これは「メール Advent Calendar 2018」のために書かれたエントリです。
また元ネタは今年の6月に開かれたNSEGという長野の勉強会で発表した内容の後半にあります。
NSEG 勉強会 #101 / メールとコミュニケーションツール - connpass
スパム対策お焚き上げ
今北産業
- サブミッションスパムはここ2,3年ですごい増えた
- アカウントはサブミッションポートへの辞書攻撃で取られるようになった
- ばれないようにちょっとづつ送ったりするようにもなった
はじめに
今から6年半前の2012/5頃に、サブミッションスパムというあたらしいタイプのスパム送信方法で送られたスパムにより、各ISPのメールサーバに障害起きたりする事例がありました。
「サブミッションスパム」による5/15〜16のメール障害の解説と対策
これは、クラックしたアカウントを使い、サブミッションポートでユーザ認証したアカウントからスパムを出されたことから、そう名前を付けたものです。
その後自分は、tarpittingを利用したサブミッションスパムへの対策方法などのエントリも書いたりしています。
一時は下火となっていたサブミッションスパムでしたが、ここ2,3年くらいで再度増えてきており、その手法が細かなところで違ってきているため、その説明をします。
アカウントの取得方法の変化
2012/5当時のエントリーでは
どうやってアカウントを取得したか
どうやってユーザのアカウントを取得したかは、具体的な証拠はありませんが、状況からみて以前に該当ユーザのPCにウイルスを感染させて取得した可能性が高いと考えられます。
「サブミッションスパム」による5/15〜16のメール障害の解説と対策
と書いていました。
これは使われたアカウントがバラバラでパスワードも脆弱とは考えにくいもので、またPOP3やSubmissionポートへの辞書攻撃らしいアクセスも残っていなかったためでした。
最近サブミッションスパムでやられているアカウントを調査すると、サブミッションポートに対して辞書攻撃が行われているようで、同一アカウントに対して複数の海外IPから認証が行われ、パスワードのエラーが起きていることが確認できます。
そしてそのIPからの認証が通ってしまうと、数時間後に別のIPからサブミッションでの認証が行われ、スパムの大量送信が行われます。ちなみにこの送信時には、動的IPではなくてクラウドサーバが使われていることが多いようです。
サブミッションポートに対してのエラー数をカウントしてみました。
ここ数年で急激にサブミッションポートに対しての辞書攻撃が増えていることがわかります。
これはサブミッションでなくPOP3などでもよいはずですが、サブミッションのほうが狙われているようです。
この手のブルートフォースに対してPOP3よりサブミッションのほうが対策されていない可能性が高いからでは、と推測しています。
こっそり送る
クラックされたアカウントを事前に検知できないか調査していて、おもしろいことに気が付きました。
サブミッションスパム送信元と同じクラウドサーバのIPから送信が行われているのに、大量メール送信ではなくてちょっとづつ(10件程度とか)をときどき送信しているものがあるのです。
送信しているメールの内容を確認できないため、スパムが送られているのかどうかはわかりませんが、送信先などから考えてもほぼ間違いなくスパムが送られていると考えられました。
これまでサブミッションスパムは、クラックしたアカウントで一気に大量のスパムを出して、メールサーバ管理者に見つかってアカウントを止められる、という運用のされ方でした。
それが、監視ツールのアラートが上がらない程度に「こっそり」と送ることで、息が長くアカウントを使えるようにしているものもある、ということです。
サブミッションスパムはつらい
サブミッションスパムによる大量スパム送信はサーバに負荷がかかります。
メールスプールに大量にメールが溜まったり、エラーメールが大量に返ってきたりするためです。
一番つらいのがDNSBLへ登録されてエラーで弾かれるようになって、他のユーザからメールが届かなくなったと言わることです。
先日の迷惑メールカンファレンスでもサブミッションスパムの件がよくネタに出てきていました。ほんとなんとかならんもんでしょうかね。