2015年4月24日に、第三者中継を目論むこんなアクセスがあった。
Apr 24 09:16:49 reject: RCPT from ip98.ip-5-135-192.eu[5.135.192.98]: 554 5.7.1 <***@gmail.com>: Relay access denied; …
Apr 24 09:16:51 reject: RCPT from ip98.ip-5-135-192.eu[5.135.192.98]: 554 5.7.1 <***@gmail.com>: Relay access denied; …
Apr 24 09:16:52 reject: RCPT from ip98.ip-5-135-192.eu[5.135.192.98]: 554 5.7.1 <***@gmail.com>: Relay access denied; …
euは欧州連合の国ドメインである。トップレベルドメインの直下がIPアドレスの上位3オクテットをそのまま反映したドメイン名になっているなんて初めて見た。
第三者中継はS25Rチェックよりも先にチェックするように設定しているので「Relay access denied」で蹴っているが、この送信元の逆引きFQDNは一般規則のルール4に引っかかる。ルール3はsmtp.246.ne.jp(実在)を蹴らないように、ルール5はmail1.number1.co.jp(ホスト名は架空、ドメイン名は実在)を蹴らないように上位3階層を検査から除外するようにしていて、ルール4もmail1.1-2-3.co.jp(ホスト名は架空、ドメイン名は実在)を蹴らないようにしようかと検討したのだが、wbar9.chi1-4-11-085-222.dsl-verizon.netやm226.net81-66-158.noos.fr(2003年のS25R開発時に発見されたスパム送信元の実例)を蹴れるように、ルール4についてはその偽陽性回避策を採らなかったからである。
0 件のコメント:
コメントを投稿