24 November '2004 - 03:26 | 雑記 スパムの話の続き
予想通り、スパム対策の効果はかなりあった。一日でだいたい1000近くものホストが弾かれてる。 ただし、思ったよりもリトライしてくるホストが多かった。ダイアルアップと思しきホストは一回で諦めるようだけれど、ちゃんとしたサーバでやってるところも結構ある。メールによるマーケティングをしてるところだ。あと、リトライに失敗したら、次は IP アドレスをどんどん変えながら再接続してくるようなところもあった。これを何度も懲りずに繰り返すんだから、ご苦労様としかいいようがないけれど、こういうのはマーケティングじゃなくて悪質なスパムだろう。
それから、ISP によっては、ユーザが出したメールの中継サーバの名前に IP アドレスの一部を使ってるところもあるようで、こいつらはホワイトリストに入れてやる必要があった。
あと、これは、ふつうの ADSL でもスタティック IP を簡単にもらえる<%= fn 'ちなみに、おれも自宅にふたつほどスタティックな IP アドレスを持ってるんだけれど、とくに何にも使ってない。もったいねー。って言われても、自宅にサーバたてる理由もないし。' %>というアメリカ事情なのかも知れないけれど、ADSL でメールサーバを立てているところが結構あって、そいつらのホスト名がルールにひっかかる系(adsl-1-2-3-4.sfo.example.com みたいなヤツ)であることが多いのがちょっと困り者。
まあ、それでも、費用対効果は素晴らしいと思うんで、とりあえず、ホワイトリストを適当に管理していけばなかなかいける感じ。
大規模なユーザを抱えてるところは難しいかも知れないけれど、うちの会社みたいな規模なら楽勝だろうってことで、会社のサーバ管理者にも使わせてみたら、弾いたホストのログだけでなく、そのセッションでの MAIL FROM と RCPT TO もログされてれば、ホワイトリストに入れたいかどうかの判定が簡単だと言われた。なるほど、そうかも。
というわけで、微妙に改定して、ログは<%= pre '
2004-11-24 03:14:26.434788500 qmail-smtpd: badremotehost: adsl-68-251-141-189.dsl.covlil.ameritech.net matched ^[^\.]*[0-9][^0-9\.]+[0-9]
2004-11-24 03:14:26.434978500 qmail-smtpd: mailfrom <xnzdyoapbxkp@188.net> rcptto <xxxx@yyyy.zzzz>' %>
こんな感じになるようになった。明らかなスパムだな、これは。
あとは、適当なスクリプトでホワイトリストに入れてもよさそうなホストだけ抽出するようにすればいいな。
豆腐 - 02 December '2004 - 06:38
ひろしま - 19 December '2004 - 03:45