海外から多くの広告らしきものが来るし、
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。
SPAMメール対策どうしてる?
1.
04/04/29 13:14ID:???196DNS未登録さん
2009/09/23(水) 21:51:53ID:???197DNS未登録さん
2009/09/23(水) 23:33:21ID:??? >>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
198DNS未登録さん
2009/09/24(木) 01:51:00ID:??? >>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
199DNS未登録さん
2009/09/24(木) 12:51:48ID:??? >>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
200DNS未登録さん
2009/09/25(金) 11:36:38ID:???201DNS未登録さん
2009/09/25(金) 16:58:00ID:??? >>200
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
202DNS未登録さん
2009/09/25(金) 18:18:24ID:??? >>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
203DNS未登録さん
2009/09/25(金) 19:09:42ID:??? >>202
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
204DNS未登録さん
2009/09/28(月) 12:07:27ID:??? MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
205DNS未登録さん
2010/02/08(月) 06:44:40ID:??? スパマーを死刑にする法律が欲しいね。
206DNS未登録さん
2010/02/08(月) 21:31:15ID:??? 死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
207DNS未登録さん
2010/03/31(水) 14:18:42ID:??? spamassasin使ってる人に質問
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
208DNS未登録さん
2010/04/20(火) 10:33:17ID:???209DNS未登録さん
2010/05/26(水) 17:42:38ID:??? スパムアサシンとprocmail使って消してる。
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
210DNS未登録さん
2010/07/24(土) 15:21:48ID:bRJf63A3 http://ameblo.jp/methodimporteleven/
こいつがハックしてるらしいよ。
こいつがハックしてるらしいよ。
211DNS未登録さん
2010/09/13(月) 22:40:33ID:??? びよよーん
212DNS未登録さん
2010/10/20(水) 10:17:49ID:??? グロ注意
213DNS未登録さん
2012/10/21(日) 04:07:01.46ID:??? メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?
受け取って各メールボックスに配送することはできますか?
214NY
2012/11/18(日) 13:55:32.38ID:??? i'm fine good work <a href=" http://urbania4.org ">amitriptyline price uk</a> Present Patient Care Presentation
216DNS未登録さん
2014/01/24(金) 13:50:20.90ID:wAkYRW9/ 分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。
217DNS未登録さん
2014/01/25(土) 21:50:51.49ID:??? SMTP認証のパスワード破られたんじゃないの?
218DNS未登録さん
2014/01/26(日) 11:25:06.67ID:??? >>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。
219DNS未登録さん
2015/02/21(土) 13:16:18.07ID:??? えっちぃ絵をリクエストすると誰かが描いてくれるかもしれない素敵なスレ【R-18】
http://hayabusa.o p e n 2ch.net/test/read.cgi/news4vip/1423739321/
http://hayabusa.o p e n 2ch.net/test/read.cgi/news4vip/1423739321/
220DNS未登録さん
2019/05/27(月) 17:15:14.45ID:??? .
221DNS未登録さん
2021/02/01(月) 08:27:53.87ID:??? 特定の大型顧客の過去案件が件名になってるspamがくるんだけど、その客先のサーバーがhackされたんですかね?
送信者もその案件の関係者騙ってるけど、メールアドレスは全然別物です
その客先以外の案件は騙ってこないので、うちからの流出は考えづらいのですが
送信者もその案件の関係者騙ってるけど、メールアドレスは全然別物です
その客先以外の案件は騙ってこないので、うちからの流出は考えづらいのですが
222DNS未登録さん
2021/04/18(日) 02:32:08.04ID:??? 最近のSPAM、dkimとdmarcが最初から付いてない
223DNS未登録さん
2021/10/31(日) 19:20:52.18ID:v+45pRLv DMARC採用するにはDKIM必須ですか?
SPFだけじゃダメ?
SPFだけじゃダメ?
225DNS未登録さん
2021/11/01(月) 19:02:13.02ID:??? p.s.
受信するだけなら SPF のみでもおっけーだけどそういう話じゃないよね?
受信するだけなら SPF のみでもおっけーだけどそういう話じゃないよね?
226DNS未登録さん
2021/11/01(月) 22:45:25.78ID:R3QifBUx DKIMないと
なりすましされたことが
レポートでわかるくらい?
なりすましされたことが
レポートでわかるくらい?
227DNS未登録さん
2021/11/24(水) 22:03:21.89ID:1KpZtuhL レンタルサーバだからDKIM無理だけど、
DMARC付けておいた方が良いとかありますか?
DMARC付けておいた方が良いとかありますか?
228DNS未登録さん
2021/11/25(木) 01:10:32.32ID:??? DKIM無理なレンタルサーバからDKIM使えるレンタルサーバに移転すべき時期
229DNS未登録さん
2022/03/10(木) 14:03:57.04ID:xRvv3ANh SPFレコード書くとき、
サブドメインがあるときは、
サブドメインのTXTレコードにも書く必要ありますか?
サブドメインがあるときは、
サブドメインのTXTレコードにも書く必要ありますか?
231DNS未登録さん
2022/03/12(土) 03:12:24.26ID:??? 中継あるなら中継だけ書けばええやろ
232DNS未登録さん
2022/05/16(月) 15:32:02.87ID:srGYMfqa 使っている(レンタル)サーバはdmarcに対応してないです。
SPFだけ。
それでも_dmarcサブドメイン作って置いた方が良いのでしょうか?
SPFだけ。
それでも_dmarcサブドメイン作って置いた方が良いのでしょうか?
234DNS未登録さん
2022/12/06(火) 16:10:07.86ID:??? SPF
DKIM
DMARC
でスパム迷惑メール撲滅できるの?
現在はSPFしか設定してないけど、手間の割には撲滅できないなら導入止めようと思うんだけど。
どうですか?
DKIM
DMARC
でスパム迷惑メール撲滅できるの?
現在はSPFしか設定してないけど、手間の割には撲滅できないなら導入止めようと思うんだけど。
どうですか?
235DNS未登録さん
2022/12/07(水) 03:44:37.02ID:??? DKIM&DMARC対応スパムもあるから完全には無理かな。うちでは Postfix で逆引きできないホストを全部弾く方がスパム避けになってる。
236DNS未登録さん
2022/12/07(水) 06:29:03.92ID:??? >>234
結構減る
あと「お前のPCハクした。お前が見てたエロ動画とお前の4545のマッシュアップ動画作った
連絡先に動画を送信されたくなければBTC払え」は完全に来なくなる
手間はワンタイムで効果は継続だから導入の一択でしょ
結構減る
あと「お前のPCハクした。お前が見てたエロ動画とお前の4545のマッシュアップ動画作った
連絡先に動画を送信されたくなければBTC払え」は完全に来なくなる
手間はワンタイムで効果は継続だから導入の一択でしょ
238234です
2022/12/07(水) 12:02:14.59ID:/FgkBZqB239234です
2022/12/07(水) 12:18:09.37ID:??? >>234
> Postfix で逆引きできないホストを全部弾く方
以前はそれやっていたけど、ここ10年くらいから逆引きできない国内鯖増えてきたから止めたんだよね。
メルマガ系でもトラブル多くなったし。
現在は https://ipv4.fetus.jp/からwgetで取得し、cn, hk, kr, kp, ru, irを弾くだけで98%はOK。
さらにSPF,DKIM,DMARC で弾けるならうれしいが。
> Postfix で逆引きできないホストを全部弾く方
以前はそれやっていたけど、ここ10年くらいから逆引きできない国内鯖増えてきたから止めたんだよね。
メルマガ系でもトラブル多くなったし。
現在は https://ipv4.fetus.jp/からwgetで取得し、cn, hk, kr, kp, ru, irを弾くだけで98%はOK。
さらにSPF,DKIM,DMARC で弾けるならうれしいが。
240DNS未登録さん
2022/12/07(水) 17:45:25.58ID:??? >>238
BTC恐喝はターゲット、つまり俺自身のメアドで送信してくるよね
だから自ドメインのSPFやDKIM導入でhardfailにでき、完全に阻止できる
一方、SPF/DKIM/DMARC設定済みドメインで送信されるspamもあるから、こっちは完全じゃない
BTC恐喝はターゲット、つまり俺自身のメアドで送信してくるよね
だから自ドメインのSPFやDKIM導入でhardfailにでき、完全に阻止できる
一方、SPF/DKIM/DMARC設定済みドメインで送信されるspamもあるから、こっちは完全じゃない
241DNS未登録さん
2022/12/11(日) 04:22:00.49ID:???242DNS未登録さん
2023/03/04(土) 04:53:06.62ID:??? v6のSMTPサービス止めれば?
243DNS未登録さん
2023/08/13(日) 18:30:26.89ID:yUwRD95y test@hostxbay.com
このアドレスがらみのアクセスどうにか出来ないかねえ…
このアドレスがらみのアクセスどうにか出来ないかねえ…
244DNS未登録さん
2023/10/14(土) 11:06:08.48ID:??? Σ(●゚д゚●)
245DNS未登録さん
2023/12/09(土) 10:28:58.34ID:??? GoogleがDNSにDMARCレコードのないドメインからのメールを受け取らなくなるというのは本当ですか?
246DNS未登録さん
2024/01/07(日) 17:36:52.38ID:hb7DA1uK 一斉メール配信サービスはDKIM対応、WEBArenaメールホスティングはDKIM非対応の混在環境の場合、DMARCは設定すべきでないと思っておりますが皆さんの意見をお聞きしたいです。
因みにAIのコパイロットはすべきでない、人間のサポートは設定しても問題ないと答えています。
ドメインは両サービスとも同じです。
たすけてください。
因みにAIのコパイロットはすべきでない、人間のサポートは設定しても問題ないと答えています。
ドメインは両サービスとも同じです。
たすけてください。
247DNS未登録さん
2024/06/14(金) 22:12:00.50ID:gU//OjEM どっちも正しい…というか回答出来ない。
DMARCはDKIMをパスしないとパスしない。
でもDMARCのポリシーをNoneにするなら設定してもパスしなくても問題無い。
DMARCはDKIMをパスしないとパスしない。
でもDMARCのポリシーをNoneにするなら設定してもパスしなくても問題無い。
248DNS未登録さん
2024/07/02(火) 16:51:40.66ID:jGPmxdn5 当方は古くなっているが sendmail-8.15.2 を使用。 sendmail.mcに
FEATURE('require_rdns')dnl の1行を加えて、ほぼ大半のフィッシングメールを遮断できています。
内容がまともなメールだが逆引きできないために受信できないようなメールがあったという経験はこれまでありません。
FEATURE('require_rdns')dnl の1行を加えて、ほぼ大半のフィッシングメールを遮断できています。
内容がまともなメールだが逆引きできないために受信できないようなメールがあったという経験はこれまでありません。
レスを投稿する
ニュース
- 【川崎・20歳女性死体遺棄】「あさひを返せ!」県警の説明に親族、友人ら90人が署に集まり猛抗議「嘘ばかり、謝れば済むことなのに」 ★9 [ぐれ★]
- 【川崎・20歳女性死体遺棄】「あさひを返せ!」県警の説明に親族、友人ら90人が署に集まり猛抗議「嘘ばかり、謝れば済むことなのに」★10 [ぐれ★]
- 【消費税減税】「中身は若者いじめだよ」得するのは高齢者と外国人観光客だけ? “現役世代が損”との指摘が相次ぐ優しい減税の正体 ★4 [ぐれ★]
- 【アニメ】最強キャラは? 『主人公が最強アニメ』ランキング! 3位「暗殺教室」、2位「ワンパンマン」、1位は“可愛さ”も人気! [冬月記者★]
- 【私が退職した本当の理由】取引先との接待で 「下着姿でロウソクを垂らされた」…新卒女性を追い込んだ上司の理不尽セクハラ 東海地方 [ぐれ★]
- ファミリーマート、海苔なしおむすび拡大「海苔を使用しない分コストを抑えられる」 [煮卵★]
- ▶俺のマリン船長登録者数400万人おめでとう!!!
- GW暇ならアニソン聴こうぜ・・・
- 自転車、法定速度がなかった 制限速度標識がない道路なら100km/hで走ってもOK [377482965]
- 【悲報】百田尚樹「茶道文化バカバカしいw」有本香「こんな器使って演出出来るみたいな美意識自慢のための日本人らしい文化」 [126042664]
- 「90年代までの日本人は皆が明るかった!」→これマジなの? [673214947]
- GW暇ならアニソン聴こうぜ・・・