日曜日, 6月 21, 2015

ブラックリスト掲載基準の見直し

 共有ブラックリストの試行運用に協力してくださっている方から、blackhole2.hknet.comおよびblackhole4.hknet.comから何度もスパムアクセスがあるとの情報をいただいた。www.hknet.comにアクセスするとまともなウェブが現れるが、それらのホストの挙動の悪質さを聞き、また、ホスト名を構成するblackholeという語の怪しさから、特例のつもりで

/^blackhole.*\.hknet\.com$/ 450 spam ex-convict

と掲載した。
 その後、その方からの追加のメールで、hknet.comは香港にあるNTTコミュニケーションズ・グループのネットワークサービス会社であることを知り、改めてウェブを見て確認した。hknet.comドメイン配下のホストを顧客がスパム送信に悪用していると推測される。
 そこで、共有ブラックリストへの掲載基準を以下のように見直した。

スパム送信(着信に成功したものに限らない)の前科があるホストであって、以下のいずれかに該当するもの。
  • 「http://www.ドメイン名/」または「http://ドメイン名/」のウェブサイトがない。
  • ウェブサイトがあっても、そのドメイン固有のまともなビジネスについての情報が掲示されていない。
  • まともなビジネスのドメインであっても、顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービスである(スパム送信元はその事業者のコントロール下にあるメールサーバでないこと)。
 なお、「顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービス」とは、ボットに感染するリスクのあるエンドユーザーコンピュータを収容するISPも含むものとする。そのようなエンドユーザーコンピュータはS25Rの一般規則でほとんど阻止でき、阻止できない逆引き名を使っているドメインからのスパムアクセスはほとんど来なくなってしまったが、もしS25Rで阻止できないエンドユーザー回線の逆引き名を使っているISPが新たに見つかったら、共有ブラックリスト(本格運用後の公開ブラックリスト)に載せることになる。
 また、S25Rの一般規則を使わない代わりとするブラックリストを検討していた頃の2010年11月3日の記事で、ウクライナのvolia.netの配下の、S25Rに引っかからない多くのホストからスパムアクセスがあったことを述べた(私はローカルのブラックリストでvolia.netをまるごと一時的受信拒否の対象としている)。www.volia.netにウェブアクセスするとwww.volia.com/ukr/にリダイレクトされ、翻訳にかけてみると、ネットワークサービスの会社とわかる。そこで、今後volia.net配下のホストからのスパムアクセスを私が発見したか協力者から通報された時には、上記3点目の条件に基づいてホストごとの一時的受信拒否条件を共有ブラックリストに掲載することになる。

0 件のコメント: