モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

postfixやqmailから送られてくる日本語スパムを拒否

遅延時間を長くしたり、tarpit+greylistでのフィルタを掛けてしても抜けてくるスパムがある。
特に、日本語のスパムでそういうスパムがある。
senderのドメインが、19luckygirl.infoとか1moretry.infoとかppserver.infoとかで、送信元IPが中国やフィリピンからのもので、subjectが「ほんの1日15分の作業が大金を産む!」とか「完全割り切り!永久無料で直アド交換♪」とか「100%アポれる16人を選びました☆」とかそういうやつだ。


これらは今まで、HELOによるフィルタやNSとの複合条件でフィルタで拒否していたのだが、だんだんと抜けてくるのが多く(というか目立つように)なってきた。


そこであまりやりたくはなかったのだけど、NSとIPアドレス帯との複合条件でフィルタ設定を掛けて拒否するようにした。
このスパマーPostfixから出ていることでわかるように、たぶん専用のサーバ群が中国なりフィリピンなりに置いてあり、そこから動的IPで出されていると考えられる。

こんな感じですね。
モーグルとカバとパウダーの日記 - スパム業者、タクミ通信が捕まる

中国・黒竜江省のビルにパソコン128台を設置して日本から遠隔操作

IPアドレス帯でのフィルタは、相手がbotなどの場合意味がないが、このような条件だと利用できるだろう。
そして面白いことに、彼らは1業者ではなく3,4業者だと思うのだけど、NSはみなdomaincontrol.comのものを利用していて、.infoドメインを利用している。たぶん料金的にそれが最適解なのだろう。


というわけで、NSが「ns[5-9][0-9].domaincontrol.com」で、ドメイン名が「.info」で、送信元が「中国CGWNETの一部アドレス帯」「フィリピンDEFENSNETの一部アドレス帯」「フィリピンGLOBET-PHの一部アドレス帯」から出ているものを拒否する設定を、以下のように作った。


main.cf

smtpd_restriction_classes =
        check_sender_info
        check_client_blackip
check_sender_info =
        check_sender_access    regexp:$config_directory/check_sender_info
check_client_blackip =
        check_client_access    hash:$config_directory/check_client_blackip

smtpd_recipient_restrictions =
        permit_mynetworks
        ...
        check_client_access    regexp:$config_directory/permit_client_nots25r
        ...
        check_sender_ns_access regexp:$config_directory/check_ns

check_ns

/^ns[56789][0-9]\.domaincontrol.com$/            check_sender_info

check_sender_info

/\.info$/                                        check_client_blackip

check_client_blackip

# CN CGWNET       211.164.0.0 - 211.166.255.255
211.166.11                                      REJECT match domaincontrol blacklist
# PH DEFENSNET    203.82.16.0 - 203.82.23.255
203.82.17                                       REJECT match domaincontrol blacklist
203.82.20                                       REJECT match domaincontrol blacklist
203.82.21                                       REJECT match domaincontrol blacklist
203.82.22                                       REJECT match domaincontrol blacklist
203.82.23                                       REJECT match domaincontrol blacklist
# PH GLOBET-PH    222.127.0.0 - 222.127.255.255
222.127.16                                      REJECT match domaincontrol blacklist
222.127.111                                     REJECT match domaincontrol blacklist


これでほぼ誤検出無くこれらのスパムを拒否できるはずです。
ログから引っかかる件数を見てると、それほどの量ではないのですが、元々抜けてくるスパムが少ないため逆に気になっちゃうんですよね。


(関連)

モーグルとカバとパウダーの日記 - 「地元のオバサンを」スパム
モーグルとカバとパウダーの日記 - 「現金が毎月30万円以上貴方の口座に振り込まれます!」スパム
モーグルとカバとパウダーの日記 - sakura@19chaparal.infoからとかのスパムをフィルタ
モーグルとカバとパウダーの日記 - スパム業者、タクミ通信が捕まる