水曜日, 6月 03, 2015

ランダムな英字のサイトドメイン名

 5月25日「数字で始まるサイトドメイン名――今までに見つかったもの」に対して、匿名さんからコメントをいただいた。

ランダムっぽい6文字の英字.com も、はやりのようです。
コメント(#)は、whois情報。
以下は、いわゆる、お馴染みさんの例です。(同じ登録者で複数のドメイン)
いずれも、milter-greylist の数十分の再送要求期間を突破してきたものです。
逆引きが設定されていることは少ないですが、helo または エンベロープfrom で、ブロックすることができます。

# Lloyd, David ( Coxsackie NY, US )
/\.wbecse\.com$/
/\.gqxbut\.com$/
/\.nstjss\.com$/

# Ruiz, Aaron ( San Gabriel CA, US )
/\.svjpjp\.com$/
/\.dbdwdt\.com$/

# Robertson, Anna ( Auburn WA, US )
/\.tstdmt\.com$/
/\.xnqsad\.com$/

# Ray, Brian ( Queensbury NY, US )
/\.tfsmdk\.com$/
/\.rnjqdm\.com$/
/\.uuhwxd\.com$/

# Sun, Yingting ( Gangtang Hubeisheng, CN )
/\.anfpsk\.com$/
/\.kfkayj\.com$/
/\.picqym\.com$/
/\.qixjsf\.com$/
/\.typlej\.com$/

6文字の英字.com 以外のお馴染みさんの例は、

# Marius Mica ( Bucuresti, RO )
/\.debita\.info$/
/\.sockinga\.info$/
/\.bristlesa\.info$/
/\.shutteremail\.info$/

# Sam Lin ( Shenzhen GD, CN )
/\.summerglasses\.info$/
/\.supsunglass\.info$/

これ以外にも沢山ありますが、きりがないので、サンプルとして。

 貴重な情報に感謝したい。
 「5桁以上連続する数字で始まるサイトドメイン名」という条件は怪しさを定式化できたものだが、「ランダムっぽい英字列」は定式化しにくい。スパマーがスパム送信のために取得したドメインで、怪しさの定式化に合致しないものは、一つ一つブラックリストに載せるしかないだろう。その情報を皆で提供し合ってS25R導入サイトで共有できるようにしようとの気運が盛り上がれば、私が公開ホワイトリストと同様にそのまとめ役をしてもよいと思っている。

 ちなみに、私のサイトで発見した、数字で始まるサイトドメイン名のスパム送信ホストとしては、冒頭でリンクした5月25日の記事で紹介したものに加えて、その後さらに以下が見つかっている。

subway.88881122.com [181.214.50.111]
maidong.20962.net [199.119.206.105]
white.91yuepao.com [192.99.193.104] *
martyi.10001688.com [192.99.193.103]

(*は「5桁以上連続する数字で始まる」という条件には引っかからなかったもの。ヘッダチェックでブロックしていた。)

0 件のコメント: