つらつらとメールのログを眺めていたら、SMTPで、MAIL FROM(エンベロープfromを送ってくるところ)セッション時に、lost connection(相手方から接続が切られた)するスパムがやたら多くなっていることに気がついた。

あまりに量が多いのでグラフにしてみた。

ちなみに、このサーバはRCPT TO後に125sのtarpittingしているのだが、それではじいているのは1000程度。
だからここ最近は、その10倍以上のスパムがMAIL FROMのタイミングで向こうから切ってきていることになる。

このサーバだけの問題かと思って、もっとずっとユーザ数の多いサーバでも調べてみると、6月に入ってからぼちぼちとMAIL FROMのタイミングでlost connectionが増えてきて、8月に入るとだいぶ多くなっていた。

どちらのサーバもMAIL FROMの時点ではなんの制限もチェックも掛けていないので、向こうのクライアントが切ってるのだと思うが、IPを見ても法則性はないためbotと思われる。

また特定のISPからの接続のみそうなっているわけではないため、ネットワーク側で何らかの制限を掛けられたためではなく、クライアント側でそういう動きをしているのだと思う。

うーん、botのバグ？
他の環境でもこの状況って観察されてますかね？？