つらつらとメールのログを眺めていたら、SMTPで、MAIL FROM(エンベロープfromを送ってくるところ)セッション時に、lost connection(相手方から接続が切られた)するスパムがやたら多くなっていることに気がついた。
あまりに量が多いのでグラフにしてみた。
ちなみに、このサーバはRCPT TO後に125sのtarpittingしているのだが、それではじいているのは1000程度。
だからここ最近は、その10倍以上のスパムがMAIL FROMのタイミングで向こうから切ってきていることになる。
このサーバだけの問題かと思って、もっとずっとユーザ数の多いサーバでも調べてみると、6月に入ってからぼちぼちとMAIL FROMのタイミングでlost connectionが増えてきて、8月に入るとだいぶ多くなっていた。
どちらのサーバもMAIL FROMの時点ではなんの制限もチェックも掛けていないので、向こうのクライアントが切ってるのだと思うが、IPを見ても法則性はないためbotと思われる。
また特定のISPからの接続のみそうなっているわけではないため、ネットワーク側で何らかの制限を掛けられたためではなく、クライアント側でそういう動きをしているのだと思う。
うーん、botのバグ?
他の環境でもこの状況って観察されてますかね??