今日(7月4日)、協力者から報告されて公開ブラックリストに掲載した項目に
/^(.+\.)?0mfx\.com$/ 450 spam ex-convict
というのがある。不審なホストのFQDNはCybill.0mfx.comとのことである。実は、そのIPアドレス115.159.74.217は、現時点で逆引きできない。だから一般規則で阻止でき、このブラックリスト項目にはまだ効果がない。これは予防措置として提案されたものである。これは一例である。
その方は、高い調査スキルをもって「このIPアドレスは怪しい。まだ逆引きできない(またはパラノイド検査エラーになる)が、DNS設定が整ったら突き抜けられる」などのように予見して、ローカルルールでブロックするということもしておられるそうである。それで実際、DNS設定が整った後で、スパムを受信することなくスパム送信ホストを釣り上げてただちに報告してくださったこともある。
その方のサイトのMTAはsendmailである。sendmailは、PTRレコードが引けたらその名前をログに表示し、パラノイド検査エラーになったら「(may be forged)」(偽造かもしれない)を付記する。Postfixは、PTRレコードが引けてもパラノイド検査エラーになったら逆引き名を「unknown」とするが、それに比べて、怪しそうなホストを名前で識別できるケースが増えるという点で、sendmailの流儀にメリットがあると言えそうである。Postfixもそのように仕様変更してほしいとまでは思わないが。
土曜日, 7月 04, 2015
木曜日, 7月 02, 2015
第三者中継チェックか?
第三者中継として拒否したアクセスがあった。
Jul 2 19:02:29 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
Jul 2 19:02:34 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
6月13日の記事で、第三者中継を目論むアクセスを何度もしてきているnairobi.pollmans.co.keを、ちゃんと第三者中継の禁止をしているサイトにとっては無害だがスパムの前科者としてブラックリストに載せたことを述べた。こいつは続けて2回も第三者中継のアクセスをしてきてやがる、失礼な奴だな、こいつもブラックリストに載せてやろうかと思った。
しかし、よく見ると宛先アドレスのユーザー名はtestである。送信者アドレスに私のドメインreto.jpを使っているのも無礼だなと一瞬思ったが、よく考えてみたら、送信者アドレスが自分のドメインだったら外への中継をしてしまうという間違った設定をしているメールサーバが世の中にあるので、そういう穴がないかどうかをチェックしているのかもしれない。
それにしても、第三者中継をしないことは1回のアクセスでわかるだろうに2回アクセスしたことと、自ドメインでなく無関係のgmail.comドメインを宛先にしたのは、私の価値観から言えばモラルにそぐわないと思うぞ。RCPTコマンドが受け付けられたらDATAコマンドまで送り込んで、受理されてしまうことまで確認するのかどうかはわからないが(それは見せかけの受理ということもありうるが)、もし第三者中継をしてしまうホストだったら、gmail.comへの無駄な送信アクセスを発生させるおそれがある。その無駄な送信アクセスを自ドメインで受けるというポリシーをはっきり見せているチェックアクセスなら、モラルにそぐわないなどと言うつもりはない。
Jul 2 19:02:29 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
Jul 2 19:02:34 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
6月13日の記事で、第三者中継を目論むアクセスを何度もしてきているnairobi.pollmans.co.keを、ちゃんと第三者中継の禁止をしているサイトにとっては無害だがスパムの前科者としてブラックリストに載せたことを述べた。こいつは続けて2回も第三者中継のアクセスをしてきてやがる、失礼な奴だな、こいつもブラックリストに載せてやろうかと思った。
しかし、よく見ると宛先アドレスのユーザー名はtestである。送信者アドレスに私のドメインreto.jpを使っているのも無礼だなと一瞬思ったが、よく考えてみたら、送信者アドレスが自分のドメインだったら外への中継をしてしまうという間違った設定をしているメールサーバが世の中にあるので、そういう穴がないかどうかをチェックしているのかもしれない。
それにしても、第三者中継をしないことは1回のアクセスでわかるだろうに2回アクセスしたことと、自ドメインでなく無関係のgmail.comドメインを宛先にしたのは、私の価値観から言えばモラルにそぐわないと思うぞ。RCPTコマンドが受け付けられたらDATAコマンドまで送り込んで、受理されてしまうことまで確認するのかどうかはわからないが(それは見せかけの受理ということもありうるが)、もし第三者中継をしてしまうホストだったら、gmail.comへの無駄な送信アクセスを発生させるおそれがある。その無駄な送信アクセスを自ドメインで受けるというポリシーをはっきり見せているチェックアクセスなら、モラルにそぐわないなどと言うつもりはない。
水曜日, 7月 01, 2015
怪しいホストが3匹釣れた
今日(7月1日)、公開ブラックリストに登録した項目のうち3件は私のサイトで見つかったものである(協力者からは16件も報告された)。この3件を見つけるに際して、スパムは一通も受信していない。見つかった順に示す(ファイル上での記載は逆順)。
# Jul 01, 2015: auchan.025552.com
/^(.+\.)?025552\.com$/ 450 spam ex-convict
「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字列で始まる」というローカルルールで検出した。
このドメインのウェブサイトはない。送信ドメインはyahoo.de。これにはSPFがないが、www.yahoo.deはde.yahoo.comにリダイレクトされるので、Yahooのドイツ法人であることは間違いない。だから、送信元がyahoo.comのSPFに合わない以上、送信者アドレスは偽造だと断定してよいだろう。また、一時的受信拒否に対して再送信はなかった。これらにより、怪しさ確定。
私のローカルルールはすべてのS25R利用サイトに勧められるものではないが、自分のリスク負担でこれを使うことによって、すべてのS25R利用サイトに勧められるブラックリスト項目をこうして釣り上げることができる。
# Jul 01, 2015: yimiao.kongqingbao.com
/^(.+\.)?kongqingbao\.com$/ 450 spam ex-convict
body_checksで「Contact: ***@sina.com」が引っかかった。このドメインのウェブサイトはない。送信ドメインはやはりyahoo.deだった。
もしこの内容チェックが偽陽性判定だとしたら、「こういうスパムが来て困ってるんですけど」という相談メールということがありうる。もしそうなら、送信者は善良そうな人だということは送信者アドレスから見当が付くだろう。そうなったらこちらからメールを送って連絡をとればよい。組織サイトにはあまり勧められない内容チェックだが、個人サイトの私ならそういうリスクマネジメントができる。
# Jul 01, 2015: hal9000.okrutny.net
/^(.+\.)?okrutny\.net$/ 450 spam ex-convict
宛先のユーザー名がotori4というおとりのアドレスだった。ホームページに仕掛けた見えないmailtoアンカーに釣られたものである。送信ドメインは著名なaol.com。もちろんそのSPFに送信元が整合するはずもない。www.okrutny.netのウェブページは現れ、連絡先として電話番号は書かれているが、どういうビジネスのサイトなのかがわかる説明はない。「黒」確定。
なお、おとりのアドレスは、2003年からホームページに見えないmailtoアンカーで仕掛けたのがotori1だった。その後、スパムの送信停止受付サイトにわざと書き込んでみたのがotori2とotori3だった。これにも引っかかったスパマーがいた。otori1はしばらくやめていたのだが、昨年、スパムアクセスが非常に少なくなったことから、「これから釣れるのはどのくらいになるだろうか」と思って、再びホームページに仕掛けていたのがotori4である。
# Jul 01, 2015: auchan.025552.com
/^(.+\.)?025552\.com$/ 450 spam ex-convict
「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字列で始まる」というローカルルールで検出した。
このドメインのウェブサイトはない。送信ドメインはyahoo.de。これにはSPFがないが、www.yahoo.deはde.yahoo.comにリダイレクトされるので、Yahooのドイツ法人であることは間違いない。だから、送信元がyahoo.comのSPFに合わない以上、送信者アドレスは偽造だと断定してよいだろう。また、一時的受信拒否に対して再送信はなかった。これらにより、怪しさ確定。
私のローカルルールはすべてのS25R利用サイトに勧められるものではないが、自分のリスク負担でこれを使うことによって、すべてのS25R利用サイトに勧められるブラックリスト項目をこうして釣り上げることができる。
# Jul 01, 2015: yimiao.kongqingbao.com
/^(.+\.)?kongqingbao\.com$/ 450 spam ex-convict
body_checksで「Contact: ***@sina.com」が引っかかった。このドメインのウェブサイトはない。送信ドメインはやはりyahoo.deだった。
もしこの内容チェックが偽陽性判定だとしたら、「こういうスパムが来て困ってるんですけど」という相談メールということがありうる。もしそうなら、送信者は善良そうな人だということは送信者アドレスから見当が付くだろう。そうなったらこちらからメールを送って連絡をとればよい。組織サイトにはあまり勧められない内容チェックだが、個人サイトの私ならそういうリスクマネジメントができる。
# Jul 01, 2015: hal9000.okrutny.net
/^(.+\.)?okrutny\.net$/ 450 spam ex-convict
宛先のユーザー名がotori4というおとりのアドレスだった。ホームページに仕掛けた見えないmailtoアンカーに釣られたものである。送信ドメインは著名なaol.com。もちろんそのSPFに送信元が整合するはずもない。www.okrutny.netのウェブページは現れ、連絡先として電話番号は書かれているが、どういうビジネスのサイトなのかがわかる説明はない。「黒」確定。
なお、おとりのアドレスは、2003年からホームページに見えないmailtoアンカーで仕掛けたのがotori1だった。その後、スパムの送信停止受付サイトにわざと書き込んでみたのがotori2とotori3だった。これにも引っかかったスパマーがいた。otori1はしばらくやめていたのだが、昨年、スパムアクセスが非常に少なくなったことから、「これから釣れるのはどのくらいになるだろうか」と思って、再びホームページに仕掛けていたのがotori4である。
公開ブラックリストのポリシーを少し修正
公開ブラックリストのポリシーを少し修正した。下線部分が変更点である。
まだスパムの前科のないドメインまで疑わしいと判断してブラックリストに掲載するというポリシーは、私には運用が困難だという考えから、今まで明文化していなかった。しかし、いつも協力してくださっている方が、高い調査スキルを駆使して、そういう疑わしいドメインも報告してくださっている。そこで、そのような貢献を受け入れるというポリシーを明文化する意味で、上記のように修正した。
スパムを送信したことがあり(そのスパムが受信されてしまったかどうかにかかわらず)、かつ以下のいずれかの条件を満たすホストまたはドメインをブラックリストに掲載します。
|
まだスパムの前科のないドメインまで疑わしいと判断してブラックリストに掲載するというポリシーは、私には運用が困難だという考えから、今まで明文化していなかった。しかし、いつも協力してくださっている方が、高い調査スキルを駆使して、そういう疑わしいドメインも報告してくださっている。そこで、そのような貢献を受け入れるというポリシーを明文化する意味で、上記のように修正した。
登録:
投稿 (Atom)