水曜日, 7月 01, 2015

怪しいホストが3匹釣れた

 今日(7月1日)、公開ブラックリストに登録した項目のうち3件は私のサイトで見つかったものである(協力者からは16件も報告された)。この3件を見つけるに際して、スパムは一通も受信していない。見つかった順に示す(ファイル上での記載は逆順)。

# Jul 01, 2015: auchan.025552.com
/^(.+\.)?025552\.com$/ 450 spam ex-convict

 「トップレベルドメインがcomかnetで、サイトドメイン名が5桁以上連続する数字列で始まる」というローカルルールで検出した。
 このドメインのウェブサイトはない。送信ドメインはyahoo.de。これにはSPFがないが、www.yahoo.deはde.yahoo.comにリダイレクトされるので、Yahooのドイツ法人であることは間違いない。だから、送信元がyahoo.comのSPFに合わない以上、送信者アドレスは偽造だと断定してよいだろう。また、一時的受信拒否に対して再送信はなかった。これらにより、怪しさ確定。
 私のローカルルールはすべてのS25R利用サイトに勧められるものではないが、自分のリスク負担でこれを使うことによって、すべてのS25R利用サイトに勧められるブラックリスト項目をこうして釣り上げることができる。

# Jul 01, 2015: yimiao.kongqingbao.com
/^(.+\.)?kongqingbao\.com$/ 450 spam ex-convict

 body_checksで「Contact: ***@sina.com」が引っかかった。このドメインのウェブサイトはない。送信ドメインはやはりyahoo.deだった。
 もしこの内容チェックが偽陽性判定だとしたら、「こういうスパムが来て困ってるんですけど」という相談メールということがありうる。もしそうなら、送信者は善良そうな人だということは送信者アドレスから見当が付くだろう。そうなったらこちらからメールを送って連絡をとればよい。組織サイトにはあまり勧められない内容チェックだが、個人サイトの私ならそういうリスクマネジメントができる。

# Jul 01, 2015: hal9000.okrutny.net
/^(.+\.)?okrutny\.net$/ 450 spam ex-convict

 宛先のユーザー名がotori4というおとりのアドレスだった。ホームページに仕掛けた見えないmailtoアンカーに釣られたものである。送信ドメインは著名なaol.com。もちろんそのSPFに送信元が整合するはずもない。www.okrutny.netのウェブページは現れ、連絡先として電話番号は書かれているが、どういうビジネスのサイトなのかがわかる説明はない。「黒」確定。
 なお、おとりのアドレスは、2003年からホームページに見えないmailtoアンカーで仕掛けたのがotori1だった。その後、スパムの送信停止受付サイトにわざと書き込んでみたのがotori2とotori3だった。これにも引っかかったスパマーがいた。otori1はしばらくやめていたのだが、昨年、スパムアクセスが非常に少なくなったことから、「これから釣れるのはどのくらいになるだろうか」と思って、再びホームページに仕掛けていたのがotori4である。

0 件のコメント: