土曜日, 7月 04, 2015

まだ一般規則で阻止できるホストの予防的ブラックリスト登録

 今日(7月4日)、協力者から報告されて公開ブラックリストに掲載した項目に

/^(.+\.)?0mfx\.com$/ 450 spam ex-convict

というのがある。不審なホストのFQDNはCybill.0mfx.comとのことである。実は、そのIPアドレス115.159.74.217は、現時点で逆引きできない。だから一般規則で阻止でき、このブラックリスト項目にはまだ効果がない。これは予防措置として提案されたものである。これは一例である。
 その方は、高い調査スキルをもって「このIPアドレスは怪しい。まだ逆引きできない(またはパラノイド検査エラーになる)が、DNS設定が整ったら突き抜けられる」などのように予見して、ローカルルールでブロックするということもしておられるそうである。それで実際、DNS設定が整った後で、スパムを受信することなくスパム送信ホストを釣り上げてただちに報告してくださったこともある。

 その方のサイトのMTAはsendmailである。sendmailは、PTRレコードが引けたらその名前をログに表示し、パラノイド検査エラーになったら「(may be forged)」(偽造かもしれない)を付記する。Postfixは、PTRレコードが引けてもパラノイド検査エラーになったら逆引き名を「unknown」とするが、それに比べて、怪しそうなホストを名前で識別できるケースが増えるという点で、sendmailの流儀にメリットがあると言えそうである。Postfixもそのように仕様変更してほしいとまでは思わないが。

2 件のコメント:

匿名 さんのコメント...

昨日から、スパムアクセスらしきアクセスを受けています。
逆引きが設定されていますが、逆引き名が正引きでず、
wgtmkt.com のドメイン登録状況も、whois では、未登録です。

しかし、wgtmkt.com は、ドメインの期限切れ直後なら、whois では、
"PENDING DELETE" のようなステータスになりそうに思えます。
お名前.com で、調べると、「空き」ですが、完全な「空き」ではないようで、
「登録できる可能性があります。 ※クレジットカード決済のみ」というマークです。
誰かが、登録しようとしていて、登録料入金待ちのような状態かもしれません。

もし、この数日の間で、登録して利用開始しようとしているならば、
wgtmkt.com の正引き側が有効になったら、S25Rのルールに該当しませんので、
一発受信することになります。

7/3 07:16 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 07:36 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 07:56 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 08:16 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 08:36 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 08:56 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 09:16 : macro _ = mx02.wgtmkt.com [63.223.86.2] (may be forged)
7/3 15:43 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 16:07 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 16:27 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 16:47 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 17:07 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 17:27 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 17:47 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/3 18:07 : macro _ = mx06.wgtmkt.com [63.223.86.6] (may be forged)
7/4 03:19 : macro _ = mx07.wgtmkt.com [63.223.86.7] (may be forged)
7/4 03:39 : macro _ = mx07.wgtmkt.com [63.223.86.7] (may be forged)
7/4 03:59 : macro _ = mx07.wgtmkt.com [63.223.86.7] (may be forged)
7/4 04:19 : macro _ = mx07.wgtmkt.com [63.223.86.7] (may be forged)
7/4 09:25 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 09:45 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 10:05 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 10:25 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 10:45 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 11:05 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 11:25 : macro _ = mx08.wgtmkt.com [63.223.86.8] (may be forged)
7/4 18:53 : macro _ = mx09.wgtmkt.com [63.223.86.9] (may be forged)

注:macro _ は、下記と同様です。
NOQUEUE: connect from mx09.wgtmkt.com [63.223.86.9] (may be forged)

deo さんのコメント...

いつもご協力ありがとうございます。
IPアドレスと逆引きゾーンは確保しているが、ドメインはこれからちゃんと取るというステータスにある可能性があるということですね。事前にそこまで見抜かれて、S25Rを破れるはずのスパムがS25R利用サイトで初めからブロックされることになれば、スパマーは形無しですね。