SPAMメール対策どうしてる?
海外から多くの広告らしきものが来るし、 こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。 新しいプロトコルだから強制できませんよね。 ユーザーにも手間が増えますし・・。 tarpitも知りませんでした。 私も最初は同じこと考えたんですが、 greylisting方式は、再送されたら意味無しなんです。 tarpit方式は、遅くなってる間に他に送れちゃうんです。 あとメールを沢山受け取らなきゃいけないサーバーには きついんです。 それで、ホワイトリストをサーバーに置いて、 普通の人は迅速に受け取れる。 重くするのはユーザーサイドだけにし、 計算量そのものを増やす。 ということを考えたつもりだったんですが・・orz 俺は、自分の意見を言わないで批評ばかりしてるより アイデアを発表することは素晴らしいことだと思う。 がんがれ。 実現性があるかわからんけど、送信側がメールの送信料を 負担する仕組みになれば、無駄にメールを送るアポがいなくなると思うんだけど・・・ >>87 氏のアイディアはずっと昔からあり、Resource Expenditure と呼ばれています。 http://karmak.org/2004/spam-solutions/#resource Resource Expenditure This method would require the sending computer to perform some small computation before a message was accepted. This would in theory be a small enough computation so as not be a burden to a non-spammer, but would quickly bog down a machine sending out millions of messages. This is conceptually equivalent to the email tax, and has many of the same problems. 最近failure noticeのメールがかなり増えた かなりアタッマきてる kshdfhs446@yahoo.co.uk bfddfbfddf213@yahoo.ca minako123@so-net.ne.jp jyoreina_0121@yahoo.ca yynoda@hotmail.com seeday_mika0025@yahoo.it ayamedesuyo@so-net.ne.jp kugiugiugiug555@yahoo.fr iqtqvdqyzg2@so-net.ne.jp ghfhf2334@yahoo.de minako123@so-net.ne.jp dfhrtuj356@yahoo.de vcnmgh435@yahoo.de erina_s841@yahoo.fr hitoe350@ocn.ne.jp hhkmfdgs765@yahoo.de vcnmgh435@yahoo.de gric/mintka_8@nifty.com barmari17@so-net.ne.jp supersweetlovely@yahoo.co.uk dodiddodido798@yahoo.fr aori-toku@kjd.biglobe.ne.jp meronmeron0122@ocn.ne.jp asfcsfg3445@yahoo.ca nutsberry7834@yahoo.de gric/yumiyumichan@nifty.com sddfrd3234@yahoo.ca dunkinsub65@yahoo.fr idpvj5@so-net.ne.jp season89147@yahoo.fr sango777@so-net.ne.jp comonbemygirl17@yahoo.co.uk peacesmily_nw@yahoo.fr trtttttttttttt77@yahoo.fr hokutokenn3256@yahoo.de lovepsycholgy@yahoo.co.uk saepunch@yahoo.co.uk gold_shining_gs1@yahoo.fr orion@dm.mailpia.net nutsberry7834@yahoo.de hokutokenn3256@yahoo.de jiympnvlwp4@so-net.ne.jp 最近、迷惑メールが頻繁に来るようになりました。 どうしてこんな事をするのか不思議です。 上記が今日までに来たメールアドレスです。 昨日から絨毯爆撃食らってます。 reject: RCPT from tgmsmttk**sc3.softbank.ne.jp から。 うぜ〜。 >>102 にもあるけどfailureメールって対策方法ないの? rejectしか方法ないのか? 半月前からバイアグラが大量に来る。毎回接続元が異なるので簡単には遮断できない。困った。 質問です。 RHEL3にspamassassin-3.1.7をインストールして使っていました。 rpmbuild -tb Mail-SpamAssassin-3.1.7.tar.gz これでパッケージ作って、spamassassinとperl-Mail-SpamAssassinを入れました。 RHEL3のup8のCDイメージからperlをrpmでアップデートしたら、 spamassassinが起動しなくなりました。 RHEL3標準2.55だと起動します。仕方がないので今はそれを使っています。 3.1.8でも3.0.6でもうまくいきません。 エラーメッセージはログが残っていませんがこんな感じです。 linux-threadのカーネルバージョンがなんたらかんたらって出てきます。 実際のカーネルは2.4.21-xxで、2.6.9-xxを使っていないからダメだとか。 その結果Socketのエラーになって起動できないっていうようなメッセージです。 RHEL3は2.4系だからどうしようもない。 spamassassin-3.xを使ういい方法ないですかね? 同様にはまった人はいますか? >>109 自分で鯖管していて、MDAにprocmail使っているなら、 ~/.procmailrcいじくって、正規表現でそれっぽい文字列を排除するようにしたら 多少は良くなるんじゃないですか? あなたがファイザー製薬関係者なら無理でしょうけどw >>110 IPベースのSPAMサイトブラックリストみたいに、 特定アジアかどうか判定するサイトがあったら、 使う人結構いそうですねw spamassassinのrelay countryじゃあかんのか? これ使ぉたら効果バツグンやで。 そもそも鯖に繋いでほしくない。 いや、鯖に来てもいいからMTAに触らないでほしい。 ログが汚れる。 「Mail Washer」でエラーメール形式で全部送り返してたらSPAM全滅しますたw dozikko_geki_love@yahoo.co.jp cyrus-saslの安定版で一番新しいバージョンどれか 知ってる人教えてメカドック。 >>116 MailWasher漏れも入れて見たけどいい感じやね。 >>117 SPAM送信元にエラーメール返すだけだから他に迷惑は 掛からんと思うけど、何が問題なんでしょ? >>121 今さらSPAMメールのFrom:が正しいなんてことはあり得んだろう。 常識的に考えて・・ >>122 あー確かになんぼでも偽装出来ますな…。 しかしエラーメールで返してやったら確かに来る数が極端に減った訳で。 100通/日位で届いてたのが2,3通/日位にガタ落ちに。 そーいや最近覚えのないエラーメールが大量に届くことってなくなったよな。」 starpit + spamassassinで対策中。 >>124 キャッチオール設定にしているうちのドメインは1ヶ月に一回ぐらいFrom詐称されてます。 多いときは1日数千通のエラーメールですね。 あとは日常的に icq1@ icq1nn@ spm@ ml@ catchthismail@ mlx@ contact@ icq1s@ cq1n@ xrbz@ pm@ mln@ helloitmenice@ guest@ これらのアカウントにSPAMが来る。 エラーメールはSPAMよりフィルタしにくい分迷惑 >>87 さんの意見への間接的な批判発見 ttp://s25r.blogspot.com/2007/05/blog-post_8973.html tarGreyも知らん連中が「お前の知識は古くて参考にならん」ってどんだけwww >>130 tarGreyって何?taRgreyなら知ってるけどww 逆引きの無いゴミIPをカット softbank.ne.jpを拒否 これで99%OK procmail.rcの中身でいいのあれば教えてください。 敵も巧妙なのか20%くらい隙間ついてきます。 私が今やってることとして、iptableで中韓のアドレスを遮断。 spamassassin+bsfilter+procmailrcでの振り分けです。 taRgreyで、spam弾きの練習しています。 spamをたくさん欲しいのですが、 どっかナイスな宣伝場所はないものでしょうか? http://pigmon.ddo.jp/ contact@pigmon.ddo.jp >137 釣り? 出会い系サイトに登録すれば嫌でも大量に来る。 登録して無くても姉妹サイト?から止めどなくやってくる。 >138 ありがとうございます。 釣りじゃなくて、マジです。 出会い系サイトとは思いつきませんでした。 早速どっか登録してみます。 >138 早速3つ登録してみました。 おかげさまで、taRgreyでpostgreyが 動いていることが確認できました。 他にもどっかいいスパム業者があったら教えてくださいw 自分のサイトや、2chに貼ったのなら、 名簿屋のクローラーが巡回・収集して送ってくるだろよw >142 そうですね。そんな感じです。 Linuxの勉強をしています。 ITproで「S25R」を見て、今実装中です。 >143 第三者中継は大丈夫ですよ。 http://pigmon.ddo.jp/Relay_Checker_by_RB.pdf spamcomにも登録はされていませんでした。 ただ、ログの読み方が完全には分からないので、 ちょと困ってます。 なんかHTML化してくれるようなツールがあるといいんですけど。 >144 ググれば山ほど書いてあるよ。HTMLにしたからって読めんのかよ。 >145 ちがうよ。AWstatsみたいに見やすいといいなってこと。 ま、おっしゃる通りちょとググって見ますわ。 pflogsumm入れてみました。 http://pigmon.ddo.jp/pflogsumm20080414.html う〜ん、ちょといまいちかな。 他に探して見ます。 http://pigmon.ddo.jp/ チョト変えてみた。 もっとたくさんSpam欲しいんだけどな。 なんかナイスな海外掲示板ありませんか? 中国とか韓国とかやばそうな国で宣伝しまくりたいんですが。 アングラサイトでアカウント登録しまくってみる。 出会い系・アダルト系のサイトに登録してみる。 パチンコ雑誌を買ってきて、広告出してる金貸し業者に登録してみる。 >149 ありがとうございます〜。 アダルトサイト(出会い系)はやってみました。 taRgrey対策済みみたいで、くぐりぬけてきちゃうんですよね〜。 なんで今度はアングラ系でも行ってみます。 パチンコはやらないんで、あきらめます。 >>150 潜り抜けられるのはSPAMの何%ぐらいですか? 最近tarpitが回避されるって話を聞くようになりましたが… >151 う〜ん、ごめんなさい。統計の取り方が分からないもので。。 ただ、自分から登録した出会い系サイトからのメールは、 ほぼ100%すり抜けてきますね。 なんで、rejetct_heloで弾いちゃいます。 ただtarpit以前で引っかかっているメールのほうが多いです。 こんな感じです。 ------------------ NOQUEUE: reject: RCPT from unknown[125.187.32.169]: 450 4.1.8 <win@clockmail.net>: Sender address rejected: Domain not found; from=<win@clockmail.net> to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<m19.mailyes.net> NOQUEUE: reject: RCPT from kcc-202-178-81-110.kamakuranet.ne.jp[202.178.81.110]: 504 5.5.2 <104/.@x>: Sender address rejected: need fully-qualified address; from=<104/.@x> to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<pigmon.ddo.jp> ------------------ ま、自分のアドレスがまだそんなにブラック業者に 出回ってないせいでしょうか。出回るこれからが勝負ですね。 >>152 その手の業者は、なんの工夫もせずに送ってきてるから逆にすり抜けちゃうんだよ。 qmailとかをそのまま使って送るから、tarpitもgreylistも効かない。ある意味最強。 heloとかで拒否するのが現実的だね。 >152 そう、今そのheloで困ってます。 自分から仕掛けといて、困るもくそもないんですが。。 すり抜けてくるやつらの、helo(orEHLO)コマンドの 内容が分かんないんです。 logwatchとかmaillogとかに、載っていると思って 漁るんですが、何てheloを打ってきたのか 載ってないんですよね。 これからちょと@ITの会議室で質問してみます。 よかったらみなさんあっちで回答ください。 登録制なのが面倒ですが。。 postfixなら設定で、全てのメールの>>152 でrejectしたときのログと同じのを吐かすことが可能。 全ての条件でWARNを掛けれるようにすればいい。 フリーメール使ったり ブロックしたり フリーツール使用しています。 でも半分減ったが3,4件来ます。 嫌ですね。 なにか対策ないかなぁ。 接続元が知らない国の場合IPをサブネット単位でフィルタ。 自分はもうメンドクサイからレン鯖の方に回して、 フィルター後自鯖に転送するようにした。 快適 俺の場合だと国内は9割が出会い系(特にエルメディア、ウィンズ多し)だが JPNICで範囲洗ってiptable入り、、、もしくはheaderchecksとかでエラーメール 返すのがいいのか、迷い中 >>161 エラーメールであろうと、何らかの反応を示すのは逆効果って話を聞く >>161 あぁ、確かにそれもよく聞くね。 トラフィックにもよろしくないから、しつこいとルーターレベルでお帰り頂く事に するわ。そのほうがログも吐かないし。 おれはスパムの統計を取っているが今月15000個来た。 いままで圧倒的に多かったUS発を抜いて、スパムのおよそ1割がトルコ発。 それも全部がリモホの逆引き設定なし。 ちなみにワースト10は 1385 TR 1376 US 1172 RU 1080 GB 0921 CN 0862 BR 0706 KR 0455 IN 0421 DE 0410 CO , ES アメリカが少なくなって来て近隣国やヨーロッパが増えた。 すいません。どこで聞くのかわからないんで、ここで聞きます。 迷惑メールのフィルターデータベス会社で バラクーダとクラウドマークではどちらが優秀ですか? >>162 無反応だと生きていると思われるからアドレス販売業者の思うつぼじゃないのか。 とりあえず ずーっとブロックし続けてるが初めこのサイトに メアド乗せたのがまちがいですた。 その頃ネット初心者ですたので とりあえずスパム送るやろー どっかの組の下っ端だか分からんがムカツク うざい あとを絶たないでイタチゴッコだが妙にムカつく犯罪だぞ。これ。 いまにパクられるしな。どうせやっつけられて 皆無視しろ。当たり前だが 自鯖にしつこく接続に来るのはhinet.netとseed.net.twくらいかな。 rejectしてるので特に問題ないですね。 ISPのメアドのほうに国内からのSPAMが微妙に増えて来たので レン鯖の業者とかISPにクレームしてます。 やっぱり丸紅インフォテックからメアドとか流出したのが効いてきたのかなこれは 中華電信亞網とかはipfilterやipfwレベルで弾くのがお勧め。 ウチは中国、韓国からはメールに限らず全部接続拒否。 国内組は誘導ドメインベースで判断する自作スクリプトで弾いてます。 でも2日に1通くらいは届くんだよね〜 >>174 撃ち返す相手は本当にSPAMの送信者なのかい? なんか今日突然バウンススパム大量に送りつけられた。 今は収まったけど防ぎようが無いのは困るなぁ。 うえ・・・今日は中国・タイランドIPからのランダムメアド攻撃がえらい多いな きっちり20回づつ試してるところをみると負荷攻撃かな・・・ 全く無駄なことを >>177 ウチは昨日が多かった。 script で iptables で弾いちゃうから、最終的にどの程度来ているのか 判らないけどね。 つーか、先月の米韓へのDDos 攻撃の間がなぜか一番多かった。 日本のドメインなのに・・・orz >>178 ごめんそれは月曜日のログでした、同じですね んで、火曜日はUser unknownが倍増ですw 何だろう日を変えてスパム通過実験でもしてるんですかね・・・ 無駄なことを >>178 iptableで弾こうにも、元ipが全部違うんだが。これがbot netから来てるってやつなのか? >>179 昨晩からまた、急増。 現在も、複数のIPアドレスからBrute force attack的な状態になっている。 1秒間に 400 コネクションとか張ってくるなよ。 万が一のためにと思って作っておいてツールが大活躍です。 >>180 恐らくそうでしょ。 不定期だけど先月から量が極端に増えている・・・ なんの bot なのかは判らないけどね。 ユーザーID部分をランダムではなくリストらしきものから生成して送ってきてますね ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ 日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね >>182 確かに、ランダムでは無いね。辞書を使っていると思う。 ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。 これ、嫌な感じだよね。 メールアドレス辞書攻撃 10日分から大体IP枠が絞れた 078.187.000.0/19 078.187.032.0/20 078.187.048.0/21 080.040.000.0/13 089.248.119.0/24 115.080.000.0/14 190.002.032.0/19 190.042.187.0/25 190.081.005.0/25 200.067.227.0/24 200.071.160.0/20 201.040.000.0/15 201.236.128.0/18 207.044.128.0/17 220.130.195.0/24 結構多いなw >>184 集計乙! でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。 >>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと 78.187って・・・ あぁ0〜55なのか どーも、先週頭くらいから新しい bot がはやっているみたいだね。 log を見ていると、greylistingを突破するロジック搭載ぽい。 今は、tarpitting、greylisting、log 監視して iptables の更新 をやっているけど・・・ 新しいツールを考えないとだめだ。 何か良いアイデアない? 国単位でブロックしてる。 許可してる国でも逆引きできなかったら拒否。 spamしか投げてこないドメインはtarpittingで超待たせてる。 User Unknownを繰り返したら即ブロック。 (あくまで自宅の個人専用鯖の話だからね) iptables の hashlimit で 75/min でかつ smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。 Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40 Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40 Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40 Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40 >>190 そうだよ。 絞る前は、300 connection とかあった。 >>191 >184 207.044.128.0/17 ビンゴだねw 8月の頭からきてるってことだな >>191 postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない? なんで300も接続許してるんだろう。 >>193 実験 どの程度張ってくるのか興味があったから、一時的に 設定変更して遊んでみた。 辞書攻撃の SPAM その後 Brute force attack攻撃的な現象が続いたので、 iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで 帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら 同一ホストからは、5分に1通 様々なホストから、10秒に1通 Slow Scanning 的な手法が観測されました。 対策なんて無理だ!! read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる