SPAMメール対策どうしてる?
海外から多くの広告らしきものが来るし、
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。
最近failure noticeのメールがかなり増えた
かなりアタッマきてる kshdfhs446@yahoo.co.uk bfddfbfddf213@yahoo.ca
minako123@so-net.ne.jp jyoreina_0121@yahoo.ca
yynoda@hotmail.com seeday_mika0025@yahoo.it
ayamedesuyo@so-net.ne.jp kugiugiugiug555@yahoo.fr
iqtqvdqyzg2@so-net.ne.jp ghfhf2334@yahoo.de
minako123@so-net.ne.jp dfhrtuj356@yahoo.de
vcnmgh435@yahoo.de erina_s841@yahoo.fr
hitoe350@ocn.ne.jp hhkmfdgs765@yahoo.de
vcnmgh435@yahoo.de gric/mintka_8@nifty.com
barmari17@so-net.ne.jp supersweetlovely@yahoo.co.uk
dodiddodido798@yahoo.fr aori-toku@kjd.biglobe.ne.jp
meronmeron0122@ocn.ne.jp asfcsfg3445@yahoo.ca
nutsberry7834@yahoo.de gric/yumiyumichan@nifty.com
sddfrd3234@yahoo.ca dunkinsub65@yahoo.fr
idpvj5@so-net.ne.jp season89147@yahoo.fr
sango777@so-net.ne.jp comonbemygirl17@yahoo.co.uk
peacesmily_nw@yahoo.fr trtttttttttttt77@yahoo.fr
hokutokenn3256@yahoo.de lovepsycholgy@yahoo.co.uk
saepunch@yahoo.co.uk gold_shining_gs1@yahoo.fr
orion@dm.mailpia.net nutsberry7834@yahoo.de
hokutokenn3256@yahoo.de jiympnvlwp4@so-net.ne.jp
最近、迷惑メールが頻繁に来るようになりました。
どうしてこんな事をするのか不思議です。
上記が今日までに来たメールアドレスです。
昨日から絨毯爆撃食らってます。
reject: RCPT from tgmsmttk**sc3.softbank.ne.jp から。
うぜ〜。 >>102にもあるけどfailureメールって対策方法ないの?
rejectしか方法ないのか? 半月前からバイアグラが大量に来る。毎回接続元が異なるので簡単には遮断できない。困った。 質問です。
RHEL3にspamassassin-3.1.7をインストールして使っていました。
rpmbuild -tb Mail-SpamAssassin-3.1.7.tar.gz
これでパッケージ作って、spamassassinとperl-Mail-SpamAssassinを入れました。
RHEL3のup8のCDイメージからperlをrpmでアップデートしたら、
spamassassinが起動しなくなりました。
RHEL3標準2.55だと起動します。仕方がないので今はそれを使っています。
3.1.8でも3.0.6でもうまくいきません。
エラーメッセージはログが残っていませんがこんな感じです。
linux-threadのカーネルバージョンがなんたらかんたらって出てきます。
実際のカーネルは2.4.21-xxで、2.6.9-xxを使っていないからダメだとか。
その結果Socketのエラーになって起動できないっていうようなメッセージです。
RHEL3は2.4系だからどうしようもない。
spamassassin-3.xを使ういい方法ないですかね?
同様にはまった人はいますか? >>109
自分で鯖管していて、MDAにprocmail使っているなら、
~/.procmailrcいじくって、正規表現でそれっぽい文字列を排除するようにしたら
多少は良くなるんじゃないですか?
あなたがファイザー製薬関係者なら無理でしょうけどw
>>110
IPベースのSPAMサイトブラックリストみたいに、
特定アジアかどうか判定するサイトがあったら、
使う人結構いそうですねw spamassassinのrelay countryじゃあかんのか?
これ使ぉたら効果バツグンやで。 そもそも鯖に繋いでほしくない。
いや、鯖に来てもいいからMTAに触らないでほしい。
ログが汚れる。 「Mail Washer」でエラーメール形式で全部送り返してたらSPAM全滅しますたw
dozikko_geki_love@yahoo.co.jp cyrus-saslの安定版で一番新しいバージョンどれか
知ってる人教えてメカドック。 >>116
MailWasher漏れも入れて見たけどいい感じやね。
>>117
SPAM送信元にエラーメール返すだけだから他に迷惑は
掛からんと思うけど、何が問題なんでしょ?
>>121
今さらSPAMメールのFrom:が正しいなんてことはあり得んだろう。
常識的に考えて・・ >>122
あー確かになんぼでも偽装出来ますな…。
しかしエラーメールで返してやったら確かに来る数が極端に減った訳で。
100通/日位で届いてたのが2,3通/日位にガタ落ちに。
そーいや最近覚えのないエラーメールが大量に届くことってなくなったよな。」 starpit + spamassassinで対策中。 >>124
キャッチオール設定にしているうちのドメインは1ヶ月に一回ぐらいFrom詐称されてます。
多いときは1日数千通のエラーメールですね。
あとは日常的に
icq1@ icq1nn@ spm@ ml@ catchthismail@
mlx@ contact@ icq1s@ cq1n@ xrbz@ pm@
mln@ helloitmenice@ guest@
これらのアカウントにSPAMが来る。
エラーメールはSPAMよりフィルタしにくい分迷惑 >>87さんの意見への間接的な批判発見
ttp://s25r.blogspot.com/2007/05/blog-post_8973.html
tarGreyも知らん連中が「お前の知識は古くて参考にならん」ってどんだけwww >>130
tarGreyって何?taRgreyなら知ってるけどww 逆引きの無いゴミIPをカット
softbank.ne.jpを拒否
これで99%OK
procmail.rcの中身でいいのあれば教えてください。
敵も巧妙なのか20%くらい隙間ついてきます。
私が今やってることとして、iptableで中韓のアドレスを遮断。
spamassassin+bsfilter+procmailrcでの振り分けです。 taRgreyで、spam弾きの練習しています。
spamをたくさん欲しいのですが、
どっかナイスな宣伝場所はないものでしょうか?
http://pigmon.ddo.jp/
contact@pigmon.ddo.jp >137 釣り?
出会い系サイトに登録すれば嫌でも大量に来る。
登録して無くても姉妹サイト?から止めどなくやってくる。 >138
ありがとうございます。
釣りじゃなくて、マジです。
出会い系サイトとは思いつきませんでした。
早速どっか登録してみます。 >138
早速3つ登録してみました。
おかげさまで、taRgreyでpostgreyが
動いていることが確認できました。
他にもどっかいいスパム業者があったら教えてくださいw 自分のサイトや、2chに貼ったのなら、
名簿屋のクローラーが巡回・収集して送ってくるだろよw >142
そうですね。そんな感じです。
Linuxの勉強をしています。
ITproで「S25R」を見て、今実装中です。
>143
第三者中継は大丈夫ですよ。
http://pigmon.ddo.jp/Relay_Checker_by_RB.pdf
spamcomにも登録はされていませんでした。
ただ、ログの読み方が完全には分からないので、
ちょと困ってます。
なんかHTML化してくれるようなツールがあるといいんですけど。 >144
ググれば山ほど書いてあるよ。HTMLにしたからって読めんのかよ。 >145
ちがうよ。AWstatsみたいに見やすいといいなってこと。
ま、おっしゃる通りちょとググって見ますわ。 pflogsumm入れてみました。
http://pigmon.ddo.jp/pflogsumm20080414.html
う〜ん、ちょといまいちかな。
他に探して見ます。 http://pigmon.ddo.jp/
チョト変えてみた。
もっとたくさんSpam欲しいんだけどな。
なんかナイスな海外掲示板ありませんか?
中国とか韓国とかやばそうな国で宣伝しまくりたいんですが。 アングラサイトでアカウント登録しまくってみる。
出会い系・アダルト系のサイトに登録してみる。
パチンコ雑誌を買ってきて、広告出してる金貸し業者に登録してみる。 >149
ありがとうございます〜。
アダルトサイト(出会い系)はやってみました。
taRgrey対策済みみたいで、くぐりぬけてきちゃうんですよね〜。
なんで今度はアングラ系でも行ってみます。
パチンコはやらないんで、あきらめます。 >>150
潜り抜けられるのはSPAMの何%ぐらいですか?
最近tarpitが回避されるって話を聞くようになりましたが… >151
う〜ん、ごめんなさい。統計の取り方が分からないもので。。
ただ、自分から登録した出会い系サイトからのメールは、
ほぼ100%すり抜けてきますね。
なんで、rejetct_heloで弾いちゃいます。
ただtarpit以前で引っかかっているメールのほうが多いです。
こんな感じです。
------------------
NOQUEUE: reject: RCPT from unknown[125.187.32.169]: 450 4.1.8 <win@clockmail.net>:
Sender address rejected: Domain not found; from=<win@clockmail.net>
to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<m19.mailyes.net>
NOQUEUE: reject: RCPT from kcc-202-178-81-110.kamakuranet.ne.jp[202.178.81.110]:
504 5.5.2 <104/.@x>: Sender address rejected: need fully-qualified address;
from=<104/.@x> to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<pigmon.ddo.jp>
------------------
ま、自分のアドレスがまだそんなにブラック業者に
出回ってないせいでしょうか。出回るこれからが勝負ですね。 >>152
その手の業者は、なんの工夫もせずに送ってきてるから逆にすり抜けちゃうんだよ。
qmailとかをそのまま使って送るから、tarpitもgreylistも効かない。ある意味最強。
heloとかで拒否するのが現実的だね。 >152
そう、今そのheloで困ってます。
自分から仕掛けといて、困るもくそもないんですが。。
すり抜けてくるやつらの、helo(orEHLO)コマンドの
内容が分かんないんです。
logwatchとかmaillogとかに、載っていると思って
漁るんですが、何てheloを打ってきたのか
載ってないんですよね。
これからちょと@ITの会議室で質問してみます。
よかったらみなさんあっちで回答ください。
登録制なのが面倒ですが。。 postfixなら設定で、全てのメールの>>152でrejectしたときのログと同じのを吐かすことが可能。
全ての条件でWARNを掛けれるようにすればいい。 フリーメール使ったり
ブロックしたり
フリーツール使用しています。
でも半分減ったが3,4件来ます。
嫌ですね。
なにか対策ないかなぁ。 接続元が知らない国の場合IPをサブネット単位でフィルタ。 自分はもうメンドクサイからレン鯖の方に回して、
フィルター後自鯖に転送するようにした。
快適 俺の場合だと国内は9割が出会い系(特にエルメディア、ウィンズ多し)だが
JPNICで範囲洗ってiptable入り、、、もしくはheaderchecksとかでエラーメール
返すのがいいのか、迷い中 >>161
エラーメールであろうと、何らかの反応を示すのは逆効果って話を聞く >>161
あぁ、確かにそれもよく聞くね。
トラフィックにもよろしくないから、しつこいとルーターレベルでお帰り頂く事に
するわ。そのほうがログも吐かないし。 おれはスパムの統計を取っているが今月15000個来た。
いままで圧倒的に多かったUS発を抜いて、スパムのおよそ1割がトルコ発。
それも全部がリモホの逆引き設定なし。
ちなみにワースト10は
1385 TR
1376 US
1172 RU
1080 GB
0921 CN
0862 BR
0706 KR
0455 IN
0421 DE
0410 CO , ES
アメリカが少なくなって来て近隣国やヨーロッパが増えた。 すいません。どこで聞くのかわからないんで、ここで聞きます。
迷惑メールのフィルターデータベス会社で
バラクーダとクラウドマークではどちらが優秀ですか?
>>162
無反応だと生きていると思われるからアドレス販売業者の思うつぼじゃないのか。 とりあえず ずーっとブロックし続けてるが初めこのサイトに
メアド乗せたのがまちがいですた。
その頃ネット初心者ですたので
とりあえずスパム送るやろー どっかの組の下っ端だか分からんがムカツク
うざい あとを絶たないでイタチゴッコだが妙にムカつく犯罪だぞ。これ。
いまにパクられるしな。どうせやっつけられて
皆無視しろ。当たり前だが 自鯖にしつこく接続に来るのはhinet.netとseed.net.twくらいかな。
rejectしてるので特に問題ないですね。
ISPのメアドのほうに国内からのSPAMが微妙に増えて来たので
レン鯖の業者とかISPにクレームしてます。
やっぱり丸紅インフォテックからメアドとか流出したのが効いてきたのかなこれは 中華電信亞網とかはipfilterやipfwレベルで弾くのがお勧め。 ウチは中国、韓国からはメールに限らず全部接続拒否。
国内組は誘導ドメインベースで判断する自作スクリプトで弾いてます。
でも2日に1通くらいは届くんだよね〜 >>174
撃ち返す相手は本当にSPAMの送信者なのかい? なんか今日突然バウンススパム大量に送りつけられた。
今は収まったけど防ぎようが無いのは困るなぁ。 うえ・・・今日は中国・タイランドIPからのランダムメアド攻撃がえらい多いな
きっちり20回づつ試してるところをみると負荷攻撃かな・・・
全く無駄なことを >>177
ウチは昨日が多かった。
script で iptables で弾いちゃうから、最終的にどの程度来ているのか
判らないけどね。
つーか、先月の米韓へのDDos 攻撃の間がなぜか一番多かった。
日本のドメインなのに・・・orz >>178 ごめんそれは月曜日のログでした、同じですね
んで、火曜日はUser unknownが倍増ですw
何だろう日を変えてスパム通過実験でもしてるんですかね・・・
無駄なことを >>178
iptableで弾こうにも、元ipが全部違うんだが。これがbot netから来てるってやつなのか? >>179
昨晩からまた、急増。
現在も、複数のIPアドレスからBrute force attack的な状態になっている。
1秒間に 400 コネクションとか張ってくるなよ。
万が一のためにと思って作っておいてツールが大活躍です。
>>180
恐らくそうでしょ。
不定期だけど先月から量が極端に増えている・・・
なんの bot なのかは判らないけどね。 ユーザーID部分をランダムではなくリストらしきものから生成して送ってきてますね
ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ
日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック
でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね >>182
確かに、ランダムでは無いね。辞書を使っていると思う。
ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada
って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。
これ、嫌な感じだよね。 メールアドレス辞書攻撃
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
>>184
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。 >>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0〜55なのか どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね) iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
>>190
そうだよ。
絞る前は、300 connection とかあった。 >>191 >184 207.044.128.0/17
ビンゴだねw
8月の頭からきてるってことだな >>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。 >>193
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。 辞書攻撃の SPAM その後
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!! >>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね >>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。 >>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?