土曜日, 6月 13, 2015

本文チェックによるブロック条件の追加

 昨日6月12日と今日13日の2回、「business solutions」というサブジェクトで本文がまったく同じスパムが着信した。送信者アドレスと送信元ホストは異なっていた。昨日の送信元ホストcongcong.diqiutong.net [181.214.50.138]はその後共有ブラックリストに掲載していた。今日の送信元yixiang.3dsheji.cc [103.41.176.30]も、そのドメインのウェブサイトがないという掲載条件を確かめた上で掲載した(いずれも、末端ホスト名とその有無にかかわらず引っかける正規表現にしている)。
 そのスパムの本文に特徴的な部分は、

Email: a***@sina.com

であった。5月22日の記事で、body_checksに

/(E-?mail|Contact):.+@tom\.com/ REJECT
/(E-?mail|Contact):.+@aliyun\.com/ REJECT

と設定したことを述べたが、これに「@sina.com」を加えて、文字列サーチの処理効率を考慮して

/(E-?mail|Contact):.+@(tom\.com|aliyun\.com|sina\.com)/ REJECT

と一行の条件に書き換えた。
 www.sina.comにアクセスすると、中国のまともそうなウェブサイトが現れる。しかし、「@sina.com」は拒絶ログで何度も見た記憶がある。だからといってsina.comは怪しいドメインだという意味ではなく、アドレスをかたられたり標的にされたりしやすいドメインなのかもしれない。
 今までにも言っているが、上記のような本文チェックや、サブジェクトなどのヘッダチェックは、無実のメールを恒久的受信拒否で蹴飛ばすおそれが皆無ではないので、個人サイトか、受信者全員の同意を得ることができる小規模サイトにしかお勧めしない。しかし、このようなスパムの送信元を掲載した共有ブラックリストは、中規模以上のサイトでも使っていただいて差し支えない。一時的受信拒否で蹴るように書いてあるので、そのまま使えば、あるいは許可の遅れ時間を長めに設定したグレイリスティングによって、偽陽性からの救済の余地があるからである。

0 件のコメント: