[plamo:27263] SPAMS(Re: The cheapest medicine here!)

[KOJIMA Mitsuhiro]

昨日の午後あたり，ML 参加者のメールアドレスを詐称した SPAM が流れました
が，このヘンになると自動的に弾くのは困難なので，各自ご注意くださいませ．

現在の Plamo ML では，

・ML 登録者以外からの投稿は不可
・15KB(12KB かも？)以上の投稿は不可

という縛りで運用していますが，今回のように「ML 参加者のメールアドレスを
詐称」して「1KB程度のメール」を流されると，どっちの縛りもくぐりぬけちゃ
います．

このヘンをハジくには，ベイジアンフィルター等の内容ベースのフィルタリン
グが必要になりますが，ML のレベルでそれをやるのもあまりよろしくない(サー
バの負荷も大きいし，メールの内容で検閲するような処理はあまりしたくない)と
思いますので，対処は各自におまかせするということで．

# このサイズならせいぜいどこかのサイトへの誘導だろうから，それほど致命
# 的なことはないと思いますが．．

閑話休題：

ML に流れた SPAM と時を同じくして，私のアドレスや LSWG のアドレスにも同
じような内容の SPAM が来てました．

同じ spammer の仕業だと思いますが，ヘッダーに記録されたアドレスを見ると，

Received: from sv.linet.gr.jp (localhost [127.0.0.1])
	by sv.linet.gr.jp (Postfix) with ESMTP
	id 195D35E133; Tue, 30 May 2006 16:17:45 +0900 (JST)
Received: from boxing-gflyj8tm (84.252.42.136.eth.ggbit.net [84.252.42.136])
	by sv.linet.gr.jp (Postfix) with SMTP id 02D5C5E134
	for <plamo@linet.gr.jp>; Tue, 30 May 2006 16:17:28 +0900 (JST)
Received: from [245.14.6.56] (port=1669 helo=[245.14.6.56])
        by linet.gr.jp with esmtp 
        id 5Kbrqu-v5O347-78
        for plamo@linet.gr.jp; Tue, 30 May 2006 01:59:37 -0100

こんな感じで，SPAM の発信元(この例だと 245.14.6.56)から，一度別のメール
サーバ(この例だと 84.252.42.136)を踏台にしてから送ってますね．届いてい
た 18通くらいの SPAM を見ると，発信元は 4 個所くらいに限定されるけど，
踏台にされたホストは 18 通とも異なっているみたい．

よく分からないけど，こういう方法を取ることで特定のサイトからの SPAM を
動的にハジくような処理をかわすつもりなのかな？

-------
こじま