SPAMメール対策どうしてる?
メールアドレス辞書攻撃
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
>>184
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。 >>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0〜55なのか どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね) iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
>>190
そうだよ。
絞る前は、300 connection とかあった。 >>191 >184 207.044.128.0/17
ビンゴだねw
8月の頭からきてるってことだな >>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。 >>193
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。 辞書攻撃の SPAM その後
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!! >>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね >>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。 >>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね? >>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。 >>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ?
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの? >>200
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある? >>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ >>202
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。 MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。 死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。 spamassasin使ってる人に質問
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
スパムアサシンとprocmail使って消してる。
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?
i'm fine good work <a href=" http://urbania4.org ">amitriptyline price uk</a> Present Patient Care Presentation >>213
それ以外に特に制約条件が無いなら技術的には可能。 分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。 >>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。 えっちぃ絵をリクエストすると誰かが描いてくれるかもしれない素敵なスレ【R-18】
http://hayabusa.o p e n 2ch.net/test/read.cgi/news4vip/1423739321/ 特定の大型顧客の過去案件が件名になってるspamがくるんだけど、その客先のサーバーがhackされたんですかね?
送信者もその案件の関係者騙ってるけど、メールアドレスは全然別物です
その客先以外の案件は騙ってこないので、うちからの流出は考えづらいのですが 最近のSPAM、dkimとdmarcが最初から付いてない DMARC採用するにはDKIM必須ですか?
SPFだけじゃダメ? p.s.
受信するだけなら SPF のみでもおっけーだけどそういう話じゃないよね? DKIMないと
なりすましされたことが
レポートでわかるくらい? レンタルサーバだからDKIM無理だけど、
DMARC付けておいた方が良いとかありますか? DKIM無理なレンタルサーバからDKIM使えるレンタルサーバに移転すべき時期 SPFレコード書くとき、
サブドメインがあるときは、
サブドメインのTXTレコードにも書く必要ありますか? >>229
両方必要@とサブドメインにそれぞれ設定
中継サーバーがあればそれらもインクルード 使っている(レンタル)サーバはdmarcに対応してないです。
SPFだけ。
それでも_dmarcサブドメイン作って置いた方が良いのでしょうか? >>232
作っちゃダメです
サーバーが対応していないのにレコードを作ってしまうとhardfailになります SPF
DKIM
DMARC
でスパム迷惑メール撲滅できるの?
現在はSPFしか設定してないけど、手間の割には撲滅できないなら導入止めようと思うんだけど。
どうですか? DKIM&DMARC対応スパムもあるから完全には無理かな。うちでは Postfix で逆引きできないホストを全部弾く方がスパム避けになってる。 >>234
結構減る
あと「お前のPCハクした。お前が見てたエロ動画とお前の4545のマッシュアップ動画作った
連絡先に動画を送信されたくなければBTC払え」は完全に来なくなる
手間はワンタイムで効果は継続だから導入の一択でしょ >>236
>結構減る
>完全に来なくなる
どっちだよ。
完全に無くなるというのは、なぜ言い切れるの? >>234
> Postfix で逆引きできないホストを全部弾く方
以前はそれやっていたけど、ここ10年くらいから逆引きできない国内鯖増えてきたから止めたんだよね。
メルマガ系でもトラブル多くなったし。
現在は https://ipv4.fetus.jp/からwgetで取得し、cn, hk, kr, kp, ru, irを弾くだけで98%はOK。
さらにSPF,DKIM,DMARC で弾けるならうれしいが。 >>238
BTC恐喝はターゲット、つまり俺自身のメアドで送信してくるよね
だから自ドメインのSPFやDKIM導入でhardfailにでき、完全に阻止できる
一方、SPF/DKIM/DMARC設定済みドメインで送信されるspamもあるから、こっちは完全じゃない >>239
あー、確かに。最近はメールをあんまし使わなくなったのでホワイトリスト手動更新でなんとか対応できてるけど。
IPv6なアドレスもちらほらあったりするからやめ時かな。 test@hostxbay.com
このアドレスがらみのアクセスどうにか出来ないかねえ… GoogleがDNSにDMARCレコードのないドメインからのメールを受け取らなくなるというのは本当ですか? 一斉メール配信サービスはDKIM対応、WEBArenaメールホスティングはDKIM非対応の混在環境の場合、DMARCは設定すべきでないと思っておりますが皆さんの意見をお聞きしたいです。
因みにAIのコパイロットはすべきでない、人間のサポートは設定しても問題ないと答えています。
ドメインは両サービスとも同じです。
たすけてください。