[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:22270] Re: spam 対策



早間です。

From: Shun-ichi TAHARA (田原 俊一) <jado@flowernet.gr.jp>
Subject: [plamo:22267] Re: spam 対策
Date: Wed, 07 Apr 2004 16:22:46 +0900 (JST)
Message-ID: <20040407.162246.1041017637.z1980163@zenrin.co.jp>

> From: takao@hirata.nuee.nagoya-u.ac.jp (Takao Ono)
> Message-Id: <040407161436.M0121401@flame.hirata.nuee.nagoya-u.ac.jp>
> 
> > > Greylisting と逆引き出来ないホストからは受け取らない。
> 
> > うちの大学では,
> > 「逆引きできないところからのメールを拒否したり捨てたりすると DDoS
> > くらう」
> > という状況になってたことがあります.
> 
> 早間さんが仰ってる「受け取らない」は、Temporally Error を返す、ってや
> つじゃなかったですっけ?

そのとおりです。
spamer は大量にメイルを送るので、
 Temporally Error
を返すと、そんなサーバにかかわらないで、他のサーバに移って行きます。
Greylisting と言うのはこの性質を利用しています(極めて機械的です、
同時に現在の spamer の性質を利用しているのです)。
「471 Temporally Error を返して検疫時間経過後も送って来る」ならば
受信すると言うものです。

お馴染みさん方式は、もう少し相手の状況を調べて受信許可をしています。
例えば、一旦 Temporally Error を出しても1秒も経たないうちに再送し
て来ると spam 扱いにされてなかなか受信しません。

大口を叩くわけではありませんが、spam に人気のあるメイルアドレスには
ある程度共通性があります。
匿名性の高いメイルアドレス、多くの場合freemailのメイルアドレスです
私のところに来るメイルの筆頭は yahoo と hotmail.com です。
(kinki-kids.com もあります)
しかもこれらのメイルが yahoo.xx や hotmail.com  に縁もゆかりもない
プロバイダのホストから送られて来るのです。

yahoo でも yahoo.co.jp は比較的詐称されていないようです。
http://www.src.co.jp/spam/2004/03/Domain200403.html#maildomain

概して、ダイアルアップ(?)回線を使って他のプロバイダのメイルアドレ
スで送って来ると言うのが spam の常道です。

また、ocn は送信者のメイルアドレスと送出ホストが同じです。(違って
いるとspam か ocn[会社]からのメイル)
また  rakuten.co.jp もメイルアドレスと送出ホストの名前が同じです。

> 
> でないと、Bフレッツの下のおうちサーバからのメールも(これは逆引きじゃな
> くて ISP の公式 SMTP サーバじゃないということで)はねられちゃいますし。
> 

田原さんのメイルアドレスで「Bフレッツの下のおうちサーバから」私宛
に送られますと、1回目は1時間経つと届きます。2回目からはすぐ届き
ます。(greylisting とはこういう手順です。)
しかし 例えば、@yahoo.com のメイルアドレスで同じサーバから送られま
すと、受信しません(この部分は私が追加しました)。放置すれば送信者
が諦めるまで 471 temp error です。

逆引きできないホストも小さい私んちのサイトでは今年3月の合計で
     国または地域               |  ホスト数   | アクセス回数
 合      計                     |          259|         2010
 KR REPUBLIC OF KOREA           |           77|           80
 CN CHINA                       |           70|          311
 US UNITED STATES               |           24|          466
 JP JAPAN                       |           23|          770
            以下略
と韓国と中国・アメリカ・日本はタイプが違うようです。
韓国は spam みたいで中国・アメリカ・日本は故意に逆引きをさせないよ
うです。
> > 「ひょっとして, 内部の乗っ取られたホストがあるかなぁ」とかいう話
> > も出てました.
> 
> Reject するようなサーバは潰せ! みたいな作戦が展開されてたりして…
> それにしても悪質ですね。
>

大きな組織は狙い甲斐があるのでしょうが sapm(er) 達はそんなに共同作
戦を実行するタイプでは無いようです。第一面白くありません。
 
> そういや、ブラックリスト屋さんのサーバへの攻撃とかも凄いらしいですが、
> そういう意味では、あれだけユーザ抱えて、さらに攻撃も受けているであろう
> ワクチン屋さんのサーバって凄いですね。簡単に潰れる SCO のサイトとは大
> 違い(まぁ、かけてる予算も人員も桁違いなんでしょうけど)。
>

どのようにしていてもDOS攻撃は回線の太さの勝負ですから、仕掛けられ
たら、対策なんぞは無いと思います。
snort で見ていると land 攻撃に 127.0.0.1 を発 IP にしたのが相当あ
ります。(linux の pppd はこのパケットを通しません)
ただ、broadcast address への ping には留意しないと自分が加害者になっ
てしまいます。

-- 早間  yossi@yedo.src.co.jp

Follow-Ups
[plamo:22272] Re: spam 対策, 早間義博
[plamo:22279] Re: spam 対策, Shun-ichi TAHARA (田原 俊一)
References
[plamo:22265] Re: spam 対策, 早間義博
[plamo:22266] Re: spam 対策, Takao Ono
[plamo:22267] Re: spam 対策, Shun-ichi TAHARA (田原 俊一)

[検索ページ] [メール一覧]
Plamo ML 公開システム