5月1日の記事で紹介した
/^(.+\.)?[0-9]{5}[^.]*\.(com|net)$/ 450 domain check, be patient
という拒否条件は、「トップレベルドメインがcomかnetで、サイトドメイン名は5桁以上連続する数字列で始まる」という条件である。これに引っかかるホストは、すでに着信してしまったものと阻止に成功したものとを併せて、これだけある。
coco.27838.net [103.1.149.180]
july.7819888.com [104.171.113.11]
rain.828873.com [162.244.79.167]
west.488859.com [107.179.86.53]
yamoy.9001888.com [178.251.230.21]
gonna.135328.com [198.144.181.6]
alone.000086.net [69.12.83.148]
dove.150686.com [89.35.134.136]
けっこうよく効く拒否条件のようである。
惜しくもこれに引っかからないものには
pizza.89mt.com [216.107.147.253]
chu.0530ok.com [192.254.79.254]
があったが、サイトドメイン名の数字列の条件を「5桁以上」よりも短くすることまではしていない。
それと、3qbo.netというドメインは見るからに怪しいとまでは言えないが、mta3.3qbo.netやmta44.3qbo.netなど配下の多くのホストから<otori1@gabacho-net.jp>というおとりのアドレス(2003年にスパムの研究のためにホームページに仕掛けたもので、とっくにuser unknownになるようにしている)に宛てて何度もスパムアクセスがある。まともなウェブサイトが組まれていないようだということもあるし、怪しいドメインかな?
ランダムっぽい6文字の英字.com も、はやりのようです。
返信削除コメント(#)は、whois情報。
以下は、いわゆる、お馴染みさんの例です。(同じ登録者で複数のドメイン)
いずれも、milter-greylist の数十分の再送要求期間を突破してきたものです。
逆引きが設定されていることは少ないですが、helo または エンベロープfrom で、ブロックすることができます。
# Lloyd, David ( Coxsackie NY, US )
/\.wbecse\.com$/
/\.gqxbut\.com$/
/\.nstjss\.com$/
# Ruiz, Aaron ( San Gabriel CA, US )
/\.svjpjp\.com$/
/\.dbdwdt\.com$/
# Robertson, Anna ( Auburn WA, US )
/\.tstdmt\.com$/
/\.xnqsad\.com$/
# Ray, Brian ( Queensbury NY, US )
/\.tfsmdk\.com$/
/\.rnjqdm\.com$/
/\.uuhwxd\.com$/
# Sun, Yingting ( Gangtang Hubeisheng, CN )
/\.anfpsk\.com$/
/\.kfkayj\.com$/
/\.picqym\.com$/
/\.qixjsf\.com$/
/\.typlej\.com$/
6文字の英字.com 以外のお馴染みさんの例は、
# Marius Mica ( Bucuresti, RO )
/\.debita\.info$/
/\.sockinga\.info$/
/\.bristlesa\.info$/
/\.shutteremail\.info$/
# Sam Lin ( Shenzhen GD, CN )
/\.summerglasses\.info$/
/\.supsunglass\.info$/
これ以外にも沢山ありますが、きりがないので、サンプルとして。
情報ありがとうございます。
返信削除ランダムっぽい英字の並びというのは、「サイトドメイン名が5桁以上の数字列で始まる」という具合に怪しさを定式化するのが難しいので困りますね。S25Rでブロックするにはブラックリストが肥大化しそうです。私はグレイリスティングを使っていなくて手動許可をしているので、突き抜けられることは少ないのですが。
送信者アドレスは阻止条件としてほぼ使い物になりませんが、「@yandex.com」はけっこうあるので、この阻止条件は先日設定したところです。