SPAMメール対策どうしてる?
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。
スパマーに使われるような糞鯖立てんな
いれました 使い方わからん????
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty148.jpg
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty149.jpg
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty150.jpg
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty151.jpg
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty152.jpg
http://www.mypress.jp/v2_writers/shikizecarty/image/141200/141/carty153.jpg
これってどう言う意味?
たぶん、ウイルスがメールのヘッダを偽装して
Fromをあなたのアドレスにした。
で、そういうのを検出してFromに対してそういう内容のメールを
送るソフトがあったと思うから、それを使っているんだと思う。
なので、あまり気にするな。
というスパムがきた!
inetnum: 61.48.0.0 - 61.51.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
61.49.*.*とか61,149.*.*って変なアクセスやメールが多い。
ありがとう。あまり気にしないでおく。
そおいえば、そのメールにspamerのwebsiteに私のアドレスが載ってたんです
って書いてあった。
これもきっと気にしなくてよいのですよね
よく送信エラーのメールとかくる。送っても無い知らないアドレスに、
送れてませんよってきた。
コワイ!
勝手にspamerの送り主にされてるのか・・
その偽造の送信料ってこっちにかかってくるのかな?
http://ab.jpn.ph/soft/html_rand.html
これ使う。
米国、中国、ブラジル、フランス、イギリス、フィリピン、メキシコ、ノルウェー
大 韓 民 国
『我らの国は発展途上国ではないニダ。中進国ニダ!』
これがいろいろなIPアドレスから繰り返しある・・・。
国もバラバラなんだけど、やってる事は同じ。
メールアドレス収集のシンジケートがあるのではないかと思ってしまう。
うちは頻繁にくるアドレスとIPを徹底的にreject
あとフリーメールの類もreject
でも限界。
最近、楽天から多すぎ。
もうそろそろこれもrejectするか。
そのうち収集ロボットがデコード機能を備えるようになって終了〜
やつらはSPAMよりウィルス・ワームが多い。
>>27
そのうちも何も、とっくにデコードしてますが。
client2.attbi.com,
client.comcast.net,
ameritech.net,
swbell.net,
shawcable.net,
dsl.telesp.net.br,
dyn.optonline.net,
east.verizon.net,
だな。
>>30
ならrejectしな。でも届くが....
粉々に。こうすれば簡単にロボも解析できんだろ
sample@sample.comの場合
document.write("sam");
document.write("ple");
document.write("@");
document.write("");
document.write("sampl");
document.write("e");
document.write(".");
document.write("co");
document.write("m");
もっと複雑にして意味も無いのにif文付けたりとか・・
面倒だな。
そんな事しなくても、届いたら消しゃいいべ。
海外からの広告メールのウザさを体験してないからそんな事が言える。
英日翻訳したらバグって
良く考えてみたらロシア語で
鬱
露日自動翻訳って無い?
>>34
届くよ。
今は1日200通だが、以前より少ねえ。
徹底的にrejectしても最低20通だったから諦めた。
今は、とりあえずアドレスで振り分けて格納。
関係ないアドレスなら一気に削除。
もう7年もこんな感じだから慣れた。
http://www.itmedia.co.jp/news/articles/0405/24/news005.html
「統一スパム対策」目指し、MSがライバル技術と合体へ
http://www.itmedia.co.jp/news/articles/0405/24/news009.html
プロトコルそのものを変えるしかないね。
smtpとpop3は廃止。ちょう廃止。
ある意味、セキュリティホールだって。スパマーはバグを利用してるようなもの。
新しいプロトコルが必要だ。技術者がんばれ。ちょうがんばれ。
APOPとかSMTP AUTHとか出てきてるのに
それが使いこなせないなんてちょううんこ
なりすましにはまったく効果ないけどな。
このスレからまったく新しいプロトコルが発案され、
スレに技術屋が徐々に集まり「面白そうだからやってみよーぜ」と開発開始。
2006年現在、かつて2chのとあるスレで出たラクガキを元に、
新プロトコルがOutlook Expressをはじめとするメールクライアントに実装される。
という夢を見た
電話番号みたいなの付けるとかどーとかs
エロSPAMメールうざい!
発信者:(JPNICより)
[登録者名] 高* 純*
[郵便番号] 221-0835
[住所] 神奈川県横浜市神奈川区鶴屋町
[Postal Address] Yokohama-shi Kanagawa-ku
[電話番号] 045-320-****
[FAX番号] 045-317-****
面倒くさいし、APNIC管轄の所から弾けば良いって方は
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
に韓国・中国・香港・台湾・インド・インドネシアのリストがあります。
個人運用のMTAだから出来る事ではありますが…
個人鯖どころか、ISCにそれをされて日本人が巻き添えくってますがなにか?
spamassassin
自宅鯖に直接届くSPAMは皆無になった
http://k2net.hakuba.jp/postgrey/
コツはkspamという馬尻作って、そこにチョソスパム放り込むと
kspamはbudaejjige状態に
yeong-eoはspamに/ilbon-eoはjspamに/hamはpersonalに放り込む
URIじゃねーし。ワロタ。
各所のMAILER-DAEMON様からメールが届くようになった。
SPTRNOJDJ@漏れドメイン だとか qhxemwmvzk@漏れドメイン
だとかいうでたらめなメールアドレスでSPAMを送ってる輩が
いるらしく、your message was blocked by our Spam Firewall とか
Unknown address error とかいうメールが数百通帰ってきてる。
今も続々増殖中。もういや。
それが、いろんなサービスに登録するときにはとりあえず
yahoo@漏れドメイン とか excite@漏れドメイン とかで
登録してるから、基本的には Catch All でいくしかなくて。。。
SPAM業者さんのスクリプトはは毎回ランダムなアカウント名を
生成してくださっているようで、今のところ対抗策なし。
メーラのほうでは数百のディレクトリを階層分けして
ほとんどのメールはきちんと振り分けられるんだけど、
中には受信箱にSPAMメールと混ざってくるやつもあるから
一応件名and/or送信者あたりはざっと見ないといけないし。。
・・・今日だけで400通来ました。
そういう時にはベイジアンフィルタ。
UNIX上のだと日本語対応していないからイマイチ精度低いが、
Netscapeのメーラーなんかのフィルタは学習させればかなり
賢くなるぞ。
#誰かspamassasinやbogofilterの様に使える日本語対応フィルタ
知らないか?
Postfix に Spamassassin 組みこんで使ってる。
以前は手動登録で以下のIPアドレス全部SMTP拒否してたけど、
昨年の終わりころからspamcop.netでばんばんブロックされるようになったから面倒な手動登録はやめてspamcop.netにお任せ状態、
210.100.0.0 - 210.101.127.255 ;KRNIC-KR
218.13.0.0 - 218.18.255.255 ;CHINANET-GD
218.144.0.0 - 218.159.255.255 ;KORNET
218.50.0.0 - 218.55.255.255 ;HANANET
218.71.0.0 - 218.75.127.255 ;CHINANET-ZJ
218.78.0.0 - 218.83.255.255 ;CHINANET-SH
220.168.0.0 - 220.170.255.255 ;CHINANET-HN
220.184.0.0 - 220.191.255.255 ;CHINANET-ZJ
221.208.0.0 - 221.212.255.255 ;CNCGROUP-HL
221.214.0.0 - 221.215.255.255 ;CNCGROUP-SD
221.224.0.0-221.231.255.255 ;CHINANET-JS
222.64.0.0 - 222.73.255.255 ;CHINANET-SH
222.76.0.0 - 222.79.255.255 ;CHINANET-FJ
222.96.0.0 - 222.122.255.255 ;KORNET
61.140.0.0 - 61.146.255.255 ;CHINANET-GD
61.172.0.0 - 61.173.255.255 ;CHINANET-SH
俺は逆に気持ちいい、思いっきりはじいているが見えて。
配達不能だと送り返すような、もっと攻撃的なスパム対策はありませんか?
そういうのを作ろうとすれば作れないことはないけど、多分やるだけ無駄。
だってSPAMMERがport 25番をlistenしているとは思えないだろ。ヘッダ偽装
されていたら関係ない香具師に迷惑をかけることになるし。
>配達不能だと送り返す…
これも一見よさそうに思うけど、差出人を詐称するスパムがある以上、善意の第三者に
エラーを返してしまうことにもなる。エラー自身もスパムになってしまう…いたちゴッコだな。
ホント、メール送受信の仕組みが根本的に変わらないと解決策はないのではないか…
そんな事をつくづく感じるよ。
http://nospam.laura.to/dnsbl.html
特に下がお勧め
http://192.168.11.3/
http://192.168.11.3/~ss.jpg
http://gmksr/
http://gmksr/~ss.jpg
SPAMにSPAMで対抗するなどという馬鹿な発想はやめろ
SMAP×SMAP
糞糞糞糞糞■■▼糞糞糞糞糞糞▼■▼糞糞糞糞糞糞糞糞糞
糞糞糞糞▼■■糞糞糞糞糞糞糞■■▼糞糞糞糞糞糞糞糞糞
糞糞糞▼■■▼糞糞糞糞糞糞▼■■▼▼▼▼■■▼糞糞糞
糞糞糞■■■糞糞▼▼糞糞糞▼■■■■■■■■■▼糞糞
糞▼▼■■▼糞▼■■▼糞▼■■▼▼▼▼▼■■■糞糞糞
▼■■■■▼▼■■▼糞糞▼■■■糞糞糞▼■■▼糞糞糞
▼■■■■▼▼■▼糞糞▼■■▼■▼糞▼■■■糞糞糞糞
糞▼■■■■■■▼糞▼■■▼▼■■▼■■■▼糞糞糞糞
糞糞▼■■■■▼▼糞▼■▼糞糞▼■■■■▼糞糞糞糞糞
糞糞糞▼■■▼▼■▼糞▼糞糞糞糞▼■■■糞糞糞糞糞糞
糞糞糞▼■■糞糞■■▼糞糞糞糞糞▼■■▼▼糞糞糞糞糞
▼▼▼■■■▼■■■■▼糞糞▼▼■■■■■▼糞糞糞糞
■■■■■■■■▼■■▼▼■■■■▼■■■■■■▼▼
■■▼▼▼■■糞糞▼▼■■■■▼▼糞糞▼■■■■■▼
▼▼▼糞糞■■糞▼▼▼■■■▼▼■▼▼▼▼■■■■▼
糞■■■▼■■▼■■▼■■▼糞▼■■■■▼▼▼▼▼糞
糞■■■▼■■▼■■▼▼▼糞糞▼■■■■■■▼糞糞糞
糞■■■▼■■糞▼■■糞糞糞糞糞▼▼■■■■▼糞糞糞
▼■■■糞■■糞▼■■▼糞糞▼糞糞糞▼■■▼糞糞糞糞
▼■■■糞■■糞糞■■▼糞▼■■▼▼▼糞糞糞糞糞糞糞
▼■■▼糞■■糞糞■■▼糞▼■■■■■▼▼糞糞糞糞糞
▼■■▼糞■■糞糞▼▼糞糞▼■■■■■■■■▼▼糞糞
▼■■▼糞■■糞糞糞糞糞糞糞▼▼■■■■■■■▼糞糞
糞糞糞糞糞■■糞糞糞糞糞糞糞糞糞糞▼■■■■■▼糞糞
糞糞糞糞糞■■糞糞糞糞糞糞糞糞糞糞糞糞▼▼▼▼糞糞糞
20〜30通来るスパムが今日はパッタリ来ない。
かえって不気味なのだが…(笑)
http://pc7.2ch.sc/test/read.cgi/antispam/1110067163/781-786
http://pc7.2ch.sc/test/read.cgi/antispam/1110067163/789
糞糞糞糞糞■■▼糞糞糞糞糞糞▼■▼糞糞糞糞糞糞糞糞糞
糞糞糞糞▼■■糞糞糞糞糞糞糞■■▼糞糞糞糞糞糞糞糞糞
糞糞糞▼■■▼糞糞糞糞糞糞▼■■▼▼▼▼■■▼糞糞糞
糞糞糞■■■糞糞▼▼糞糞糞▼■■■■■■■■■▼糞糞
糞▼▼■■▼糞▼■■▼糞▼■■▼▼▼▼▼■■■糞糞糞
▼■■■■▼▼■■▼糞糞▼■■■糞糞糞▼■■▼糞糞糞
▼■■■■▼▼■▼糞糞▼■■▼■▼糞▼■■■糞糞糞糞
糞▼■■■■■■▼糞▼■■▼▼■■▼■■■▼糞糞糞糞
糞糞▼■■■■▼▼糞▼■▼糞糞▼■■■■▼糞糞糞糞糞
糞糞糞▼■■▼▼■▼糞▼糞糞糞糞▼■■■糞糞糞糞糞糞
糞糞糞▼■■糞糞■■▼糞糞糞糞糞▼■■▼▼糞糞糞糞糞
▼▼▼■■■▼■■■■▼糞糞▼▼■■■■■▼糞糞糞糞
■■■■■■■■▼■■▼▼■■■■▼■■■■■■▼▼
■■▼▼▼■■糞糞▼▼■■■■▼▼糞糞▼■■■■■▼
▼▼▼糞糞■■糞▼▼▼■■■▼▼■▼▼▼▼■■■■▼
糞■■■▼■■▼■■▼■■▼糞▼■■■■▼▼▼▼▼糞
糞■■■▼■■▼■■▼▼▼糞糞▼■■■■■■▼糞糞糞
糞■■■▼■■糞▼■■糞糞糞糞糞▼▼■■■■▼糞糞糞
▼■■■糞■■糞▼■■▼糞糞▼糞糞糞▼■■▼糞糞糞糞
▼■■■糞■■糞糞■■▼糞▼■■▼▼▼糞糞糞糞糞糞糞
▼■■▼糞■■糞糞■■▼糞▼■■■■■▼▼糞糞糞糞糞
▼■■▼糞■■糞糞▼▼糞糞▼■■■■■■■■▼▼糞糞
▼■■▼糞■■糞糞糞糞糞糞糞▼▼■■■■■■■▼糞糞
糞糞糞糞糞■■糞糞糞糞糞糞糞糞糞糞▼■■■■■▼糞糞
糞糞糞糞糞■■糞糞糞糞糞糞糞糞糞糞糞糞▼▼▼▼糞糞糞
-------------------------
今日もうやってるぞ!!
-------------------------
午後は○○おもいッきりテレビ
05/12(木) 後00:00 >> 後01:55 日本テレビ
[H] 情報/その他
振り込め詐欺撃退対策被害者に学ぶ実例手口公的な通知にも裏あり
▽地球守るサンゴの海▽筑後川・幻の魚揚げ強い歯自慢
100PV/日ぐらいだからかなぁ?
なんで僕んとこにはスパムメールこないのかなぁ?
教えて、エロイ人。
X-Mail-Agent: BSMTP DLL Feb 11 2003 by Tatsuo Babaでヘッダ偽装
「cc3e5e31631d408」のGoogleでの検索結果
http://www.google.co.jp/search?sourceid=navclient-menuext&ie=UTF-8&q=cc3e5e31631d408
「井川りかこ」のGoogleでの検索結果
http://www.google.co.jp/search?num=50&lr=lang_ja&ie=sjis&oe=sjis&q=井川りかこ
「井川りかこ」のgooブログでの検索結果
http://blog.goo.ne.jp/search/search.php?status=select&tg=all&ts=goo&st=time&dc=10&dp=all&MT=%B0%E6%C0%EE%A4%EA%A4%AB%A4%B3&ts=all&da=all
ブログで特集をしている人達
ttp://blog.livedoor.jp/g_tribal_s/archives/2005-05.html
ttp://den-no.cocolog-nifty.com/dustbox/2005/05/post_672a.html
ttp://d.hatena.ne.jp/djfort/20050522
「1818irete.com,2122262047.com,bikkuri-site.com,bitter-breeze.com,blackbreads.com,
botuki.com,chirapai.com,chirapan.com,e-chikubi.com,e-oshiri.com,ee-osirase.com,
from-webcoast.com,guchogucho.com,gun-sha.com,hamehamedaio.com,hamipandeka.com,
handachi.com,ikeikegal.com,ikisoh.com,ikisoh.com,ikuikuchat.com,kamename.com,
kirei-da.com,kurikurimanbo.com,maar.s6.x-beat.com,naka-dashi.com,namehamespanky.com,
nuginuke.com,nurunuru-archive.com,paruru.com,sokowadame.com,soresoreweb.com,
sukepan.com,tamaname.com,very-good-news.com,zabiero.com」という名があるURLを
迷惑メールや掲示板(BBS)、ブログ(BLOG)などで見かけたら、
それはペチンチン系列の悪質ワンクリ詐欺か、悪質出会い系サイトです。
http://tmp5.2ch.sc/test/read.cgi/mog2/1114922951/
http://raspe99.memebot.com/2ch/nan_pechin_senmetu.htm (BackUp)
ここを参照して、スパムメールとサイトを殲滅し、送信者の逮捕に協力しよう。
初めてメールを送ってくる人にコスト(計算機への負荷)を
負担してもらうってのはどうなんだろ?
サーバーがメールを受け取る前に
計算が大変な問題(素因数分解とか)を出して、
送信側がそれに答えたら、受け取るの。
知ってる人はホワイトリストに登録しといて、問題を免除する。
これだと、まともな人も計算に答えなきゃならないけど、
初めてメールを送ることって少ないと
思うから、少しの処理時間なら許容できる。
2回目は、ホワイトリストに登録してもらえばいい。
それに対してスパマーは、沢山の人に初めてのメールを
送ることになるから、塵も積もって山になる。
計算するのがコストがかかりすぎて馬鹿らしければ、
メールする気にならない。
よって、SPAMが殆ど無くなる。
と考えたんだけど、甘いかな?
それとも、もうガイシュツの技術なんだろうか?
システム作るのも運用もかなり難しそうだけど。
恐らく、他人のマシンで計算しようとするでしょう。
ウィルスとか他人のマシンに仕込もうとするかもしれません。
でも、逆に言うとウィルスとか仕込んだりしなければ、
メールを送れないということになります。
それに、沢山送るには沢山のマシンを占拠しなきゃなりませんし、
重たい処理をさせれば、すぐにばれてしまいます。
軽くすれば、送るのに多くの時間がかかるわけです。
広告の効果が現れないうちに発信元や手口も特定できます。
沢山、占拠しようとすれば、危ない橋を渡ることにもなります。
と考えてみました。
他の人が考えてることも勉強しような。
87のようなことは SMTP の仕様上不可能。
可能な方法として greylisting というのが使われはじめている。
おれは大嫌いだが。
考えたんですけど、やっぱ、無理ですかね。
greylistingは知りませんでした。
もっと、精進します。
サーバからの応答によってクライアントの振る舞いを変えるというのは
まさに ESMTP だが、あくまでオプションなので強制できない。
疑わしい接続元からはいったん拒否して再送を待つ → greylisting
わざと応答を遅延して時間あたりの送信量を抑える → tarpit
ユーザーにも手間が増えますし・・。
tarpitも知りませんでした。
私も最初は同じこと考えたんですが、
greylisting方式は、再送されたら意味無しなんです。
tarpit方式は、遅くなってる間に他に送れちゃうんです。
あとメールを沢山受け取らなきゃいけないサーバーには
きついんです。
それで、ホワイトリストをサーバーに置いて、
普通の人は迅速に受け取れる。
重くするのはユーザーサイドだけにし、
計算量そのものを増やす。
ということを考えたつもりだったんですが・・orz
アイデアを発表することは素晴らしいことだと思う。
がんがれ。
実現性があるかわからんけど、送信側がメールの送信料を
負担する仕組みになれば、無駄にメールを送るアポがいなくなると思うんだけど・・・
http://karmak.org/2004/spam-solutions/#resource
Resource Expenditure
This method would require the sending computer to perform some small
computation before a message was accepted. This would in theory be a
small enough computation so as not be a burden to a non-spammer, but
would quickly bog down a machine sending out millions of messages.
This is conceptually equivalent to the email tax, and has many of the
same problems.
膣の中が気持ちいいんだよ。
かなりアタッマきてる
minako123@so-net.ne.jp jyoreina_0121@yahoo.ca
yynoda@hotmail.com seeday_mika0025@yahoo.it
ayamedesuyo@so-net.ne.jp kugiugiugiug555@yahoo.fr
iqtqvdqyzg2@so-net.ne.jp ghfhf2334@yahoo.de
minako123@so-net.ne.jp dfhrtuj356@yahoo.de
vcnmgh435@yahoo.de erina_s841@yahoo.fr
hitoe350@ocn.ne.jp hhkmfdgs765@yahoo.de
vcnmgh435@yahoo.de gric/mintka_8@nifty.com
barmari17@so-net.ne.jp supersweetlovely@yahoo.co.uk
dodiddodido798@yahoo.fr aori-toku@kjd.biglobe.ne.jp
meronmeron0122@ocn.ne.jp asfcsfg3445@yahoo.ca
nutsberry7834@yahoo.de gric/yumiyumichan@nifty.com
sddfrd3234@yahoo.ca dunkinsub65@yahoo.fr
idpvj5@so-net.ne.jp season89147@yahoo.fr
sango777@so-net.ne.jp comonbemygirl17@yahoo.co.uk
peacesmily_nw@yahoo.fr trtttttttttttt77@yahoo.fr
hokutokenn3256@yahoo.de lovepsycholgy@yahoo.co.uk
saepunch@yahoo.co.uk gold_shining_gs1@yahoo.fr
orion@dm.mailpia.net nutsberry7834@yahoo.de
hokutokenn3256@yahoo.de jiympnvlwp4@so-net.ne.jp
最近、迷惑メールが頻繁に来るようになりました。
どうしてこんな事をするのか不思議です。
上記が今日までに来たメールアドレスです。
あちこちでうざい
http://pc10.2ch.sc/test/read.cgi/mysv/1170559205/l50
reject: RCPT from tgmsmttk**sc3.softbank.ne.jp から。
うぜ〜。
rejectしか方法ないのか?
RHEL3にspamassassin-3.1.7をインストールして使っていました。
rpmbuild -tb Mail-SpamAssassin-3.1.7.tar.gz
これでパッケージ作って、spamassassinとperl-Mail-SpamAssassinを入れました。
RHEL3のup8のCDイメージからperlをrpmでアップデートしたら、
spamassassinが起動しなくなりました。
RHEL3標準2.55だと起動します。仕方がないので今はそれを使っています。
3.1.8でも3.0.6でもうまくいきません。
エラーメッセージはログが残っていませんがこんな感じです。
linux-threadのカーネルバージョンがなんたらかんたらって出てきます。
実際のカーネルは2.4.21-xxで、2.6.9-xxを使っていないからダメだとか。
その結果Socketのエラーになって起動できないっていうようなメッセージです。
RHEL3は2.4系だからどうしようもない。
spamassassin-3.xを使ういい方法ないですかね?
同様にはまった人はいますか?
自分で鯖管していて、MDAにprocmail使っているなら、
~/.procmailrcいじくって、正規表現でそれっぽい文字列を排除するようにしたら
多少は良くなるんじゃないですか?
あなたがファイザー製薬関係者なら無理でしょうけどw
>>110
IPベースのSPAMサイトブラックリストみたいに、
特定アジアかどうか判定するサイトがあったら、
使う人結構いそうですねw
これ使ぉたら効果バツグンやで。
いや、鯖に来てもいいからMTAに触らないでほしい。
ログが汚れる。
知ってる人教えてメカドック。
MailWasher漏れも入れて見たけどいい感じやね。
>>117
SPAM送信元にエラーメール返すだけだから他に迷惑は
掛からんと思うけど、何が問題なんでしょ?
今さらSPAMメールのFrom:が正しいなんてことはあり得んだろう。
常識的に考えて・・
あー確かになんぼでも偽装出来ますな…。
しかしエラーメールで返してやったら確かに来る数が極端に減った訳で。
100通/日位で届いてたのが2,3通/日位にガタ落ちに。
キャッチオール設定にしているうちのドメインは1ヶ月に一回ぐらいFrom詐称されてます。
多いときは1日数千通のエラーメールですね。
あとは日常的に
icq1@ icq1nn@ spm@ ml@ catchthismail@
mlx@ contact@ icq1s@ cq1n@ xrbz@ pm@
mln@ helloitmenice@ guest@
これらのアカウントにSPAMが来る。
エラーメールはSPAMよりフィルタしにくい分迷惑
ttp://s25r.blogspot.com/2007/05/blog-post_8973.html
なんで今までこれが紹介されてないのか不思議
SPAMの知識が古すぎて話にならん。
tarGreyって何?taRgreyなら知ってるけどww
softbank.ne.jpを拒否
これで99%OK
なわけあるか
yahoo も追加するといいよ
敵も巧妙なのか20%くらい隙間ついてきます。
私が今やってることとして、iptableで中韓のアドレスを遮断。
spamassassin+bsfilter+procmailrcでの振り分けです。
spamをたくさん欲しいのですが、
どっかナイスな宣伝場所はないものでしょうか?
http://pigmon.ddo.jp/
contact@pigmon.ddo.jp
出会い系サイトに登録すれば嫌でも大量に来る。
登録して無くても姉妹サイト?から止めどなくやってくる。
ありがとうございます。
釣りじゃなくて、マジです。
出会い系サイトとは思いつきませんでした。
早速どっか登録してみます。
早速3つ登録してみました。
おかげさまで、taRgreyでpostgreyが
動いていることが確認できました。
他にもどっかいいスパム業者があったら教えてくださいw
名簿屋のクローラーが巡回・収集して送ってくるだろよw
腕試し?
そうですね。そんな感じです。
Linuxの勉強をしています。
ITproで「S25R」を見て、今実装中です。
>143
第三者中継は大丈夫ですよ。
http://pigmon.ddo.jp/Relay_Checker_by_RB.pdf
spamcomにも登録はされていませんでした。
ただ、ログの読み方が完全には分からないので、
ちょと困ってます。
なんかHTML化してくれるようなツールがあるといいんですけど。
ググれば山ほど書いてあるよ。HTMLにしたからって読めんのかよ。
ちがうよ。AWstatsみたいに見やすいといいなってこと。
ま、おっしゃる通りちょとググって見ますわ。
http://pigmon.ddo.jp/pflogsumm20080414.html
う〜ん、ちょといまいちかな。
他に探して見ます。
チョト変えてみた。
もっとたくさんSpam欲しいんだけどな。
なんかナイスな海外掲示板ありませんか?
中国とか韓国とかやばそうな国で宣伝しまくりたいんですが。
出会い系・アダルト系のサイトに登録してみる。
パチンコ雑誌を買ってきて、広告出してる金貸し業者に登録してみる。
ありがとうございます〜。
アダルトサイト(出会い系)はやってみました。
taRgrey対策済みみたいで、くぐりぬけてきちゃうんですよね〜。
なんで今度はアングラ系でも行ってみます。
パチンコはやらないんで、あきらめます。
潜り抜けられるのはSPAMの何%ぐらいですか?
最近tarpitが回避されるって話を聞くようになりましたが…
う〜ん、ごめんなさい。統計の取り方が分からないもので。。
ただ、自分から登録した出会い系サイトからのメールは、
ほぼ100%すり抜けてきますね。
なんで、rejetct_heloで弾いちゃいます。
ただtarpit以前で引っかかっているメールのほうが多いです。
こんな感じです。
------------------
NOQUEUE: reject: RCPT from unknown[125.187.32.169]: 450 4.1.8 <win@clockmail.net>:
Sender address rejected: Domain not found; from=<win@clockmail.net>
to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<m19.mailyes.net>
NOQUEUE: reject: RCPT from kcc-202-178-81-110.kamakuranet.ne.jp[202.178.81.110]:
504 5.5.2 <104/.@x>: Sender address rejected: need fully-qualified address;
from=<104/.@x> to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<pigmon.ddo.jp>
------------------
ま、自分のアドレスがまだそんなにブラック業者に
出回ってないせいでしょうか。出回るこれからが勝負ですね。
その手の業者は、なんの工夫もせずに送ってきてるから逆にすり抜けちゃうんだよ。
qmailとかをそのまま使って送るから、tarpitもgreylistも効かない。ある意味最強。
heloとかで拒否するのが現実的だね。
そう、今そのheloで困ってます。
自分から仕掛けといて、困るもくそもないんですが。。
すり抜けてくるやつらの、helo(orEHLO)コマンドの
内容が分かんないんです。
logwatchとかmaillogとかに、載っていると思って
漁るんですが、何てheloを打ってきたのか
載ってないんですよね。
これからちょと@ITの会議室で質問してみます。
よかったらみなさんあっちで回答ください。
登録制なのが面倒ですが。。
全ての条件でWARNを掛けれるようにすればいい。
ブロックしたり
フリーツール使用しています。
でも半分減ったが3,4件来ます。
嫌ですね。
なにか対策ないかなぁ。
フィルター後自鯖に転送するようにした。
快適
JPNICで範囲洗ってiptable入り、、、もしくはheaderchecksとかでエラーメール
返すのがいいのか、迷い中
エラーメールであろうと、何らかの反応を示すのは逆効果って話を聞く
あぁ、確かにそれもよく聞くね。
トラフィックにもよろしくないから、しつこいとルーターレベルでお帰り頂く事に
するわ。そのほうがログも吐かないし。
いままで圧倒的に多かったUS発を抜いて、スパムのおよそ1割がトルコ発。
それも全部がリモホの逆引き設定なし。
ちなみにワースト10は
1385 TR
1376 US
1172 RU
1080 GB
0921 CN
0862 BR
0706 KR
0455 IN
0421 DE
0410 CO , ES
アメリカが少なくなって来て近隣国やヨーロッパが増えた。
迷惑メールのフィルターデータベス会社で
バラクーダとクラウドマークではどちらが優秀ですか?
無反応だと生きていると思われるからアドレス販売業者の思うつぼじゃないのか。
メアド乗せたのがまちがいですた。
その頃ネット初心者ですたので
とりあえずスパム送るやろー どっかの組の下っ端だか分からんがムカツク
うざい あとを絶たないでイタチゴッコだが妙にムカつく犯罪だぞ。これ。
いまにパクられるしな。どうせやっつけられて
皆無視しろ。当たり前だが
rejectしてるので特に問題ないですね。
ISPのメアドのほうに国内からのSPAMが微妙に増えて来たので
レン鯖の業者とかISPにクレームしてます。
やっぱり丸紅インフォテックからメアドとか流出したのが効いてきたのかなこれは
国内組は誘導ドメインベースで判断する自作スクリプトで弾いてます。
でも2日に1通くらいは届くんだよね〜
撃ち返す相手は本当にSPAMの送信者なのかい?
今は収まったけど防ぎようが無いのは困るなぁ。
きっちり20回づつ試してるところをみると負荷攻撃かな・・・
全く無駄なことを
ウチは昨日が多かった。
script で iptables で弾いちゃうから、最終的にどの程度来ているのか
判らないけどね。
つーか、先月の米韓へのDDos 攻撃の間がなぜか一番多かった。
日本のドメインなのに・・・orz
んで、火曜日はUser unknownが倍増ですw
何だろう日を変えてスパム通過実験でもしてるんですかね・・・
無駄なことを
iptableで弾こうにも、元ipが全部違うんだが。これがbot netから来てるってやつなのか?
昨晩からまた、急増。
現在も、複数のIPアドレスからBrute force attack的な状態になっている。
1秒間に 400 コネクションとか張ってくるなよ。
万が一のためにと思って作っておいてツールが大活躍です。
>>180
恐らくそうでしょ。
不定期だけど先月から量が極端に増えている・・・
なんの bot なのかは判らないけどね。
ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ
日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック
でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね
確かに、ランダムでは無いね。辞書を使っていると思う。
ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada
って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。
これ、嫌な感じだよね。
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。
78.187って・・・
あぁ0〜55なのか
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね)
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
そうだよ。
絞る前は、300 connection とかあった。
ビンゴだねw
8月の頭からきてるってことだな
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!!
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの?
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
http://pc11.2ch.sc/test/read.cgi/mysv/1119304945/737
http://pc12.2ch.sc/test/read.cgi/unix/1124772932/369
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
こいつがハックしてるらしいよ。
受け取って各メールボックスに配送することはできますか?
それ以外に特に制約条件が無いなら技術的には可能。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。