ここ最近急増している(画像1枚のみではなく)HTMLメールでバイアグラを売るスパムの状況

(追記)
これ、バイアグラだけのように書いてしまいましたが、実際にはいろんなスパム撒いてます。
MSN騙ったスパムとか、もろもろ。

ここ数週間ですごく増えてるスパムの特徴とフィルタ内容 - モーグルとカバとパウダーの日記
の件追加調査結果です。

ここ最近急増している(画像1枚のみではなく)HTMLメールでバイアグラを売るスパムを抽出し、その情報を調べてみました。
抽出方法は前回のエントリーここ数週間ですごく増えてるスパムの特徴とフィルタ内容で書いた

message-idの@以降が、〜@remarrying972 のようにドットがなく、envelope fromの@以前と同一

という特徴で検索しました。

4/29〜5/8の10日間で、ある一つのアカウントに対し、65sのtarpitを通り抜けたスパム852通のうち793通、93%がこの条件にマッチしていました。
大きくスパムの種類ごとに分類すると、下表のようになりました。

バイアグラHTML	793	93%
バイアグラ PNG画像	11	1%
HELOに「SPK」の日本語	9	1%
その他	39	5%

この接続元IPはほぼ重複はなく、uniqすると791IPとなりました。
また、これらのIPで期間の全ログを検索すると、connect数は1807接続で同一IPからの接続は2.3回程度、また一度の接続毎に平均4.7通のメールが送られていました。

また、125sのtarpitを掛けている環境で、tarpitを抜けられずに切断してきた時間を調査しました。

tarpit切断時間(2009/5)

この80秒近辺のピークが、このタイプのスパムのものになりますので、80s以上のtarpitを掛けている場合はこのスパムはほぼ気がつかないと思います。
ちなみに、65s以下のtarpitで切断してきている率は64%で、65sから125sまでのtarpitで切断してきているのが36%です。
バイアグラ PNG画像のものとSPKのものは、tarpitでは諦めてくれません。

最近やけにスパムが増えたな、と感じられているサーバ管理者の方は、taRgrey 125sで運用するか、せめてStarpit 80sで運用されると、それだけでだいぶ改善されることと思います。