SPAM対策

 SCAMともいいます.

 SPAMMERにいっぱい食わせたいが.メールソフトのSPAM選別機能にしても,SpamAssassinにしても,せいぜい自動的にSPAMを色づけしたり,消したりするだけです.せめてエラーメールにして,ISPにも自覚させたい.

関連ページ

目次

変なSMTP攻撃 2008-09-10 12:30

この一週間ほどでしょうか,とても変なSMTPの攻撃を受けています.

それは,あり得ないユーザーネーム,例えば,

Janszen.Helena
Mattiuzzo.Damiano
Brown.Nathan
Sobisch.Norbert
Trusic.Matija
King.Mesha
Thomas.Geib

等々をこちらのドメインに付けてメールを送ってくるのです.当然,こちらのMTA(いわゆるメールサーバー)であるsendmailは,"User unknown"を即時に返します.rootとかhostmaster, uucp, news,それから,もう少し当たりそうなbobとかjohnとして送ってくるなら,まだ解らないでもないです.

頻度的には時間的なばらつきもありますが,1時間に数通から20通くらいで,平均すれば10通/時程度と言うことでしょうか.たまに数時間中断しますが,ほぼ昼夜連続です.

そして,たいへん,不思議というか恐ろしいのは,全ての攻撃が,全て異なるIPアドレスのMTAからなのです.

こちらでは,逆引き不能なMTAからの接続ははねてますから,接続してくるサイトはみな,いちおうは善良なサイトのようです(User unknownではねる場合は,逆引き可能かまで調べていないかもしれません).

全て異なるMTAから,全て異なるユーザー宛.

いろいろ考えたのですが,結論としては,

SPAMばらまき用サーバー(MTA)を探し上げて,その機能を確認するために,当たらない名前@当サイトFQDNとして,メールを送っている」

ではないかと思います.User unknownとなれば,テストしているMTA(踏み台)は確かに,次のMTA(こちら)に接続を試みていることが確認できます.反応も,踏み台から返るので,時間も短いです.

こちらには,メール本文も(ヘッダーも)来ないので,何の証拠も残らない(メールの発信元がどこか解らない).

こちらとしては,たいした負荷でもないのですが,悪事に利用されている可能性があるのは気持ち悪いですし,今後もこういうことが延々と続いてはいやなので,SMTPの接続を制限しました.が,それも苦労しました.

とにかく,踏み台のMTAが毎回アドレスが違う(2度つないできたことがない)ので,攻撃元のIPアドレスをブロックするオーソドックスな方法では全く効果がありません.

とはいえ,安易な「原則拒否」では善意のメールが届かなくなる可能性もあります.いちおう,残っているログ(5月下旬からの16週間分)を調べ上げ,自分や家族に正しく届いたメールの発信元のIPアドレスを洗い出して,それ+サブネット分(24bit)をSMTP接続OKとし(40くらい),他はリジェクトの設定にしました.

やり方は,maillogにgrep, egrep, sed, sort, uniqなどのコマンドの組み合わせで何とかなります^^;

たぶん,攻撃元の趣旨が踏み台MTAの機能確認だとすると,存在する当サイトにタイムアウトまで接続の可否が確認できなくなりますから,効率が著しく下がると思います.

これまでお付き合いのない方からのメールが届かない可能性がありますが,それ場合はこのBLOGにコメントを付けてください(この記事のコメント欄が閉じていたら他の記事でもかまいません).

これでしばらく様子を見ます.攻撃がやめば,またSMTP全部OKにします.

そうしないと思いっきり不便です^^;

ちなみに,STARTTLSは制限なしです^^;

ほぼ沈静化 2009-02-06

5か月ほど経って,上記の目的不明のSPAMもずいぶん沈静化しました.日に多くて数通で,送り元のIPアドレスをiptablesでアクセス不能にして,SMTPは原則全部受け付けるように戻しました.

数日iptablesにアクセス禁止の登録をしたら,ほぼ来なくなりました.

それにしても,User unknownエラーをわざわざ出すのに特別な目的があるのか不可解なので,1度使われたユーザー名を登録してメールを何通か捕捉してみました.バイアグラの販売とか,特に珍しい内容でないありふれたSPAM/SCAMなので,拍子抜けです.攻撃者の意図が読めないままです.

まあ,SMTPに対するDoSという見方はできます.それにしては頻度が少ないかなあ.そもそもうちのサイトなんか攻撃してもしょうがないのに^^;

参考リンク

Front page   Edit Freeze Diff Backup Upload Copy Rename Reload   New List of pages Search Recent changes   Help   RSS of recent changes
Last-modified: 2009-03-18 (Wed) 01:11:28 (249d)