日曜日, 9月 27, 2015

34時間で止まっていたスパム再送信アクセスが再開して48時間後まで継続

 昨日、スパムと思われる1分間隔の再送信アクセスが34時間で止まったことを述べた。ところが、止まった8時間21分後に再開していた。そして、最初に始まった時の48時間後に止まった。途中で中断していた理由はわからないが(中継回線の障害の可能性も考えられる)、やはりスパム送信サーバの再送信期間は48時間というのが相場のようだ。

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<d***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃
Sep 27 00:23:41 〃
Sep 27 00:24:54 〃

Sep 27 06:02:14 〃

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<w***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃
Sep 27 00:23:42 〃
Sep 27 00:24:57 〃

Sep 27 06:02:14 〃

土曜日, 9月 26, 2015

34時間1850回のスパム再送信アクセス

 再送信アクセスを発見したが、スパムの可能性が高いと思って放置してみた。
 その理由は第一に、同じ所から個人アドレス「deo」と公開アドレス「webmaster」の両方に宛ててきていること。個人アドレスはwhoisからわかるが、知らない送信者アドレスからのメールがいきなり個人アドレス宛で来るのは今まで全部スパムだった。
 第二に、再送信間隔が約1分であること。そもそも、受信側サーバの一時的受信不能が1分やそこらで解消される可能性は少ないはず。まともなメールサーバの再送信間隔はたいてい5分以上である。
 今までの経験では、スパム送信用サーバの再送信は48時間で終わるケースがかなりあった。RFC 5321を尊重したPostfixなどのデフォルト設定は5日なので、人が手動で送信したまともなメールを中継するメールサーバならば48時間では終わらないことが多い。ほったらかしてみたら、34時間で止まった。アクセス回数は二つのアドレス宛それぞれ1850回ずつである。ログファイルが無駄に膨らんだのが不愉快だが、スパム送信サーバの挙動の一例を把握できたのでよしとする。
 以下は、拒絶ログソーティングスクリプトの表示形式によるログ。

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<d***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃

Sep 25 06:03:13 C unknown [71.6.173.47] from=<b***.c***@b2bonlinearchive.biz> to=<w***@gabacho-net.jp> helo=<mail.b2bonlinearchive.biz>
Sep 25 06:04:16 〃

Sep 26 16:02:27 〃