SPAMメール対策どうしてる?
- 1 :.:04/04/29 13:14 ID:???.net
- 海外から多くの広告らしきものが来るし、
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。
- 114 :DNS未登録さん:2007/05/03(木) 02:14:59 ID:???.net
- spamassassinのrelay countryじゃあかんのか?
これ使ぉたら効果バツグンやで。
- 115 :DNS未登録さん:2007/05/05(土) 02:11:08 ID:???.net
- そもそも鯖に繋いでほしくない。
いや、鯖に来てもいいからMTAに触らないでほしい。
ログが汚れる。
- 116 :DNS未登録さん:2007/10/11(木) 23:21:13 ID:Sb84Oul8.net
- 「Mail Washer」でエラーメール形式で全部送り返してたらSPAM全滅しますたw
- 117 :DNS未登録さん:2007/10/12(金) 00:27:37 ID:???.net
- >116 迷惑な奴だな… orz
- 118 :DNS未登録さん:2007/10/12(金) 01:16:09 ID:w3/iGlW2.net
- まあ無くなったならよかったジャマイカ
- 119 :DNS未登録さん:2007/11/07(水) 12:46:53 ID:q1dIIUnU.net
- dozikko_geki_love@yahoo.co.jp
- 120 :DNS未登録さん:2007/11/09(金) 17:47:45 ID:93yIxolm.net
- cyrus-saslの安定版で一番新しいバージョンどれか
知ってる人教えてメカドック。
- 121 :DNS未登録さん:2007/11/20(火) 23:23:29 ID:???.net
- >>116
MailWasher漏れも入れて見たけどいい感じやね。
>>117
SPAM送信元にエラーメール返すだけだから他に迷惑は
掛からんと思うけど、何が問題なんでしょ?
- 122 :DNS未登録さん:2007/11/21(水) 09:00:44 ID:???.net
- >>121
今さらSPAMメールのFrom:が正しいなんてことはあり得んだろう。
常識的に考えて・・
- 123 :DNS未登録さん:2007/11/21(水) 19:30:27 ID:???.net
- >>122
あー確かになんぼでも偽装出来ますな…。
しかしエラーメールで返してやったら確かに来る数が極端に減った訳で。
100通/日位で届いてたのが2,3通/日位にガタ落ちに。
- 124 :DNS未登録さん:2007/11/22(木) 09:07:21 ID:???.net
- そーいや最近覚えのないエラーメールが大量に届くことってなくなったよな。」
- 125 :DNS未登録さん:2007/11/29(木) 12:40:57 ID:???.net
- starpit + spamassassinで対策中。
- 126 :DNS未登録さん:2008/01/12(土) 17:53:10 ID:???.net
- >>124
キャッチオール設定にしているうちのドメインは1ヶ月に一回ぐらいFrom詐称されてます。
多いときは1日数千通のエラーメールですね。
あとは日常的に
icq1@ icq1nn@ spm@ ml@ catchthismail@
mlx@ contact@ icq1s@ cq1n@ xrbz@ pm@
mln@ helloitmenice@ guest@
これらのアカウントにSPAMが来る。
エラーメールはSPAMよりフィルタしにくい分迷惑
- 127 :DNS未登録さん:2008/01/31(木) 16:56:42 ID:???.net
- >>87さんの意見への間接的な批判発見
ttp://s25r.blogspot.com/2007/05/blog-post_8973.html
- 128 :DNS未登録さん:2008/02/04(月) 01:00:18 ID:???.net
- http://ya.maya.st/mail/accessctl.html
なんで今までこれが紹介されてないのか不思議
- 129 :DNS未登録さん:2008/02/04(月) 07:53:58 ID:???.net
- >>128
SPAMの知識が古すぎて話にならん。
- 130 :DNS未登録さん:2008/02/04(月) 12:26:29 ID:???.net
- tarGreyも知らん連中が「お前の知識は古くて参考にならん」ってどんだけwww
- 131 :DNS未登録さん:2008/02/04(月) 12:51:01 ID:???.net
- >>130
tarGreyって何?taRgreyなら知ってるけどww
- 132 :DNS未登録さん:2008/02/19(火) 13:37:32 ID:iQYe7e+x.net
- 逆引きの無いゴミIPをカット
softbank.ne.jpを拒否
これで99%OK
- 133 :DNS未登録さん:2008/02/22(金) 21:03:49 ID:???.net
- gooGleyなら知ってるお
- 134 :DNS未登録さん:2008/02/23(土) 01:18:13 ID:???.net
- >>132
なわけあるか
- 135 :DNS未登録さん:2008/03/19(水) 15:19:02 ID:???.net
- >>134
yahoo も追加するといいよ
- 136 :DNS未登録さん:2008/04/04(金) 23:52:59 ID:???.net
- procmail.rcの中身でいいのあれば教えてください。
敵も巧妙なのか20%くらい隙間ついてきます。
私が今やってることとして、iptableで中韓のアドレスを遮断。
spamassassin+bsfilter+procmailrcでの振り分けです。
- 137 :DNS未登録さん:2008/04/09(水) 04:50:08 ID:???.net
- taRgreyで、spam弾きの練習しています。
spamをたくさん欲しいのですが、
どっかナイスな宣伝場所はないものでしょうか?
http://pigmon.ddo.jp/
contact@pigmon.ddo.jp
- 138 :DNS未登録さん:2008/04/09(水) 20:51:58 ID:???.net
- >137 釣り?
出会い系サイトに登録すれば嫌でも大量に来る。
登録して無くても姉妹サイト?から止めどなくやってくる。
- 139 :137:2008/04/10(木) 05:12:05 ID:???.net
- >138
ありがとうございます。
釣りじゃなくて、マジです。
出会い系サイトとは思いつきませんでした。
早速どっか登録してみます。
- 140 :137:2008/04/10(木) 05:41:49 ID:???.net
- >138
早速3つ登録してみました。
おかげさまで、taRgreyでpostgreyが
動いていることが確認できました。
他にもどっかいいスパム業者があったら教えてくださいw
- 141 :DNS未登録さん:2008/04/10(木) 07:07:42 ID:???.net
- 自分のサイトや、2chに貼ったのなら、
名簿屋のクローラーが巡回・収集して送ってくるだろよw
- 142 :DNS未登録さん:2008/04/10(木) 22:30:42 ID:???.net
- >137
腕試し?
- 143 :DNS未登録さん:2008/04/10(木) 22:33:03 ID:???.net
- そいつ踏み台だな
- 144 :DNS未登録さん:2008/04/11(金) 05:11:35 ID:???.net
- >142
そうですね。そんな感じです。
Linuxの勉強をしています。
ITproで「S25R」を見て、今実装中です。
>143
第三者中継は大丈夫ですよ。
http://pigmon.ddo.jp/Relay_Checker_by_RB.pdf
spamcomにも登録はされていませんでした。
ただ、ログの読み方が完全には分からないので、
ちょと困ってます。
なんかHTML化してくれるようなツールがあるといいんですけど。
- 145 :DNS未登録さん:2008/04/13(日) 11:03:43 ID:???.net
- >144
ググれば山ほど書いてあるよ。HTMLにしたからって読めんのかよ。
- 146 :DNS未登録さん:2008/04/14(月) 05:40:54 ID:???.net
- >145
ちがうよ。AWstatsみたいに見やすいといいなってこと。
ま、おっしゃる通りちょとググって見ますわ。
- 147 :DNS未登録さん:2008/04/14(月) 07:44:33 ID:???.net
- pflogsumm入れてみました。
http://pigmon.ddo.jp/pflogsumm20080414.html
う〜ん、ちょといまいちかな。
他に探して見ます。
- 148 :DNS未登録さん:2008/04/16(水) 06:20:40 ID:???.net
- http://pigmon.ddo.jp/
チョト変えてみた。
もっとたくさんSpam欲しいんだけどな。
なんかナイスな海外掲示板ありませんか?
中国とか韓国とかやばそうな国で宣伝しまくりたいんですが。
- 149 :DNS未登録さん:2008/04/18(金) 16:13:30 ID:???.net
- アングラサイトでアカウント登録しまくってみる。
出会い系・アダルト系のサイトに登録してみる。
パチンコ雑誌を買ってきて、広告出してる金貸し業者に登録してみる。
- 150 :DNS未登録さん:2008/04/19(土) 07:51:40 ID:???.net
- >149
ありがとうございます〜。
アダルトサイト(出会い系)はやってみました。
taRgrey対策済みみたいで、くぐりぬけてきちゃうんですよね〜。
なんで今度はアングラ系でも行ってみます。
パチンコはやらないんで、あきらめます。
- 151 :DNS未登録さん:2008/04/19(土) 22:49:11 ID:???.net
- >>150
潜り抜けられるのはSPAMの何%ぐらいですか?
最近tarpitが回避されるって話を聞くようになりましたが…
- 152 :DNS未登録さん:2008/04/23(水) 07:28:23 ID:???.net
- >151
う〜ん、ごめんなさい。統計の取り方が分からないもので。。
ただ、自分から登録した出会い系サイトからのメールは、
ほぼ100%すり抜けてきますね。
なんで、rejetct_heloで弾いちゃいます。
ただtarpit以前で引っかかっているメールのほうが多いです。
こんな感じです。
------------------
NOQUEUE: reject: RCPT from unknown[125.187.32.169]: 450 4.1.8 <win@clockmail.net>:
Sender address rejected: Domain not found; from=<win@clockmail.net>
to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<m19.mailyes.net>
NOQUEUE: reject: RCPT from kcc-202-178-81-110.kamakuranet.ne.jp[202.178.81.110]:
504 5.5.2 <104/.@x>: Sender address rejected: need fully-qualified address;
from=<104/.@x> to=<contact@pigmon.ddo.jp> proto=ESMTP helo=<pigmon.ddo.jp>
------------------
ま、自分のアドレスがまだそんなにブラック業者に
出回ってないせいでしょうか。出回るこれからが勝負ですね。
- 153 :DNS未登録さん:2008/04/27(日) 01:47:06 ID:???.net
- >>152
その手の業者は、なんの工夫もせずに送ってきてるから逆にすり抜けちゃうんだよ。
qmailとかをそのまま使って送るから、tarpitもgreylistも効かない。ある意味最強。
heloとかで拒否するのが現実的だね。
- 154 :DNS未登録さん:2008/04/27(日) 07:59:40 ID:???.net
- >152
そう、今そのheloで困ってます。
自分から仕掛けといて、困るもくそもないんですが。。
すり抜けてくるやつらの、helo(orEHLO)コマンドの
内容が分かんないんです。
logwatchとかmaillogとかに、載っていると思って
漁るんですが、何てheloを打ってきたのか
載ってないんですよね。
これからちょと@ITの会議室で質問してみます。
よかったらみなさんあっちで回答ください。
登録制なのが面倒ですが。。
- 155 :DNS未登録さん:2008/04/27(日) 23:54:59 ID:???.net
- postfixなら設定で、全てのメールの>>152でrejectしたときのログと同じのを吐かすことが可能。
全ての条件でWARNを掛けれるようにすればいい。
- 156 :DNS未登録さん:2008/10/24(金) 16:05:25 ID:???.net
- フリーメール使ったり
ブロックしたり
フリーツール使用しています。
でも半分減ったが3,4件来ます。
嫌ですね。
なにか対策ないかなぁ。
- 157 :DNS未登録さん:2008/10/25(土) 00:37:55 ID:???.net
- 接続元が知らない国の場合IPをサブネット単位でフィルタ。
- 158 :DNS未登録さん:2008/10/25(土) 05:21:52 ID:???.net
- 国内からも来るんだけど。
- 159 :DNS未登録さん:2008/10/25(土) 10:01:16 ID:???.net
- だから?
- 160 :DNS未登録さん:2008/10/25(土) 22:56:14 ID:???.net
- 自分はもうメンドクサイからレン鯖の方に回して、
フィルター後自鯖に転送するようにした。
快適
- 161 :DNS未登録さん:2008/10/26(日) 14:04:30 ID:???.net
- 俺の場合だと国内は9割が出会い系(特にエルメディア、ウィンズ多し)だが
JPNICで範囲洗ってiptable入り、、、もしくはheaderchecksとかでエラーメール
返すのがいいのか、迷い中
- 162 :DNS未登録さん:2008/10/26(日) 14:40:28 ID:???.net
- >>161
エラーメールであろうと、何らかの反応を示すのは逆効果って話を聞く
- 163 :DNS未登録さん:2008/10/26(日) 14:47:43 ID:???.net
- >>161
あぁ、確かにそれもよく聞くね。
トラフィックにもよろしくないから、しつこいとルーターレベルでお帰り頂く事に
するわ。そのほうがログも吐かないし。
- 164 :DNS未登録さん:2008/10/27(月) 00:12:08 ID:???.net
- そもそもエラーメールの処理ってどうしてる?
- 165 :DNS未登録さん:2008/10/30(木) 10:57:35 ID:???.net
- おれはスパムの統計を取っているが今月15000個来た。
いままで圧倒的に多かったUS発を抜いて、スパムのおよそ1割がトルコ発。
それも全部がリモホの逆引き設定なし。
ちなみにワースト10は
1385 TR
1376 US
1172 RU
1080 GB
0921 CN
0862 BR
0706 KR
0455 IN
0421 DE
0410 CO , ES
アメリカが少なくなって来て近隣国やヨーロッパが増えた。
- 166 :DNS未登録さん:2008/11/07(金) 17:07:05 ID:mHDarWE1.net
- すいません。どこで聞くのかわからないんで、ここで聞きます。
迷惑メールのフィルターデータベス会社で
バラクーダとクラウドマークではどちらが優秀ですか?
- 167 :DNS未登録さん:2008/11/17(月) 21:26:08 ID:EZo2Se/+.net
- >>162
無反応だと生きていると思われるからアドレス販売業者の思うつぼじゃないのか。
- 168 :DNS未登録さん:2008/11/19(水) 09:10:08 ID:???.net
- postgrey導入したら激減した。
- 169 :DNS未登録さん:2009/01/11(日) 21:20:31 ID:9s2qgsQf.net
- とりあえず ずーっとブロックし続けてるが初めこのサイトに
メアド乗せたのがまちがいですた。
その頃ネット初心者ですたので
とりあえずスパム送るやろー どっかの組の下っ端だか分からんがムカツク
うざい あとを絶たないでイタチゴッコだが妙にムカつく犯罪だぞ。これ。
いまにパクられるしな。どうせやっつけられて
皆無視しろ。当たり前だが
- 170 :DNS未登録さん:2009/02/10(火) 22:36:49 ID:???.net
- 自鯖にしつこく接続に来るのはhinet.netとseed.net.twくらいかな。
rejectしてるので特に問題ないですね。
ISPのメアドのほうに国内からのSPAMが微妙に増えて来たので
レン鯖の業者とかISPにクレームしてます。
やっぱり丸紅インフォテックからメアドとか流出したのが効いてきたのかなこれは
- 171 :DNS未登録さん:2009/02/20(金) 07:26:16 ID:???.net
- 中華電信亞網とかはipfilterやipfwレベルで弾くのがお勧め。
- 172 :DNS未登録さん:2009/03/04(水) 21:34:18 ID:???.net
- 最近スパムへって楽だよな
- 173 :DNS未登録さん:2009/04/22(水) 05:52:04 ID:???.net
- ウチは中国、韓国からはメールに限らず全部接続拒否。
国内組は誘導ドメインベースで判断する自作スクリプトで弾いてます。
でも2日に1通くらいは届くんだよね〜
- 174 :DNS未登録さん:2009/05/04(月) 03:59:53 ID:???.net
- MailWasherで撃ち返す
- 175 :DNS未登録さん:2009/05/04(月) 10:54:43 ID:???.net
- >>174
撃ち返す相手は本当にSPAMの送信者なのかい?
- 176 :DNS未登録さん:2009/06/12(金) 23:04:12 ID:???.net
- なんか今日突然バウンススパム大量に送りつけられた。
今は収まったけど防ぎようが無いのは困るなぁ。
- 177 :DNS未登録さん:2009/08/04(火) 16:30:46 ID:???.net
- うえ・・・今日は中国・タイランドIPからのランダムメアド攻撃がえらい多いな
きっちり20回づつ試してるところをみると負荷攻撃かな・・・
全く無駄なことを
- 178 :DNS未登録さん:2009/08/04(火) 16:35:45 ID:???.net
- >>177
ウチは昨日が多かった。
script で iptables で弾いちゃうから、最終的にどの程度来ているのか
判らないけどね。
つーか、先月の米韓へのDDos 攻撃の間がなぜか一番多かった。
日本のドメインなのに・・・orz
- 179 :DNS未登録さん:2009/08/05(水) 09:44:22 ID:???.net
- >>178 ごめんそれは月曜日のログでした、同じですね
んで、火曜日はUser unknownが倍増ですw
何だろう日を変えてスパム通過実験でもしてるんですかね・・・
無駄なことを
- 180 :DNS未登録さん:2009/08/05(水) 10:38:33 ID:???.net
- >>178
iptableで弾こうにも、元ipが全部違うんだが。これがbot netから来てるってやつなのか?
- 181 :DNS未登録さん:2009/08/05(水) 11:28:32 ID:???.net
- >>179
昨晩からまた、急増。
現在も、複数のIPアドレスからBrute force attack的な状態になっている。
1秒間に 400 コネクションとか張ってくるなよ。
万が一のためにと思って作っておいてツールが大活躍です。
>>180
恐らくそうでしょ。
不定期だけど先月から量が極端に増えている・・・
なんの bot なのかは判らないけどね。
- 182 :DNS未登録さん:2009/08/05(水) 12:28:47 ID:???.net
- ユーザーID部分をランダムではなくリストらしきものから生成して送ってきてますね
ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ
日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック
でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね
- 183 :DNS未登録さん:2009/08/05(水) 13:46:36 ID:???.net
- >>182
確かに、ランダムでは無いね。辞書を使っていると思う。
ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada
って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。
これ、嫌な感じだよね。
- 184 :DNS未登録さん:2009/08/11(火) 19:18:25 ID:???.net
- メールアドレス辞書攻撃
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
- 185 :DNS未登録さん:2009/08/11(火) 20:45:56 ID:???.net
- >>184
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。
- 186 :DNS未登録さん:2009/08/12(水) 02:27:06 ID:???.net
- >>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0〜55なのか
- 187 :DNS未登録さん:2009/09/01(火) 23:22:45 ID:???.net
- どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
- 188 :DNS未登録さん:2009/09/02(水) 07:35:39 ID:???.net
- 国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね)
- 189 :DNS未登録さん:2009/09/02(水) 23:06:28 ID:???.net
- iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
- 190 :DNS未登録さん:2009/09/03(木) 00:09:04 ID:???.net
- 同一IPからそんだけどばどば来てるってことなの?
- 191 :DNS未登録さん:2009/09/03(木) 06:37:43 ID:???.net
- >>190
そうだよ。
絞る前は、300 connection とかあった。
- 192 :DNS未登録さん:2009/09/03(木) 13:37:28 ID:???.net
- >>191 >184 207.044.128.0/17
ビンゴだねw
8月の頭からきてるってことだな
- 193 :DNS未登録さん:2009/09/04(金) 14:37:26 ID:???.net
- >>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。
- 194 :DNS未登録さん:2009/09/04(金) 19:46:05 ID:???.net
- >>193
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。
- 195 :DNS未登録さん:2009/09/23(水) 10:22:14 ID:???.net
- 辞書攻撃の SPAM その後
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!!
- 196 :DNS未登録さん:2009/09/23(水) 21:51:53 ID:???.net
- >>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね
- 197 :DNS未登録さん:2009/09/23(水) 23:33:21 ID:???.net
- >>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
- 198 :DNS未登録さん:2009/09/24(木) 01:51:00 ID:???.net
- >>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
- 199 :DNS未登録さん:2009/09/24(木) 12:51:48 ID:???.net
- >>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
- 200 :DNS未登録さん:2009/09/25(金) 11:36:38 ID:???.net
- >>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ?
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの?
- 201 :DNS未登録さん:2009/09/25(金) 16:58:00 ID:???.net
- >>200
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
- 202 :DNS未登録さん:2009/09/25(金) 18:18:24 ID:???.net
- >>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
- 203 :DNS未登録さん:2009/09/25(金) 19:09:42 ID:???.net
- >>202
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
- 204 :DNS未登録さん:2009/09/28(月) 12:07:27 ID:???.net
- MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
- 205 :DNS未登録さん:2010/02/08(月) 06:44:40 ID:???.net
- スパマーを死刑にする法律が欲しいね。
- 206 :DNS未登録さん:2010/02/08(月) 21:31:15 ID:???.net
- 死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
- 207 :DNS未登録さん:2010/03/31(水) 14:18:42 ID:???.net
- spamassasin使ってる人に質問
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
- 208 :DNS未登録さん:2010/04/20(火) 10:33:17 ID:???.net
- http://pc11.2ch.net/test/read.cgi/mysv/1083212079/207
http://pc11.2ch.net/test/read.cgi/mysv/1119304945/737
http://pc12.2ch.net/test/read.cgi/unix/1124772932/369
- 209 :DNS未登録さん:2010/05/26(水) 17:42:38 ID:???.net
- スパムアサシンとprocmail使って消してる。
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
- 210 :DNS未登録さん:2010/07/24(土) 15:21:48 ID:bRJf63A3.net
- http://ameblo.jp/methodimporteleven/
こいつがハックしてるらしいよ。
- 211 :DNS未登録さん:2010/09/13(月) 22:40:33 ID:???.net
- びよよーん
- 212 :DNS未登録さん:2010/10/20(水) 10:17:49 ID:???.net
- グロ注意
- 213 :DNS未登録さん:2012/10/21(日) 04:07:01.46 ID:???.net
- メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?
67 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200