SPAMメール対策どうしてる?

. · 04/04/29 13:14

海外から多くの広告らしきものが来るし、
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。

**DNS未登録さん** · 2009/09/23(水) 21:51:53

>>195　だから、上のIPリストみたいので元からはじくのがいいんじゃね？
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね

**DNS未登録さん** · 2009/09/23(水) 23:33:21

>>196
CK Filter やら国別 Filter は、知っているし家では、使っております。

仕事で管理している大きめの所では無理。

板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。

**DNS未登録さん** · 2009/09/24(木) 01:51:00

>>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね？

**DNS未登録さん** · 2009/09/24(木) 12:51:48

>>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・

Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。

じゃあ、MAIL FROM: <> で抽出したら？って話になりますが、
RFC2505 で禁止されているので、これも出来ません。

しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。

最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。

botnet 恐ろしや・・・

スレ汚し、ごめん。

**DNS未登録さん** · 2009/09/25(金) 11:36:38

>>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ？
おまえいったい何の話してるの？
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの？

**DNS未登録さん** · 2009/09/25(金) 16:58:00

>>200
説明が悪かった・・・すまない。

IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。

当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。

だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・

なにか、防御機能として良い案ある？

**DNS未登録さん** · 2009/09/25(金) 18:18:24

>>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか？　という点だね

ヘッダ・本文・経路・ホスト・ISPなど　本当にランダムなのかな？

もしも上記のすべてが完璧なまでにランダムならソレは予防（アクティブ）は不可能
どうしてもパッシブなイタチごっこになるよね

良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね

ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて

・パターンチェック

でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする

管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない　それだけのことだ

**DNS未登録さん** · 2009/09/25(金) 19:09:42

>>202
アドバイスありがとう。

今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。

他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。

**DNS未登録さん** · 2009/09/28(月) 12:07:27

MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。

**DNS未登録さん** · 2010/02/08(月) 06:44:40

スパマーを死刑にする法律が欲しいね。

**DNS未登録さん** · 2010/02/08(月) 21:31:15

死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してﾎｽｲ。

**DNS未登録さん** · 2010/03/31(水) 14:18:42

spamassasin使ってる人に質問

/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$

**DNS未登録さん** · 2010/04/20(火) 10:33:17

http://pc11.2ch.net/test/read.cgi/mysv/1083212079/207
http://pc11.2ch.net/test/read.cgi/mysv/1119304945/737
http://pc12.2ch.net/test/read.cgi/unix/1124772932/369

**DNS未登録さん** · 2010/05/26(水) 17:42:38

スパムアサシンとprocmail使って消してる。

/etc/procmailrcに以下の設定＋個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる

:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null

:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null

:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null

:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null

:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null

:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null

:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null

**DNS未登録さん** · 2010/07/24(土) 15:21:48

http://ameblo.jp/methodimporteleven/
こいつがハックしてるらしいよ。

**DNS未登録さん** · 2010/09/13(月) 22:40:33

びよよーん

**DNS未登録さん** · 2010/10/20(水) 10:17:49

グロ注意

**DNS未登録さん** · 2012/10/21(日) 04:07:01.46

メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか？

NY · 2012/11/18(日) 13:55:32.38

i'm fine good work <a href=" http://urbania4.org ">amitriptyline price uk</a> Present Patient Care Presentation

**DNS未登録さん** · 2012/11/22(木) 22:03:22.70

>>213
それ以外に特に制約条件が無いなら技術的には可能。

**DNS未登録さん** · 2014/01/24(金) 13:50:20.90

分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。

CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。

nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。

OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。

何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。

**DNS未登録さん** · 2014/01/25(土) 21:50:51.49

SMTP認証のパスワード破られたんじゃないの？

**DNS未登録さん** · 2014/01/26(日) 11:25:06.67

>>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。

**DNS未登録さん** · 2015/02/21(土) 13:16:18.07

えっちぃ絵をリクエストすると誰かが描いてくれるかもしれない素敵なスレ【R-18】
http://hayabusa.o p e n 2ch.net/test/read.cgi/news4vip/1423739321/

**DNS未登録さん** · 2019/05/27(月) 17:15:14.45

．

**DNS未登録さん** · 2021/02/01(月) 08:27:53.87

特定の大型顧客の過去案件が件名になってるspamがくるんだけど、その客先のサーバーがhackされたんですかね？
送信者もその案件の関係者騙ってるけど、メールアドレスは全然別物です
その客先以外の案件は騙ってこないので、うちからの流出は考えづらいのですが

**DNS未登録さん** · 2021/04/18(日) 02:32:08.04

最近のSPAM、dkimとdmarcが最初から付いてない

**DNS未登録さん** · 2021/10/31(日) 19:20:52.18

DMARC採用するにはDKIM必須ですか？
SPFだけじゃダメ？

**DNS未登録さん** · 2021/11/01(月) 18:57:35.46

>>223
両方必須です。

**DNS未登録さん** · 2021/11/01(月) 19:02:13.02

p.s.
受信するだけなら SPF のみでもおっけーだけどそういう話じゃないよね？

**DNS未登録さん** · 2021/11/01(月) 22:45:25.78

DKIMないと
なりすましされたことが
レポートでわかるくらい？

**DNS未登録さん** · 2021/11/24(水) 22:03:21.89

レンタルサーバだからDKIM無理だけど、
DMARC付けておいた方が良いとかありますか？

**DNS未登録さん** · 2021/11/25(木) 01:10:32.32

DKIM無理なレンタルサーバからDKIM使えるレンタルサーバに移転すべき時期

**DNS未登録さん** · 2022/03/10(木) 14:03:57.04

SPFレコード書くとき、
サブドメインがあるときは、
サブドメインのTXTレコードにも書く必要ありますか？

**DNS未登録さん** · 2022/03/11(金) 18:56:04.91

>>229
両方必要@とサブドメインにそれぞれ設定
中継サーバーがあればそれらもインクルード

**DNS未登録さん** · 2022/03/12(土) 03:12:24.26

中継あるなら中継だけ書けばええやろ

**DNS未登録さん** · 2022/05/16(月) 15:32:02.87

使っている(レンタル)サーバはdmarcに対応してないです。
SPFだけ。
それでも_dmarcサブドメイン作って置いた方が良いのでしょうか？

**DNS未登録さん** · 2022/05/17(火) 18:00:30.68

>>232
作っちゃダメです
サーバーが対応していないのにレコードを作ってしまうとhardfailになります

**DNS未登録さん** · 2022/12/06(火) 16:10:07.86

SPF
DKIM
DMARC
でスパム迷惑メール撲滅できるの？

現在はSPFしか設定してないけど、手間の割には撲滅できないなら導入止めようと思うんだけど。
どうですか？

**DNS未登録さん** · 2022/12/07(水) 03:44:37.02

DKIM&DMARC対応スパムもあるから完全には無理かな。うちでは Postfix で逆引きできないホストを全部弾く方がスパム避けになってる。

**DNS未登録さん** · 2022/12/07(水) 06:29:03.92

>>234
結構減る
あと「お前のPCハクした。お前が見てたエロ動画とお前の4545のマッシュアップ動画作った
連絡先に動画を送信されたくなければBTC払え」は完全に来なくなる

手間はワンタイムで効果は継続だから導入の一択でしょ

**234です** · 2022/12/07(水) 12:00:36.34

>>235
>>236
レストントン！

**234です** · 2022/12/07(水) 12:02:14.59

>>236
>結構減る
>完全に来なくなる

どっちだよ。
完全に無くなるというのは、なぜ言い切れるの？

**234です** · 2022/12/07(水) 12:18:09.37

>>234
> Postfix で逆引きできないホストを全部弾く方
以前はそれやっていたけど、ここ１０年くらいから逆引きできない国内鯖増えてきたから止めたんだよね。
メルマガ系でもトラブル多くなったし。
現在は https://ipv4.fetus.jp/からwgetで取得し、cn, hk, kr, kp, ru, irを弾くだけで98%はOK。
さらにSPF,DKIM,DMARC で弾けるならうれしいが。

**DNS未登録さん** · 2022/12/07(水) 17:45:25.58

>>238
BTC恐喝はターゲット、つまり俺自身のメアドで送信してくるよね
だから自ドメインのSPFやDKIM導入でhardfailにでき、完全に阻止できる

一方、SPF/DKIM/DMARC設定済みドメインで送信されるspamもあるから、こっちは完全じゃない

**DNS未登録さん** · 2022/12/11(日) 04:22:00.49

>>239
あー、確かに。最近はメールをあんまし使わなくなったのでホワイトリスト手動更新でなんとか対応できてるけど。
IPv6なアドレスもちらほらあったりするからやめ時かな。

**DNS未登録さん** · 2023/03/04(土) 04:53:06.62

v6のSMTPサービス止めれば？

**DNS未登録さん** · 2023/08/13(日) 18:30:26.89

test@hostxbay.com
このアドレスがらみのアクセスどうにか出来ないかねえ…

**DNS未登録さん** · 2023/10/14(土) 11:06:08.48

Σ(●ﾟдﾟ●)

**DNS未登録さん** · 2023/12/09(土) 10:28:58.34

GoogleがDNSにDMARCレコードのないドメインからのメールを受け取らなくなるというのは本当ですか?

**DNS未登録さん** · 2024/01/07(日) 17:36:52.38

一斉メール配信サービスはDKIM対応、WEBArenaメールホスティングはDKIM非対応の混在環境の場合、DMARCは設定すべきでないと思っておりますが皆さんの意見をお聞きしたいです。
因みにAIのコパイロットはすべきでない、人間のサポートは設定しても問題ないと答えています。
ドメインは両サービスとも同じです。
たすけてください。