Snap.Shot.cx

トップページへ戻る

[Spam] ドメインに対して辞書を当てる
09/05/2004 01:33 (投稿者:たかの)

最近ホントSpamネタばかりしか取り上げていませんが…。表に出せる技術ネタってこれくらいしかやってないので仕方無い。せっかくなのでSpamカテゴリとして新設してしまおう。
で、これは数週間前からなのですが、中国方面のかなり広範囲なIPアドレスブロックについて、SMTPプロトコロレベルで接続拒否しています。
具体的には、以下に挙げるIPアドレスブロックについて、tcprulesによる接続拒否を設定しています。

221.208.83.:deny
221.208.119.:deny
221.208.80.:deny
221.208.135.:deny
221.208.14.:deny
221.212.239.:deny
221.212.238.:deny
218.9.168.:deny
221.208.68.:deny
221.208.29.:deny
218.9.141.:deny

#tcprulesというのは、いわゆるDJBのtcpserverのためのアクセス制御ツールであります。

これらのIPアドレスブロックから何が来たかというと、こんなんです。

2004-09-05 00:48:50.696246500 info msg 8130: bytes 1685 from qp 19938 uid 81
2004-09-05 00:48:50.774647500 starting delivery 19193: msg 8130 to local 3com@readmej.com
2004-09-05 00:48:50.921350500 delivery 19193: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/
2004-09-05 00:56:50.780150500 info msg 8130: bytes 1689 from qp 20032 uid 81
2004-09-05 00:56:50.849777500 starting delivery 19197: msg 8130 to local lonelier@readmej.com
2004-09-05 00:56:50.998258500 delivery 19197: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/
2004-09-05 00:57:42.858220500 info msg 8130: bytes 1687 from qp 20045 uid 81
2004-09-05 00:57:42.928458500 starting delivery 19201: msg 8130 to local tygdzl@readmej.com

どうも辞書使って、readmej.comドメインへあらゆるユーザへのメール送信を試みているらしい。
readmej.comは別にフリーメールサービスをやっているわけではないので、ほぼ全てのメールアドレスはfailします。しかし不幸かな、qmailはオバカなことに一旦すべてのメールを受け取ってしまうので、攻撃者から見るとすべてのメールは送信成功したかのように見える。
さらに困ったことに、ウチはRBL対策で全てのoutgoingメールを外部専用サーバへ回送しているので、あらゆるエラーメールが

攻撃者 → 自宅 → 外部サーバ → (宛先不明)

という経路をたどる。こんなアホウな話があるか!

まぁ、いつかは来るだろうと思ってはいたので、とうとう来たかという感じであります。
幸いなことに、現在はこんなアホウな攻撃者が一定のIPアドレスブロックから外に出てこないようなので、最悪mask/16くらいで止めらそうですが、そうでなくなる日は近そうです。

とりあえず、qmailの寿命は尽きたね。ClamAVやSPF導入も含めて、MTAのリプレースを検討しなくてはなりませんな。

メールでコメント


(Powered by Zope)
リンクはご自由にどうぞ。各記事には記事番号がついていますので、URLは変わりません。
© 2000-2013 Yukimasa TAKANO, all RIGHTs reserved.