[plamo:22270] Re: spam 対策

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:22270] Re: spam 対策

From:早間義博

Date:Wed, 7 Apr 2004 19:46:25 +0900 (JST)

Subject: [plamo:22270] Re: spam 対策
From: 早間義博<yossi@xxxxxxxxxxxxxx>
Date: Wed, 07 Apr 2004 19:46:24 +0900 (JST)

早間です。

From: Shun-ichi TAHARA (田原 俊一) <jado@flowernet.gr.jp>
Subject: [plamo:22267] Re: spam 対策
Date: Wed, 07 Apr 2004 16:22:46 +0900 (JST)
Message-ID: <20040407.162246.1041017637.z1980163@zenrin.co.jp>

> From: takao@hirata.nuee.nagoya-u.ac.jp (Takao Ono)
> Message-Id: <040407161436.M0121401@flame.hirata.nuee.nagoya-u.ac.jp>
> 
> > > Greylisting と逆引き出来ないホストからは受け取らない。
> 
> > うちの大学では,
> > 「逆引きできないところからのメールを拒否したり捨てたりすると DDoS
> > くらう」
> > という状況になってたことがあります.
> 
> 早間さんが仰ってる「受け取らない」は、Temporally Error を返す、ってや
> つじゃなかったですっけ?

そのとおりです。
spamer は大量にメイルを送るので、
 Temporally Error
を返すと、そんなサーバにかかわらないで、他のサーバに移って行きます。
Greylisting と言うのはこの性質を利用しています（極めて機械的です、
同時に現在の spamer の性質を利用しているのです）。
「471 Temporally Error を返して検疫時間経過後も送って来る」ならば
受信すると言うものです。

お馴染みさん方式は、もう少し相手の状況を調べて受信許可をしています。
例えば、一旦 Temporally Error を出しても１秒も経たないうちに再送し
て来ると spam 扱いにされてなかなか受信しません。

大口を叩くわけではありませんが、spam に人気のあるメイルアドレスには
ある程度共通性があります。
匿名性の高いメイルアドレス、多くの場合freemailのメイルアドレスです
私のところに来るメイルの筆頭は yahoo と hotmail.com です。
（kinki-kids.com もあります）
しかもこれらのメイルが yahoo.xx や hotmail.com  に縁もゆかりもない
プロバイダのホストから送られて来るのです。

yahoo でも yahoo.co.jp は比較的詐称されていないようです。
http://www.src.co.jp/spam/2004/03/Domain200403.html#maildomain

概して、ダイアルアップ(?)回線を使って他のプロバイダのメイルアドレ
スで送って来ると言うのが spam の常道です。

また、ocn は送信者のメイルアドレスと送出ホストが同じです。（違って
いるとspam か ocn［会社］からのメイル）
また  rakuten.co.jp もメイルアドレスと送出ホストの名前が同じです。

> 
> でないと、Bフレッツの下のおうちサーバからのメールも(これは逆引きじゃな
> くて ISP の公式 SMTP サーバじゃないということで)はねられちゃいますし。
> 

田原さんのメイルアドレスで「Bフレッツの下のおうちサーバから」私宛
に送られますと、１回目は１時間経つと届きます。２回目からはすぐ届き
ます。（greylisting とはこういう手順です。）
しかし 例えば、@yahoo.com のメイルアドレスで同じサーバから送られま
すと、受信しません（この部分は私が追加しました）。放置すれば送信者
が諦めるまで 471 temp error です。

逆引きできないホストも小さい私んちのサイトでは今年３月の合計で
     国または地域               |  ホスト数   | アクセス回数
 合      計                     |          259|         2010
 KR REPUBLIC OF KOREA           |           77|           80
 CN CHINA                       |           70|          311
 US UNITED STATES               |           24|          466
 JP JAPAN                       |           23|          770
            以下略
と韓国と中国・アメリカ・日本はタイプが違うようです。
韓国は spam みたいで中国・アメリカ・日本は故意に逆引きをさせないよ
うです。
> > 「ひょっとして, 内部の乗っ取られたホストがあるかなぁ」とかいう話
> > も出てました.
> 
> Reject するようなサーバは潰せ! みたいな作戦が展開されてたりして…
> それにしても悪質ですね。
>

大きな組織は狙い甲斐があるのでしょうが sapm(er) 達はそんなに共同作
戦を実行するタイプでは無いようです。第一面白くありません。
 
> そういや、ブラックリスト屋さんのサーバへの攻撃とかも凄いらしいですが、
> そういう意味では、あれだけユーザ抱えて、さらに攻撃も受けているであろう
> ワクチン屋さんのサーバって凄いですね。簡単に潰れる SCO のサイトとは大
> 違い(まぁ、かけてる予算も人員も桁違いなんでしょうけど)。
>

どのようにしていてもDOS攻撃は回線の太さの勝負ですから、仕掛けられ
たら、対策なんぞは無いと思います。
snort で見ていると land 攻撃に 127.0.0.1 を発 IP にしたのが相当あ
ります。（linux の pppd はこのパケットを通しません）
ただ、broadcast address への ping には留意しないと自分が加害者になっ
てしまいます。

-- 早間  yossi@yedo.src.co.jp

Follow-Ups
: [plamo:22272] Re: spam 対策, 早間義博; [plamo:22279] Re: spam 対策, Shun-ichi TAHARA (田原俊一)

References
: [plamo:22265] Re: spam 対策, 早間義博; [plamo:22266] Re: spam 対策, Takao Ono; [plamo:22267] Re: spam 対策, Shun-ichi TAHARA (田原俊一)

Prev by Date: [plamo:22269] Re: Virus対策(Re:postfix)
Next by Date: [plamo:22271] NFS のためのPersonalFirewall (準備)
Previous by thread: [plamo:22267] Re: spam 対策
Next by thread: [plamo:22272] Re: spam 対策
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム