9 月 14
レンタル掲示板サービスには毎日ものすごい数のスパム投稿があるわけですが、そのスパム投稿の中に前々から気になっていることがあったのです。
ホスト名がドット(.)のみ
そんなの有り?
ドットで正引きしても当然ながらIPを引ける訳もないので、掲示板スクリプトの中にトラップを仕込んでIPを割り出してみました。
IPアドレス:92.48.122.3
逆引き結果
> nslookup 92.48.122.3
Non-authoritative answer:
3.122.48.92.in-addr.arpa name = .
Authoritative answers can be found from:
122.48.92.in-addr.arpa nameserver = a.ns.as29550.net.
122.48.92.in-addr.arpa nameserver = b.ns.as29550.net.
whoisの結果
> whois 92.48.122.3
[whois.ripe.net]
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘92.48.122.0 - 92.48.122.31′
inetnum: 92.48.122.0 - 92.48.122.31
netname: PH-V3SERVERS-28069
descr: v3servers
country: RS
admin-c: SA4464-RIPE
tech-c: SA4464-RIPE
status: ASSIGNED PA
mnt-by: blueconnex-mnt
mnt-routes: blueconnex-mnt
source: RIPE # Filtered
remarks: ******************************************************
remarks: Please contact abuse@v3servers.net for any abuse issues
remarks: E-mail sent to other addresses may not be acted upon.
remarks: ******************************************************
person: Sogreev Anton
address: v3Servers.net
address: 12 Knez Mihailova
address: apt. 18
address: Belgrade
address: 11000
address: Serbia
phone: +381 (0)11 124-1264
nic-hdl: SA4464-RIPE
mnt-by: blueconnex-mnt
source: RIPE # Filtered
e-mail: mail@v3servers.net
e-mail: abuse@v3servers.net
% Information related to ‘92.48.64.0/18AS29550′
route: 92.48.64.0/18
descr: Blueconnex Networks Ltd
origin: AS29550
remarks: ***********************************
remarks: * *
remarks: * Abuse: abuse@blueconnex.net *
remarks: * *
remarks: * Peering: peering@blueconnex.net *
remarks: * *
remarks: ***********************************
mnt-by: blueconnex-mnt
source: RIPE # Filtered
国コードRSってどこだ???
調べてみたらどうやらセルビアらしい( ´ー`)
9 月 12
今週はめっさ忙しかったデス(´・ω:;.:…
まぁ~忙しかった原因でもあるのですが、仕事でお客さんとこのサーバーから大量のスパムメールが配信されていることが判明したのですが、それがsmtp認証用のパスワードがクラックされたことが原因だったのです。
このお客さんのサーバーも私担当じゃないのに調査、対策を手伝う羽目に(´・ω:;.:…
まぁ~なんというかクラックされたIDはベタなモノだったのですが、よくよく考えてみるとsmtp認証ってちょっと怖いな~と思ったのです。
メールサーバーは25番ポートを特定のIPで絞るわけにもいかないので辞書攻撃の格好の標的なんじゃないかなぁ~と思ったのです。
上位にもう1台メールサーバーを設置してそこからリレーするようにすればIPで絞れると思いますが・・・
で、ウチのサーバーもそういえばsmtp認証にしたんだよなぁ~・・・
25ポート全開だから辞書攻撃し放題だよなぁ~・・・
ということを思い出し早速対策を施しました。
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
となっている部分を
smtpd_restriction_classes =
check_smtp_auth
check_smtp_auth =
permit_sasl_authenticated
smtpd_recipient_restrictions =
permit_mynetworks
check_client_access cidr:/etc/postfix/check_smtp_auth
check_smtp_authの中身
—————————————-
192.168.120.0/24 check_smtp_auth
127.0.0.1/32 check_smtp_auth
—————————————-
こうしておけばsmtp認証を特定のIPからのみに限定できるはず!?
もうちょい様子をみてみます・・・
9 月 06
スパムメール対策の8月分の統計をアップするのを忘れてました( ´ー`)
8月分の統計
全体で99.96%、postfixのみで99.77%でした。
P.S.
約2週間我が家の浴室に住み着いていたヤモリさんを今日外に逃がしてあげました( ´ー`)
9 月 03
例によって前回と同じ方法でアップグレード。
一応clamd.confも内容が変わっているみたいなので新しいものに差し替えました。
8 月 10
排除率99.97%のスパムメール対策 for postfixの7月分の統計をアップするのを忘れてました( ´ー`)
7月分の統計
postfixのみで99.61%
postfix+procmailで99.96%
という結果でした( ´ー`)
7 月 27
木曜日に会社のネットワークトラフィックが膨大化してすべての顧客サービスに影響が出た。
で、その原因が大量のスパムメールということらしくて、木曜日は定時に帰ろう( ´ー`)と思っていた私に何故か白羽の矢が立った。
自分そこ担当外なんですけど・・・(´・ω・`)
んで、対処方法としてはDNSラウンドロビンで別ネットワーク上に立てたメールサーバーへ一部のメールを流し込んでそこでスパムをある程度排除した後、メインのメールサーバーへリレーさせるという方法を取ることに。
そこで以前書いたcheck_policy_serviceで自作のスクリプトへ渡すことに。の手法をスパム対策として導入することになり自分に白羽の矢が立ったというオチ( ´ー`)
作業を開始したのが18時頃で21時頃には設定完了したのですが、細かいチューニングやらなんやらで結局深夜2時まで掛かってしまい、終電もないのでそのまま会社で夜明けを迎えました( ´ー`)
このまま金曜日も仕事かぁ~なんて鬱になっていたら、上司から今日は帰っていいよと神の一言が!(゚∀゚)
ということで金曜日は10時に帰宅して爆睡!のはずが目が冴えちゃって結局0時過ぎまで起きてました。
スパム対策はちゃんとしとこうネ!という出来事でした。
7 月 20
排除率99.97%のスパムメール対策 for postfixをアップしました。
この記事書くのに今日丸1日費やしてしまった・・・
疲れた・・・orz
7 月 08
相変わらずリリースのペースが早いですな・・・
で、今回はVineSeedにもまだ上がってないので
clamav-0.90.3にアップグレード。
のときと同じ手順でアップグレード。
clamsmtpもまったく同じ手順で。( ´ー`)
7 月 06
たまっていたネタの1つをやっとアップしました。
postfix + cyrus-sasl(pam)でsmtp認証
それと新規導入したスパム対策も1ヶ月間の統計が取れたのでこちらも近々更新しようと思います。
6月の統計
※各項目の詳細についてはPostfixのスパムメール対策第3段の途中経過をご覧下さい。
上記24日~26日の7(ブラックリストでピンポイントで拒否)の数が多いのは明らかにスパムと分かっている1つのメールがひたすら5分に1回リトライしてきた結果です。(26日の途中で450から550に変えてようやく止まりました)
6 月 25
apache2.2.8の時と同じ手順でrpmを作成してアップグレードして終わり。
それとサイトの背景を数年ぶりに変更してみました。ちょっと爽やかな感じに!(´∀`*)
それと気になった記事
NHKの集金人と喧嘩した
これはヒドイ・・・
