前回、サブジェクトの拒否条件を紹介した。header_checksに設定している条件は次のとおり。
/Subject: .*(photo|image|pic|picture)s? +(retouching|editing|clipping|cut ?out)/ REJECT
これでまた成果があった。日付、送信元ホスト、サブジェクトを示す。
2015/04/29 beijing.china-fxcm.com "pics editing solutions"
これの前の4月9日に着信したスパムのサブジェクトは「need pics retouching?」だったのだが、さらに語を変えてきたのをうまく撃退できた。
それと、4月16日に「need email marketing?」というサブジェクトのスパムがpizza.89mt.comから着信したので、header_checksに
/Subject: .*email +marketing/ REJECT
を加えておいたら、4月20日に「email marketing」というサブジェクトのスパム(送信元はkim.dq95.com)をブロックできた。その後、「email」を「e-mail」と変えてきてもブロックできるように、
/Subject: .*e-?mail +marketing/ REJECT
と変更している。
数字だけのサイトドメイン名に対する警戒策の成果は、その後2件あった。拒絶ログソーティングスクリプトの表示形式で示す。いずれもリトライはなかった。
Apr 21 23:52:10 C yamoy.9001888.com [178.251.230.21] from=<***@mail.com> to=<***@gabacho-net.jp> helo=<yamoy.9001888.com>
Apr 23 19:36:16 C gonna.135328.com [198.144.181.6] from=<***@mail.com> to=<***@gabacho-net.jp> helo=<gonna.135328.com>
その後、拒否条件を次のように変更している。
/\.[0-9]+\.(com|net)$/ 450 domain check, be patient
↓
/^(.+\.)?[0-9]{5}[^.]*\.(com|net)$/ 450 domain check, be patient
理由は、ニッポン放送の1242.comのような真っ当なドメインはあるが(これはメール用であって逆引き名には使われていないかもしれないけれども)、スパムを送ってきた数字だけのサイトドメイン名はいずれも数字5桁以上であること、サイトドメイン名が数字で始まって数字が5桁以上続いたら、あとは英字が含まれていても不自然な名前として警戒してよいだろうと考えたこと、それと、末端ホスト名が省略された逆引き名であっても引っかけようと考えたからである。
0 件のコメント:
コメントを投稿