SPAMメール対策どうしてる?

1.04/04/29 13:14ID:???
海外から多くの広告らしきものが来るし、
こちらのメールサーバを使って、でたらめのアドレスに送ってい形跡もある・・・。

170DNS未登録さん2009/02/10(火) 22:36:49ID:???
自鯖にしつこく接続に来るのはhinet.netとseed.net.twくらいかな。
rejectしてるので特に問題ないですね。

ISPのメアドのほうに国内からのSPAMが微妙に増えて来たので
レン鯖の業者とかISPにクレームしてます。
やっぱり丸紅インフォテックからメアドとか流出したのが効いてきたのかなこれは

171DNS未登録さん2009/02/20(金) 07:26:16ID:???
中華電信亞網とかはipfilterやipfwレベルで弾くのがお勧め。

172DNS未登録さん2009/03/04(水) 21:34:18ID:???
最近スパムへって楽だよな

173DNS未登録さん2009/04/22(水) 05:52:04ID:???
ウチは中国、韓国からはメールに限らず全部接続拒否。
国内組は誘導ドメインベースで判断する自作スクリプトで弾いてます。
でも2日に1通くらいは届くんだよね〜

174DNS未登録さん2009/05/04(月) 03:59:53ID:???
MailWasherで撃ち返す

175DNS未登録さん2009/05/04(月) 10:54:43ID:???
>>174
撃ち返す相手は本当にSPAMの送信者なのかい?

176DNS未登録さん2009/06/12(金) 23:04:12ID:???
なんか今日突然バウンススパム大量に送りつけられた。
今は収まったけど防ぎようが無いのは困るなぁ。

177DNS未登録さん2009/08/04(火) 16:30:46ID:???
うえ・・・今日は中国・タイランドIPからのランダムメアド攻撃がえらい多いな
きっちり20回づつ試してるところをみると負荷攻撃かな・・・

全く無駄なことを

178DNS未登録さん2009/08/04(火) 16:35:45ID:???
>>177
ウチは昨日が多かった。
script で iptables で弾いちゃうから、最終的にどの程度来ているのか
判らないけどね。

つーか、先月の米韓へのDDos 攻撃の間がなぜか一番多かった。
日本のドメインなのに・・・orz

179DNS未登録さん2009/08/05(水) 09:44:22ID:???
>>178 ごめんそれは月曜日のログでした、同じですね
んで、火曜日はUser unknownが倍増ですw

何だろう日を変えてスパム通過実験でもしてるんですかね・・・
無駄なことを

180DNS未登録さん2009/08/05(水) 10:38:33ID:???
>>178
iptableで弾こうにも、元ipが全部違うんだが。これがbot netから来てるってやつなのか?

181DNS未登録さん2009/08/05(水) 11:28:32ID:???
>>179
昨晩からまた、急増。
現在も、複数のIPアドレスからBrute force attack的な状態になっている。

1秒間に 400 コネクションとか張ってくるなよ。
万が一のためにと思って作っておいてツールが大活躍です。

>>180
恐らくそうでしょ。
不定期だけど先月から量が極端に増えている・・・

なんの bot なのかは判らないけどね。

182DNS未登録さん2009/08/05(水) 12:28:47ID:???
ユーザーID部分をランダムではなくリストらしきものから生成して送ってきてますね
ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ

日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック
でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね

183DNS未登録さん2009/08/05(水) 13:46:36ID:???
>>182
確かに、ランダムでは無いね。辞書を使っていると思う。
ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada
って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。

これ、嫌な感じだよね。

184DNS未登録さん2009/08/11(火) 19:18:25ID:???
メールアドレス辞書攻撃
10日分から大体IP枠が絞れた

078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24

結構多いなw

185DNS未登録さん2009/08/11(火) 20:45:56ID:???
>>184
集計乙!

でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。

186DNS未登録さん2009/08/12(水) 02:27:06ID:???
>>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0〜55なのか

187DNS未登録さん2009/09/01(火) 23:22:45ID:???
どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。

今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・

新しいツールを考えないとだめだ。
何か良いアイデアない?

188DNS未登録さん2009/09/02(水) 07:35:39ID:???
国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね)

189DNS未登録さん2009/09/02(水) 23:06:28ID:???
iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。

Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40

190DNS未登録さん2009/09/03(木) 00:09:04ID:???
同一IPからそんだけどばどば来てるってことなの?

191DNS未登録さん2009/09/03(木) 06:37:43ID:???
>>190
そうだよ。
絞る前は、300 connection とかあった。

192DNS未登録さん2009/09/03(木) 13:37:28ID:???
>>191 >184 207.044.128.0/17
ビンゴだねw

8月の頭からきてるってことだな

193DNS未登録さん2009/09/04(金) 14:37:26ID:???
>>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。

194DNS未登録さん2009/09/04(金) 19:46:05ID:???
>>193
実験

どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。

195DNS未登録さん2009/09/23(水) 10:22:14ID:???
辞書攻撃の SPAM その後

Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら

同一ホストからは、5分に1通
様々なホストから、10秒に1通

Slow Scanning 的な手法が観測されました。
対策なんて無理だ!!

196DNS未登録さん2009/09/23(水) 21:51:53ID:???
>>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね

197DNS未登録さん2009/09/23(水) 23:33:21ID:???
>>196
CK Filter やら国別 Filter は、知っているし家では、使っております。

仕事で管理している大きめの所では無理。

板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。

198DNS未登録さん2009/09/24(木) 01:51:00ID:???
>>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?

199DNS未登録さん2009/09/24(木) 12:51:48ID:???
>>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・

Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。

じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。

しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。

最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。

botnet 恐ろしや・・・

スレ汚し、ごめん。

200DNS未登録さん2009/09/25(金) 11:36:38ID:???
>>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ?
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの?

201DNS未登録さん2009/09/25(金) 16:58:00ID:???
>>200
説明が悪かった・・・すまない。

IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。

当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。

だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・

なにか、防御機能として良い案ある?

202DNS未登録さん2009/09/25(金) 18:18:24ID:???
>>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね

ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?

もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね

良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね

ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて

・パターンチェック

でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする

管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ

203DNS未登録さん2009/09/25(金) 19:09:42ID:???
>>202
アドバイスありがとう。

今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。

他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。

204DNS未登録さん2009/09/28(月) 12:07:27ID:???
MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。

205DNS未登録さん2010/02/08(月) 06:44:40ID:???
スパマーを死刑にする法律が欲しいね。

206DNS未登録さん2010/02/08(月) 21:31:15ID:???
死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。

207DNS未登録さん2010/03/31(水) 14:18:42ID:???
spamassasin使ってる人に質問

/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$


208DNS未登録さん2010/04/20(火) 10:33:17ID:???

209DNS未登録さん2010/05/26(水) 17:42:38ID:???
スパムアサシンとprocmail使って消してる。

/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる

:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null

:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null

:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null

:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null

:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null

:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null

:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null

210DNS未登録さん2010/07/24(土) 15:21:48ID:bRJf63A3
http://ameblo.jp/methodimporteleven/
こいつがハックしてるらしいよ。

211DNS未登録さん2010/09/13(月) 22:40:33ID:???
びよよーん

212DNS未登録さん2010/10/20(水) 10:17:49ID:???
グロ注意

213DNS未登録さん2012/10/21(日) 04:07:01.46ID:???
メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?

214NY2012/11/18(日) 13:55:32.38ID:???
i'm fine good work <a href=" http://urbania4.org ">amitriptyline price uk</a> Present Patient Care Presentation

215DNS未登録さん2012/11/22(木) 22:03:22.70ID:???
>>213
それ以外に特に制約条件が無いなら技術的には可能。

216DNS未登録さん2014/01/24(金) 13:50:20.90ID:wAkYRW9/
分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。

CentOS5でpostfixとsasl2のSMTP認証使っています。
http://www.rbl.jp/svcheck.php
このサイトのチェックではno relays accepted.
と表示されるので安心していました。

nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。

OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。

何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。

217DNS未登録さん2014/01/25(土) 21:50:51.49ID:???
SMTP認証のパスワード破られたんじゃないの?

218DNS未登録さん2014/01/26(日) 11:25:06.67ID:???
>>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。

219DNS未登録さん2015/02/21(土) 13:16:18.07ID:???
えっちぃ絵をリクエストすると誰かが描いてくれるかもしれない素敵なスレ【R-18】
http://hayabusa.o p e n 2ch.net/test/read.cgi/news4vip/1423739321/

220DNS未登録さん2019/05/27(月) 17:15:14.45ID:???

新着レスの表示
レスを投稿する