日曜日, 3月 28, 2010

リトライするスパムたち

 2月28日から3月28日までの間にあった、メールサーバの挙動を示すリトライアクセスで、スパムに違いないと判断して放置したものを紹介する(リトライ期間が5分未満であるためにグレイリスティングを突破しないと考えられるものは除いている)。リトライするスパムの挙動の観察は個人サイトでないとやりにくいだろうし、その観察結果を公表する人は他にほとんどいないだろう。グレイリスティングを突破するスパムの状況として参考になれば幸いである。
 リトライ間隔とリトライ期間がわかるように、各リトライシーケンスについて最初2回と最後2回のアクセスを示す。

Mar  1 01:10:33 168-143-90-82-compute-ag1-ash01.opsourcecloud.net [168.143.90.82] from=<> to=<deo@gabacho-net.jp> helo=<168-143-90-82-compute-ag1-ash01.opsourcecloud.net>
Mar  1 01:24:30 〃

Mar  1 12:42:00 〃
Mar  1 12:54:06 〃

 送信者アドレスが空アドレスなのは、正常ならばエラー差し戻ししかあり得ない。エラー差し戻しを受ける心当たりはないので、これはスパムかウィルスメールに違いない。

Mar  6 02:29:55 unknown [74.50.95.24] from=<dogbreedernetwor@dogbreedernetwork.org> to=<deo@gabacho-net.jp> helo=<win1.worldplanethosting.com>
Mar  6 02:30:57 〃

Mar  8 00:22:29 〃
Mar  8 04:22:33 〃

 人のメールアドレスとは思えない送信者アドレス。また、私が知らない人からの初めてのメールは「deo」でなく「webmaster」に送られてくるはず。だからスパムに違いない。

Mar  8 00:06:03 unknown [218.241.81.77] from=<charlesela111@aol.com> to=<deo@gabacho-net.jp> helo=<mail.nexcom.cn>
Mar  8 05:49:58 〃

Mar 12 17:37:44 〃
Mar 13 01:54:43 〃

 aol.comドメインを名乗りながら送信元ホストが逆引きできないこと、HELOアドレスが中国の国ドメインであることから、中国のサーバからばらまかれているスパムと考えられる。

Mar 13 02:53:14 LAubervilliers-153-53-26-210.w217-128.abo.wanadoo.fr [217.128.153.210] from=<paypal@800-500-6200.com> to=<deo@gabacho-net.jp> helo=<mrravieres.com>
Mar 13 02:54:15 〃

Mar 15 02:43:09 〃
Mar 15 02:58:21 〃

 PayPalをかたったフィッシング詐欺のスパムであることは間違いない。

Mar 15 15:31:39 unknown [213.42.154.10] from=<paypal@71959.com> to=<deo@gabacho-net.jp> helo=<mailfw.protools-uae.com>
Mar 15 15:54:58 〃

Mar 17 07:25:44 〃
Mar 17 08:49:19 〃

 これもPayPalをかたったフィッシング詐欺のスパム。

Mar 18 20:52:36 s142-179-185-85.ab.hsia.telus.net [142.179.185.85] from=<MasterCard@10268.com> to=<deo@gabacho-net.jp> helo=<gpserver.powell.local>
Mar 18 20:53:38 〃

Mar 19 23:59:15 〃
Mar 20 00:14:16 〃

 マスターカードをかたったフィッシング詐欺のスパムに違いない。

Mar 23 22:48:30 173-9-52-225-NewEngland.hfc.comcastbusiness.net [173.9.52.225] from=<paypal@51873926.com> to=<deo@gabacho-net.jp> helo=<mail.tristateneuro.com>
Mar 23 22:49:31 〃

Mar 25 22:33:47 〃
Mar 25 22:48:49 〃

 これもPayPalをかたったフィッシング詐欺のスパム。

Mar 24 04:21:10 133-20.trifle.net [195.24.133.20] from=<german3627@gmail.com> to=<deo@gabacho-net.jp> helo=<kit2005.com>
Mar 24 04:36:28 〃

Mar 25 21:38:48 〃
Mar 25 23:01:49 〃

 gmail.comドメインを名乗るメールが、聞いたこともない逆引きドメインから送られて来ていて、HELOアドレスも聞いたこともないドメイン。スパムによくあることである。

Mar 26 05:06:18 94.41.229.45.dynamic.str.ufanet.ru [94.41.229.45] from=<deo@gabacho-net.jp> to=<deo@gabacho-net.jp> helo=<mx3.aol.com>
Mar 26 05:11:20 〃

Mar 26 05:26:28 〃
Mar 26 05:31:31 〃

 受信者アドレスと同じ送信者アドレスをかたるのも、スパムによくある。自分がモバイルPCなどから自分宛に送信したわけではないのだから、当然スパムと断定できる。

 グレイリスティングを突破するスパムアクセスは、以上9通。拒絶ログソーティングスクリプトでカウントした推定メッセージ数は342通(偽陽性判定を除く)なので、グレイリスティングの突破率は2.6%ということになる。2年前の2008年3月22日には「グレイリスティングの突破率は1%くらい」と報告したが、それより高くなっている。しかし、スパマーがグレイリスティングを攻略しつつあると断言するのは早計である。リトライするスパムアクセスがたまたまここ1ヶ月に多かったのかもしれない。もっと多くの統計をとってみなければはっきりしたことは言えない。
 なお、2月28日から3月28日までの期間で、推定メッセージ数は342通、受けたスパムは3通なので、阻止率は99.1%であった。