このスパムが抜けてくるのがうっとうしいので特徴を探す。
jobcnsun.info
dsyserver.info
ixcnnetwork.info
intermx.info
infotecsol.info
ドメインはこのへんを使っているようだが、NS(ネームサーバ)がns1.jobcnsun.infoとか、ドメイン毎にあるためまとめることが出来ない。
となると、後でドメインが増やされたときにまた追加しないといけないのがめんどくさい。
でもNSのIPを引いてみるとどれも全て
220.194.47.151
220.194.47.152
であることがわかった。たぶんIPのほうがドメインより長期で使われるであろうと見て、IPをNSのブラックリストに追記する。
reject_ns
# 30manyen (jobcnsun.info dsyserver.info ixcnnetwork.info intermx.info infotecsol.info) 220.194.47.151 REJECT match NS blacklist 30manyen 220.194.47.152 REJECT match NS blacklist 30manyen
IPで設定したがログを見るとうまくいっていなかった。
どうやら ns3.china-network-center.com がNSとなってるんだけども、その ns3 自身を引けないため拒否できない様子だった。
www.china-network-center.com も存在していないようで、ここ自身がスパム配信者と考え、ここのNSを拒否するという設定にした。
reject_ns
# 30manyen china-network-center.com REJECT match NS blacklist 30manyen
ちなみに、このIPを持ってるのはchina-network-center.comというところで、登録管理者名も中国人っぽい名前だが、連絡先住所は川崎区だ。
あと、スパムに使われているドメインの一部に、cnsunだとかcnnetworkだとか入ってるため、中国人が付けたっぽいのもわかる。
余談だが、スパム関係のこと調べてると中国人韓国人が関わってると推測されることがほんと多い。スパムだけでなく一般犯罪もそうなのかな?というふうに思えてくる。
(関連)
モーグルとカバとパウダーの日記 - NSブラックリストとその参考情報サイト
モーグルとカバとパウダーの日記 - スパマーのネームサーバでフィルタリング