遅延時間を長くしたり、tarpit+greylistでのフィルタを掛けてしても抜けてくるスパムがある。
特に、日本語のスパムでそういうスパムがある。
senderのドメインが、19luckygirl.infoとか1moretry.infoとかppserver.infoとかで、送信元IPが中国やフィリピンからのもので、subjectが「ほんの1日15分の作業が大金を産む!」とか「完全割り切り!永久無料で直アド交換♪」とか「100%アポれる16人を選びました☆」とかそういうやつだ。
これらは今まで、HELOによるフィルタやNSとの複合条件でフィルタで拒否していたのだが、だんだんと抜けてくるのが多く(というか目立つように)なってきた。
そこであまりやりたくはなかったのだけど、NSとIPアドレス帯との複合条件でフィルタ設定を掛けて拒否するようにした。
このスパマーはPostfixから出ていることでわかるように、たぶん専用のサーバ群が中国なりフィリピンなりに置いてあり、そこから動的IPで出されていると考えられる。
こんな感じですね。
モーグルとカバとパウダーの日記 - スパム業者、タクミ通信が捕まる
中国・黒竜江省のビルにパソコン128台を設置して日本から遠隔操作
IPアドレス帯でのフィルタは、相手がbotなどの場合意味がないが、このような条件だと利用できるだろう。
そして面白いことに、彼らは1業者ではなく3,4業者だと思うのだけど、NSはみなdomaincontrol.comのものを利用していて、.infoドメインを利用している。たぶん料金的にそれが最適解なのだろう。
というわけで、NSが「ns[5-9][0-9].domaincontrol.com」で、ドメイン名が「.info」で、送信元が「中国CGWNETの一部アドレス帯」「フィリピンDEFENSNETの一部アドレス帯」「フィリピンGLOBET-PHの一部アドレス帯」から出ているものを拒否する設定を、以下のように作った。
main.cf
smtpd_restriction_classes = check_sender_info check_client_blackip check_sender_info = check_sender_access regexp:$config_directory/check_sender_info check_client_blackip = check_client_access hash:$config_directory/check_client_blackip smtpd_recipient_restrictions = permit_mynetworks ... check_client_access regexp:$config_directory/permit_client_nots25r ... check_sender_ns_access regexp:$config_directory/check_ns
check_ns
/^ns[56789][0-9]\.domaincontrol.com$/ check_sender_info
check_sender_info
/\.info$/ check_client_blackip
check_client_blackip
# CN CGWNET 211.164.0.0 - 211.166.255.255 211.166.11 REJECT match domaincontrol blacklist # PH DEFENSNET 203.82.16.0 - 203.82.23.255 203.82.17 REJECT match domaincontrol blacklist 203.82.20 REJECT match domaincontrol blacklist 203.82.21 REJECT match domaincontrol blacklist 203.82.22 REJECT match domaincontrol blacklist 203.82.23 REJECT match domaincontrol blacklist # PH GLOBET-PH 222.127.0.0 - 222.127.255.255 222.127.16 REJECT match domaincontrol blacklist 222.127.111 REJECT match domaincontrol blacklist
これでほぼ誤検出無くこれらのスパムを拒否できるはずです。
ログから引っかかる件数を見てると、それほどの量ではないのですが、元々抜けてくるスパムが少ないため逆に気になっちゃうんですよね。
(関連)
モーグルとカバとパウダーの日記 - 「地元のオバサンを」スパム
モーグルとカバとパウダーの日記 - 「現金が毎月30万円以上貴方の口座に振り込まれます!」スパム
モーグルとカバとパウダーの日記 - sakura@19chaparal.infoからとかのスパムをフィルタ
モーグルとカバとパウダーの日記 - スパム業者、タクミ通信が捕まる