[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:22270] Re: spam 対策
-
From:早間義博
-
Date:Wed, 7 Apr 2004 19:46:25 +0900 (JST)
- Subject: [plamo:22270] Re: spam 対策
- From: 早間義博<yossi@xxxxxxxxxxxxxx>
- Date: Wed, 07 Apr 2004 19:46:24 +0900 (JST)
早間です。
From: Shun-ichi TAHARA (田原 俊一) <jado@flowernet.gr.jp>
Subject: [plamo:22267] Re: spam 対策
Date: Wed, 07 Apr 2004 16:22:46 +0900 (JST)
Message-ID: <20040407.162246.1041017637.z1980163@zenrin.co.jp>
> From: takao@hirata.nuee.nagoya-u.ac.jp (Takao Ono)
> Message-Id: <040407161436.M0121401@flame.hirata.nuee.nagoya-u.ac.jp>
>
> > > Greylisting と逆引き出来ないホストからは受け取らない。
>
> > うちの大学では,
> > 「逆引きできないところからのメールを拒否したり捨てたりすると DDoS
> > くらう」
> > という状況になってたことがあります.
>
> 早間さんが仰ってる「受け取らない」は、Temporally Error を返す、ってや
> つじゃなかったですっけ?
そのとおりです。
spamer は大量にメイルを送るので、
Temporally Error
を返すと、そんなサーバにかかわらないで、他のサーバに移って行きます。
Greylisting と言うのはこの性質を利用しています(極めて機械的です、
同時に現在の spamer の性質を利用しているのです)。
「471 Temporally Error を返して検疫時間経過後も送って来る」ならば
受信すると言うものです。
お馴染みさん方式は、もう少し相手の状況を調べて受信許可をしています。
例えば、一旦 Temporally Error を出しても1秒も経たないうちに再送し
て来ると spam 扱いにされてなかなか受信しません。
大口を叩くわけではありませんが、spam に人気のあるメイルアドレスには
ある程度共通性があります。
匿名性の高いメイルアドレス、多くの場合freemailのメイルアドレスです
私のところに来るメイルの筆頭は yahoo と hotmail.com です。
(kinki-kids.com もあります)
しかもこれらのメイルが yahoo.xx や hotmail.com に縁もゆかりもない
プロバイダのホストから送られて来るのです。
yahoo でも yahoo.co.jp は比較的詐称されていないようです。
http://www.src.co.jp/spam/2004/03/Domain200403.html#maildomain
概して、ダイアルアップ(?)回線を使って他のプロバイダのメイルアドレ
スで送って来ると言うのが spam の常道です。
また、ocn は送信者のメイルアドレスと送出ホストが同じです。(違って
いるとspam か ocn[会社]からのメイル)
また rakuten.co.jp もメイルアドレスと送出ホストの名前が同じです。
>
> でないと、Bフレッツの下のおうちサーバからのメールも(これは逆引きじゃな
> くて ISP の公式 SMTP サーバじゃないということで)はねられちゃいますし。
>
田原さんのメイルアドレスで「Bフレッツの下のおうちサーバから」私宛
に送られますと、1回目は1時間経つと届きます。2回目からはすぐ届き
ます。(greylisting とはこういう手順です。)
しかし 例えば、@yahoo.com のメイルアドレスで同じサーバから送られま
すと、受信しません(この部分は私が追加しました)。放置すれば送信者
が諦めるまで 471 temp error です。
逆引きできないホストも小さい私んちのサイトでは今年3月の合計で
国または地域 | ホスト数 | アクセス回数
合 計 | 259| 2010
KR REPUBLIC OF KOREA | 77| 80
CN CHINA | 70| 311
US UNITED STATES | 24| 466
JP JAPAN | 23| 770
以下略
と韓国と中国・アメリカ・日本はタイプが違うようです。
韓国は spam みたいで中国・アメリカ・日本は故意に逆引きをさせないよ
うです。
> > 「ひょっとして, 内部の乗っ取られたホストがあるかなぁ」とかいう話
> > も出てました.
>
> Reject するようなサーバは潰せ! みたいな作戦が展開されてたりして…
> それにしても悪質ですね。
>
大きな組織は狙い甲斐があるのでしょうが sapm(er) 達はそんなに共同作
戦を実行するタイプでは無いようです。第一面白くありません。
> そういや、ブラックリスト屋さんのサーバへの攻撃とかも凄いらしいですが、
> そういう意味では、あれだけユーザ抱えて、さらに攻撃も受けているであろう
> ワクチン屋さんのサーバって凄いですね。簡単に潰れる SCO のサイトとは大
> 違い(まぁ、かけてる予算も人員も桁違いなんでしょうけど)。
>
どのようにしていてもDOS攻撃は回線の太さの勝負ですから、仕掛けられ
たら、対策なんぞは無いと思います。
snort で見ていると land 攻撃に 127.0.0.1 を発 IP にしたのが相当あ
ります。(linux の pppd はこのパケットを通しません)
ただ、broadcast address への ping には留意しないと自分が加害者になっ
てしまいます。
-- 早間 yossi@yedo.src.co.jp
- Follow-Ups
-
- [plamo:22272] Re: spam 対策, 早間義博
- [plamo:22279] Re: spam 対策, Shun-ichi TAHARA (田原 俊一)
- References
-
- [plamo:22265] Re: spam 対策, 早間義博
- [plamo:22266] Re: spam 対策, Takao Ono
- [plamo:22267] Re: spam 対策, Shun-ichi TAHARA (田原 俊一)
[検索ページ]
[メール一覧]
Plamo ML 公開システム