土曜日, 7月 04, 2015

まだ一般規則で阻止できるホストの予防的ブラックリスト登録

 今日(7月4日)、協力者から報告されて公開ブラックリストに掲載した項目に

/^(.+\.)?0mfx\.com$/ 450 spam ex-convict

というのがある。不審なホストのFQDNはCybill.0mfx.comとのことである。実は、そのIPアドレス115.159.74.217は、現時点で逆引きできない。だから一般規則で阻止でき、このブラックリスト項目にはまだ効果がない。これは予防措置として提案されたものである。これは一例である。
 その方は、高い調査スキルをもって「このIPアドレスは怪しい。まだ逆引きできない(またはパラノイド検査エラーになる)が、DNS設定が整ったら突き抜けられる」などのように予見して、ローカルルールでブロックするということもしておられるそうである。それで実際、DNS設定が整った後で、スパムを受信することなくスパム送信ホストを釣り上げてただちに報告してくださったこともある。

 その方のサイトのMTAはsendmailである。sendmailは、PTRレコードが引けたらその名前をログに表示し、パラノイド検査エラーになったら「(may be forged)」(偽造かもしれない)を付記する。Postfixは、PTRレコードが引けてもパラノイド検査エラーになったら逆引き名を「unknown」とするが、それに比べて、怪しそうなホストを名前で識別できるケースが増えるという点で、sendmailの流儀にメリットがあると言えそうである。Postfixもそのように仕様変更してほしいとまでは思わないが。

木曜日, 7月 02, 2015

第三者中継チェックか?

 第三者中継として拒否したアクセスがあった。

Jul  2 19:02:29 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>
Jul  2 19:02:34 reject: RCPT from f261.fuchsia.fastwebserver.de[93.186.202.9]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@reto.jp> to=<test@gmail.com> proto=SMTP helo=<f261.domain>

 6月13日の記事で、第三者中継を目論むアクセスを何度もしてきているnairobi.pollmans.co.keを、ちゃんと第三者中継の禁止をしているサイトにとっては無害だがスパムの前科者としてブラックリストに載せたことを述べた。こいつは続けて2回も第三者中継のアクセスをしてきてやがる、失礼な奴だな、こいつもブラックリストに載せてやろうかと思った。
 しかし、よく見ると宛先アドレスのユーザー名はtestである。送信者アドレスに私のドメインreto.jpを使っているのも無礼だなと一瞬思ったが、よく考えてみたら、送信者アドレスが自分のドメインだったら外への中継をしてしまうという間違った設定をしているメールサーバが世の中にあるので、そういう穴がないかどうかをチェックしているのかもしれない。
 それにしても、第三者中継をしないことは1回のアクセスでわかるだろうに2回アクセスしたことと、自ドメインでなく無関係のgmail.comドメインを宛先にしたのは、私の価値観から言えばモラルにそぐわないと思うぞ。RCPTコマンドが受け付けられたらDATAコマンドまで送り込んで、受理されてしまうことまで確認するのかどうかはわからないが(それは見せかけの受理ということもありうるが)、もし第三者中継をしてしまうホストだったら、gmail.comへの無駄な送信アクセスを発生させるおそれがある。その無駄な送信アクセスを自ドメインで受けるというポリシーをはっきり見せているチェックアクセスなら、モラルにそぐわないなどと言うつもりはない。

水曜日, 7月 01, 2015

怪しいホストが3匹釣れた

 今日(7月1日)、公開ブラックリストに登録した項目のうち3件は私のサイトで見つかったものである(協力者からは16件も報告された)。この3件を見つけるに際して、スパムは一通も受信していない。見つかった順に示す(ファイル上での記載は逆順)。

# Jul 01, 2015: auchan.025552.com
/^(.+\.)?025552\.com$/ 450 spam ex-convict

 「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字列で始まる」というローカルルールで検出した。
 このドメインのウェブサイトはない。送信ドメインはyahoo.de。これにはSPFがないが、www.yahoo.deはde.yahoo.comにリダイレクトされるので、Yahooのドイツ法人であることは間違いない。だから、送信元がyahoo.comのSPFに合わない以上、送信者アドレスは偽造だと断定してよいだろう。また、一時的受信拒否に対して再送信はなかった。これらにより、怪しさ確定。
 私のローカルルールはすべてのS25R利用サイトに勧められるものではないが、自分のリスク負担でこれを使うことによって、すべてのS25R利用サイトに勧められるブラックリスト項目をこうして釣り上げることができる。

# Jul 01, 2015: yimiao.kongqingbao.com
/^(.+\.)?kongqingbao\.com$/ 450 spam ex-convict

 body_checksで「Contact: ***@sina.com」が引っかかった。このドメインのウェブサイトはない。送信ドメインはやはりyahoo.deだった。
 もしこの内容チェックが偽陽性判定だとしたら、「こういうスパムが来て困ってるんですけど」という相談メールということがありうる。もしそうなら、送信者は善良そうな人だということは送信者アドレスから見当が付くだろう。そうなったらこちらからメールを送って連絡をとればよい。組織サイトにはあまり勧められない内容チェックだが、個人サイトの私ならそういうリスクマネジメントができる。

# Jul 01, 2015: hal9000.okrutny.net
/^(.+\.)?okrutny\.net$/ 450 spam ex-convict

 宛先のユーザー名がotori4というおとりのアドレスだった。ホームページに仕掛けた見えないmailtoアンカーに釣られたものである。送信ドメインは著名なaol.com。もちろんそのSPFに送信元が整合するはずもない。www.okrutny.netのウェブページは現れ、連絡先として電話番号は書かれているが、どういうビジネスのサイトなのかがわかる説明はない。「黒」確定。
 なお、おとりのアドレスは、2003年からホームページに見えないmailtoアンカーで仕掛けたのがotori1だった。その後、スパムの送信停止受付サイトにわざと書き込んでみたのがotori2とotori3だった。これにも引っかかったスパマーがいた。otori1はしばらくやめていたのだが、昨年、スパムアクセスが非常に少なくなったことから、「これから釣れるのはどのくらいになるだろうか」と思って、再びホームページに仕掛けていたのがotori4である。

公開ブラックリストのポリシーを少し修正

 公開ブラックリストのポリシーを少し修正した。下線部分が変更点である。

 スパムを送信したことがあり(そのスパムが受信されてしまったかどうかにかかわらず)、かつ以下のいずれかの条件を満たすホストまたはドメインをブラックリストに掲載します。
  • そのドメインのウェブサイト(http://www.ドメイン名/ または http://ドメイン名/)がない。――ドメイン全体を警戒する拒否条件を掲載します。
  • ウェブサイト(リダイレクトされたページを含みます)があっても、そのドメイン固有の真っ当なビジネスの説明が掲示されていない。――ドメイン全体を警戒する拒否条件を掲載します。
    (空白のページ、パスワード入力ページ、ドメイン転売のページ、リンク集だけのページ、違法なビジネスのページはこの条件に含まれます。)
  • ウェブサイト(リダイレクトされたページを含みます)に掲示されたビジネスは、顧客のコントロール下にあって悪用されるリスクのあるホストを収容するネットワークサービスである。――そのドメイン内の不審なホストまたはホスト群だけを警戒する拒否条件を掲載します。
    (ネットワークサービス事業者のコントロール下にあるメールサーバは、たとえそこからスパムが送信されても、掲載しません。)
 上記の条件に当てはまらないホストであっても、挙動が悪質である(ビジネスは合法でも、広告メールの送信を違法に繰り返しているなど)か、またはドメイン所有者などの情報から疑わしいと判断される場合は、掲載することがあります。

 まだスパムの前科のないドメインまで疑わしいと判断してブラックリストに掲載するというポリシーは、私には運用が困難だという考えから、今まで明文化していなかった。しかし、いつも協力してくださっている方が、高い調査スキルを駆使して、そういう疑わしいドメインも報告してくださっている。そこで、そのような貢献を受け入れるというポリシーを明文化する意味で、上記のように修正した。