもしれない。
 なお、ここでは表示を省略しているが、HELOアドレスはクライアントの逆引き名と同じである。
 このようなリトライするスパムアクセスが今後増えるかどうかはわからない。今のところ、最初のアクセスから最後のアクセスまでは21分未満である。もしこのようなのが増えたら、また「--delay=1500」を設定した方がよいかもしれない。
 私がホワイトリスティングの自動化をしていないのは、めんどくさがり屋なのと、メールトラフィックが少ない個人サイトなのであまり必要を感じないからだが、このようなスパムアクセスを見つけて皆さんに報告できるというメリットもある。

0 件のコメント: