09/08/05 12:28:47 .net
ユーザーID部分をランダムではなくリストらしきものから生成して送ってきてますね
ただアレックスとか日本名ではないリストらしく蹴られて居るとい感じ
日本語名のDB使われると面倒だなぁ、まぁIPでもころしているしアサシンやウイルスチェック
でも蹴られるのでほとんど通る事はないだろうけど厄介なBOTですね
183:DNS未登録さん
09/08/05 13:46:36 .net
>>182
確かに、ランダムでは無いね。辞書を使っていると思う。
ただ、今日のログを見ていると aizawa.hideakiとかyuuji.yokoe、h_hirosi、akira_terada
って感じに明らかに日本語の単語も混じっているから成長しているように思えるよ。
これ、嫌な感じだよね。
184:DNS未登録さん
09/08/11 19:18:25 .net
メールアドレス辞書攻撃
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
185:DNS未登録さん
09/08/11 20:45:56 .net
>>184
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。
186:DNS未登録さん
09/08/12 02:27:06 .net
>>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0~55なのか
187:DNS未登録さん
09/09/01 23:22:45 .net
どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
188:DNS未登録さん
09/09/02 07:35:39 .net
国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね)
189:DNS未登録さん
09/09/02 23:06:28 .net
iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
190:DNS未登録さん
09/09/03 00:09:04 .net
同一IPからそんだけどばどば来てるってことなの?
191:DNS未登録さん
09/09/03 06:37:43 .net
>>190
そうだよ。
絞る前は、300 connection とかあった。
192:DNS未登録さん
09/09/03 13:37:28 .net
>>191 >184 207.044.128.0/17
ビンゴだねw
8月の頭からきてるってことだな
193:DNS未登録さん
09/09/04 14:37:26 .net
>>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。
194:DNS未登録さん
09/09/04 19:46:05 .net
>>193
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。
195:DNS未登録さん
09/09/23 10:22:14 .net
辞書攻撃の SPAM その後
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!!
196:DNS未登録さん
09/09/23 21:51:53 .net
>>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね
197:DNS未登録さん
09/09/23 23:33:21 .net
>>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
198:DNS未登録さん
09/09/24 01:51:00 .net
>>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
199:DNS未登録さん
09/09/24 12:51:48 .net
>>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
200:DNS未登録さん
09/09/25 11:36:38 .net
>>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ?
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの?
201:DNS未登録さん
09/09/25 16:58:00 .net
>>200
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
202:DNS未登録さん
09/09/25 18:18:24 .net
>>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
203:DNS未登録さん
09/09/25 19:09:42 .net
>>202
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
204:DNS未登録さん
09/09/28 12:07:27 .net
MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
205:DNS未登録さん
10/02/08 06:44:40 .net
スパマーを死刑にする法律が欲しいね。
206:DNS未登録さん
10/02/08 21:31:15 .net
死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
207:DNS未登録さん
10/03/31 14:18:42 .net
spamassasin使ってる人に質問
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
208:DNS未登録さん
10/04/20 10:33:17 .net
スレリンク(mysv板:207番)
スレリンク(mysv板:737番)
スレリンク(unix板:369番)
209:DNS未登録さん
10/05/26 17:42:38 .net
スパムアサシンとprocmail使って消してる。
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
210:DNS未登録さん
10/07/24 15:21:48 bRJf63A3.net
URLリンク(ameblo.jp)
こいつがハックしてるらしいよ。
211:DNS未登録さん
10/09/13 22:40:33 .net
びよよーん
212:DNS未登録さん
10/10/20 10:17:49 .net
グロ注意
213:DNS未登録さん
12/10/21 04:07:01.46 .net
メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?
214:NY
12/11/18 13:55:32.38 .net
i'm fine good work <a href=" URLリンク(urbania4.org) ">amitriptyline price uk</a> Present Patient Care Presentation
215:DNS未登録さん
12/11/22 22:03:22.70 .net
>>213
それ以外に特に制約条件が無いなら技術的には可能。
216:DNS未登録さん
14/01/24 13:50:20.90 wAkYRW9/.net
分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
URLリンク(www.rbl.jp)
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。
217:DNS未登録さん
14/01/25 21:50:51.49 .net
SMTP認証のパスワード破られたんじゃないの?
218:DNS未登録さん
14/01/26 11:25:06.67 .net
>>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。
219:DNS未登録さん
19/05/27 17:15:14.45 .net
.
220:DNS未登録さん
21/02/01 08:27:53.87 .net
特定の大型顧客の過去案件が件名になってるspamがくるんだけど、その客先のサーバーがhackされたんですかね?
送信者もその案件の関係者騙ってるけど、メールアドレスは全然別物です
その客先以外の案件は騙ってこないので、うちからの流出は考えづらいのですが
221:DNS未登録さん
21/04/18 02:32:08.04 .net
最近のSPAM、dkimとdmarcが最初から付いてない
222:DNS未登録さん
21/10/31 19:20:52.18 v+45pRLv.net
DMARC採用するにはDKIM必須ですか?
SPFだけじゃダメ?
223:DNS未登録さん
21/11/01 18:57:35.46 .net
>>222
両方必須です。
224:DNS未登録さん
21/11/01 19:02:13.02 .net
p.s.
受信するだけなら SPF のみでもおっけーだけどそういう話じゃないよね?
225:DNS未登録さん
21/11/01 22:45:25.78 R3QifBUx.net
DKIMないと
なりすましされたことが
レポートでわかるくらい?
226:DNS未登録さん
21/11/24 22:03:21.89 1KpZtuhL.net
レンタルサーバだからDKIM無理だけど、
DMARC付けておいた方が良いとかありますか?
227:DNS未登録さん
21/11/25 01:10:32.32 .net
DKIM無理なレンタルサーバからDKIM使えるレンタルサーバに移転すべき時期
228:DNS未登録さん
22/03/10 14:03:57.04 xRvv3ANh.net
SPFレコード書くとき、
サブドメインがあるときは、
サブドメインのTXTレコードにも書く必要ありますか?
229:DNS未登録さん
22/03/11 18:56:04.91 .net
>>228
両方必要@とサブドメインにそれぞれ設定
中継サーバーがあればそれらもインクルード
230:DNS未登録さん
22/03/12 03:12:24.26 .net
中継あるなら中継だけ書けばええやろ
231:DNS未登録さん
22/05/16 15:32:02.87 srGYMfqa.net
使っている(レンタル)サーバはdmarcに対応してないです。
SPFだけ。
それでも_dmarcサブドメイン作って置いた方が良いのでしょうか?
232:DNS未登録さん
22/05/17 18:00:30.68 .net
>>231
作っちゃダメです
サーバーが対応していないのにレコードを作ってしまうとhardfailになります
233:DNS未登録さん
22/12/06 16:10:07.86 .net
SPF
DKIM
DMARC
でスパム迷惑メール撲滅できるの?
現在はSPFしか設定してないけど、手間の割には撲滅できないなら導入止めようと思うんだけど。
どうですか?
234:DNS未登録さん
22/12/07 03:44:37.02 .net
DKIM&DMARC対応スパムもあるから完全には無理かな。うちでは Postfix で逆引きできないホストを全部弾く方がスパム避けになってる。
235:DNS未登録さん
22/12/07 06:29:03.92 .net
>>233
結構減る
あと「お前のPCハクした。お前が見てたエロ動画とお前の4545のマッシュアップ動画作った
連絡先に動画を送信されたくなければBTC払え」は完全に来なくなる
手間はワンタイムで効果は継続だから導入の一択でしょ
236:234です
22/12/07 12:00:36.34 .net
>>234
>>235
レストントン!
237:234です
22/12/07 12:02:14.59 /FgkBZqB.net
>>235
>結構減る
>完全に来なくなる
どっちだよ。
完全に無くなるというのは、なぜ言い切れるの?
238:234です
22/12/07 12:18:09.37 .net
>>233
> Postfix で逆引きできないホストを全部弾く方
以前はそれやっていたけど、ここ10年くらいから逆引きできない国内鯖増えてきたから止めたんだよね。
メルマガ系でもトラブル多くなったし。
現在は URLリンク(ipv4.fetus.jp)からwgetで取得し、cn, hk, kr, kp, ru, irを弾くだけで98%はOK。
さらにSPF,DKIM,DMARC で弾けるならうれしいが。
239:DNS未登録さん
22/12/07 17:45:25.58 .net
>>237
BTC恐喝はターゲット、つまり俺自身のメアドで送信してくるよね
だから自ドメインのSPFやDKIM導入でhardfailにでき、完全に阻止できる
一方、SPF/DKIM/DMARC設定済みドメインで送信されるspamもあるから、こっちは完全じゃない
240:DNS未登録さん
22/12/11 04:22:00.49 .net
>>238
あー、確かに。最近はメールをあんまし使わなくなったのでホワイトリスト手動更新でなんとか対応できてるけど。
IPv6なアドレスもちらほらあったりするからやめ時かな。
241:DNS未登録さん
23/03/04 04:53:06.62 .net
v6のSMTPサービス止めれば?
242:DNS未登録さん
23/08/13 18:30:26.89 yUwRD95y.net
test@hostxbay.com
このアドレスがらみのアクセスどうにか出来ないかねえ…
243:DNS未登録さん
23/10/14 11:06:08.48 .net
Σ(●゚д゚●)
244:DNS未登録さん
23/12/09 10:28:58.34 .net
GoogleがDNSにDMARCレコードのないドメインからのメールを受け取らなくなるというのは本当ですか?
245:DNS未登録さん
24/01/07 17:36:52.38 hb7DA1uK.net
一斉メール配信サービスはDKIM対応、WEBArenaメールホスティングはDKIM非対応の混在環境の場合、DMARCは設定すべきでないと思っておりますが皆さんの意見をお聞きしたいです。
因みにAIのコパイロットはすべきでない、人間のサポートは設定しても問題ないと答えています。
ドメインは両サービスとも同じです。
たすけてください。
246:DNS未登録さん
24/06/14 22:12:00.50 gU//OjEM.net
どっちも正しい…というか回答出来ない。
DMARCはDKIMをパスしないとパスしない。
でもDMARCのポリシーをNoneにするなら設定してもパスしなくても問題無い。
247:DNS未登録さん
24/07/02 16:51:40.66 jGPmxdn5.net
当方は古くなっているが sendmail-8.15.2 を使用。 sendmail.mcに
FEATURE('require_rdns')dnl の1行を加えて、ほぼ大半のフィッシングメールを遮断できています。
内容がまともなメールだが逆引きできないために受信できないようなメールがあったという経験はこれまでありません。
248:DNS未登録さん
25/01/02 08:17:05.25 EmnO0dofR
例えば「JA24KP」は「エアバス・テロリス夕ース゛O354143з46」だが
クソ航空機による騒音被害を受けたらアプリ「ÅDS-B UnfilТered...」で登録記号確認
тtps://jasearch.info/ ←ここで犯人特定
ADS-B出してない日の丸ロゴ機体は憲法違反税金泥棒自閉隊関係だが、人の尊厳を踏みにじるこいつらテロリストが莫大な石油を無駄に
燃やしてエネ価格高騰、気侯変動、災害連發、人殺しまくって憲法ガン無視で騷音まき散らして労働者の睡眠妨害して生産性壊滅
知的産業を根絶やしにして住民の生命財産生活にと破壞して人々を貧困化させてる強盗殺人が近年の俺も俺も強盗の根源なわけだが
この悪質テロに立ち向かう英雄に送金したいというやつ本当に大勢いるからな
企業トップ銃殺してSΝSで盛大に称賛されて多額の金が集まってるがこの深刻な被害に切り込んだ英雄は-生遊べるほどに大儲けできるぞ
航空燃料税1万円/Lにするだけで財政、脱炭素、治安、国際競争力と一挙解決するものをアーアー聞こえないの腐敗政府を追い詰めよう
〔ref.〕 URLリンク(www.call)<)T-route.com/
ttρs://n-souonhigaisosуoudan.amebaownd.com/