火曜日, 6月 09, 2015

共有ブラックリストの試行運用のお知らせ

 4月11日の記事で、数字だけのサイトドメイン名のホストからスパムが送られてくることが多いと報告して以来、スパマーがスパム送信のために取得したと思われるドメインがかなり多く見つかっている。また、6月3日の記事で、ランダムっぽい英字列のサイトドメイン名のホストからのスパムもかなり多いとの情報をコメントでいただいたことを紹介した。
 そのコメントをくださった方からメールをいただいた。日頃ホワイトリスト情報で協力してくださっている方だった。そういう、S25Rに引っかからない怪しいドメインを集めた共有ブラックリストを私が提供するなら協力していただけるとのことだったので、試行運用をしてみることにした。「ボットからのスパム送信を封じ込めてしまったS25Rが、多数のスパム送信用ドメインの取得という手口で裏をかかれ始めている」と思われるのが癪だからという思いもあってのことである。
 提供ファイルのURLは

http://www.gabacho-net.jp/anti-spam/black-list.txt

である(以前、このファイル名で「S25Rの一般規則による偽陽性を避けるために一般規則をやめる代わりのドメインブラックリスト」を試行提供したことがあるが、立ち消えになってしまったので、そちらはもうやめることにする)。
 共有ブラックリストを利用するには、/etc/postfix/main.cfファイルで以下のように指定する(サイトごとのカスタマイズは適当に)。

smtpd_client_restrictions =
  permit_mynetworks,
  check_helo_access regexp:/etc/postfix/helo_restrictions, # 違法なHELOの拒否
  reject_unauth_destination, # 第三者中継の拒否
  reject_unlisted_recipient, # 受信者不明の拒否
  check_client_access regexp:/etc/postfix/white-list.txt, # 公開ホワイトリスト
  check_client_access regexp:/etc/postfix/white_list, # ローカルホワイトリスト
  check_client_access regexp:/etc/postfix/black-list.txt, # 共有ブラックリスト
  check_client_access regexp:/etc/postfix/rejections # ローカルブラックリストと一般規則

 cronジョブで自動ダウンロードされる場合は、試行運用期間中は一時間1回までならしていただいてよい。ただし、もし本格運用に至った時には、公開ホワイトリストと同じく一日1回までとお願いすることになると思う。
 ポリシーは以下のとおりとする。
  • スパムの前科があり、S25Rチェックをパスする(つまり、逆引きできてパラノイド検査もパスする)送信元ホストのFQDNをコメント行に記載する。
  • ドメイン自体が怪しいと推測される場合は、ドメイン丸ごとの拒否条件式を記載する。
  • 拒否条件指定は「450 spam ex-convict」(スパムの前科者)とする。システム環境やポリシーに応じた書き換えは利用サイトで適当に。
  • ドメインが消滅したか、または怪しいドメインではないことに、私が気付いたかまたは協力者から通知された時には、掲載を取り消す。
 協力いただける方は、メール掲示板かこのブログへのコメントのいずれでもよいので、情報をお寄せください。

 このような怪しいドメインで、スパムアクセスがあってから1ヶ月も経たずにもう消滅しているものもあった。今日サーバに載せた内容は以下のとおりである。今日時点で、FQDNが順引きできることは確認している。

# *** PUBLISHED S25R BLACK LIST ***
# Last update: Jun 09, 2015
# (*): reported by a contributor

# Jun 09, 2015: yayi.armsgame.com
/^(.+\.)?armsgame.com$/ 450 spam ex-convict

# Jun 09, 2015: kongdao.hljccl.com
/^(.+\.)?hljccl\.com$/ 450 spam ex-convict

# Jun 09, 2015: sunshine.nunv.net
/^(.+\.)?nunv.net$/ 450 spam ex-convict

# Jun 09, 2015: coco.27838.net
/^(.+\.)?27838\.net$/ 450 spam ex-convict

# Jun 09, 2015: july.7819888.com
/^(.+\.)?7819888\.com$/ 450 spam ex-convict

# Jun 09, 2015: dove.150686.com
/^(.+\.)?150686\.com$/ 450 spam ex-convict

# Jun 09, 2015: pizza.89mt.com
/^(.+\.)?89mt\.com$/ 450 spam ex-convict

# Jun 09, 2015: chu.0530ok.com
/^(.+\.)?0530ok\.com$/ 450 spam ex-convict

# Jun 09, 2015: mar.xzmp4.com
/^(.+\.)?xzmp4\.com$/ 450 spam ex-convict

# Jun 09, 2015: black.loudiok.com
/^(.+\.)?loudiok\.com$/ 450 spam ex-convict

# Jun 09, 2015: right.68706.net
/^(.+\.)?68706\.net$/ 450 spam ex-convict

# Jun 09, 2015: maidong.20962.net
/^(.+\.)?20962\.net$/ 450 spam ex-convict

# Jun 09, 2015: white.91yuepao.com
/^(.+\.)?91yuepao\.com$/ 450 spam ex-convict

# Jun 09, 2015: jizhoudao.13015.net
/^(.+\.)?13015\.net$/ 450 spam ex-convict

0 件のコメント: