[7020]番スレッド迷惑メール(spam)撲滅私的調査会 HTML化ログ

[掲示板に戻る] [HTML化ログ大目次へ] [ツリー一覧0014番へ]

[ 7020 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ

Date: 2002 Dec 20 16:26:26

記事No.7020/タイトル：ムトー新監視ページ登場しました
投稿日：2002/12/20(Fri) 16:26:26 / 投稿者：たけし
★ツリー/親記事[7020]
-レス記事[7048][7095]
参照先:http://www.unix-fan.com/ktech/

ID-code:bdncxrHo016

ここ２日書き込みもせずに仕事の合間、いやこのページ
作成の合間に仕事をしてきましたがようやくムトーの
リアルタイム監視ページが完成しましたことをお知らせします。

http://www.unix-fan.com/ktech/nospam/

が実際の監視ページで30分毎にデータが自動的に更新されます。
新しいホストが出現してもすぐに追加削除が可能となりました。
過去の履歴もわかります。これにともない前のページは
消滅します。

http://www.unix-fan.com/ktech/

には説明とか撹乱テクニックなどがあります。ニセアドレス
の作成ももっと種類が多く、数も多くなりました。

みなさまぜひご利用ください。

なお監視ソフトは整備の上このページ上で無料で公開されます。
spamサーバ監視のみならずニセムトーが書いていたように
一般的サーバの監視にも使えます（これが本当の目的）
phpとshで書かれています。

記事No.7048/タイトル：Re: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 07:47:47 / 投稿者：じゅんいち <メール送信>
★ツリー/親記事[7020]＋前記事[7020]
-レス記事[7059][7063]

ID-code:0tBuj9Pvbcs

初めて書き込みします．じゅんいちです．

> http://www.unix-fan.com/ktech/
> には説明とか撹乱テクニックなどがあります。ニセアドレス
> の作成ももっと種類が多く、数も多くなりました。

私はあるサーバの管理(本業ではありません)をしているのですが，
ここのところムトーさんのspam行為で迷惑しています．
私のところはwebページからアドレスを収集してるというよりは，
インクリメンタルに生成したアドレスに送信している，というのがほとんどです．
(これって「特定電子メールの送信の適正化等に関する法律第五条に該当しますよね?)

コンソールみてて気づいた時には，sendmailのaccessなどでMAIL FROMや
relay hostで制限してるのですが，ずっとコンソール見てるわけじゃありませんので，
User unknownのDoS状態ってときがあります．
(12時間で100万アドレス以上ものUser unknownとか)

もちろん，ムトーさんが利用しているISP等への通知は行ってきましたが，
なかなか収まる気配がないですね．

皆さんは技術的な対策としてどんなことしてるんでしょうか?
アドレス収集に対してはたけしさん作↑みたいな，
ゴミアドレスを掴ませる方法等がありますが，
メールサーバの対策ではどんなことしてます?

一定時間にある閾値を超えたら通知するようなスクリプトつくったりしましたが，
通知されても近くに端末がなければ確認もアクセス制限もできないんですよね．
なかなかいい方法が思い浮かびません．

今はsendmailソースをちょっといじって User unknown の場合には，
エラーを表示する直前に sleep(15) みたいな感じで，delay を入れてます．
logindのpassword brute force attack対策みたいな感じ．
#副作用はないとおもうけど．

もっとスマートで効果的な方法ってあるんでしょうか?
アドバイスください．

#こんな投稿が場違いだったらご指摘ください．

記事No.7059/タイトル：Re^2: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 14:00:12 / 投稿者：たけし
★ツリー/親記事[7020]＋＋前記事[7048]
-レス記事[7072]
参照先:http://www.unix-fan.com/ktech/

ID-code:bdncxrHo016

> メールサーバの対策ではどんなことしてます?

一番単純なのが/etc/mail/accessに予想されるアドレスを
記載して拒絶する方法です。
imail333jp＠yahoo.co.jp REJECT
という形式です。これをずらっと並べる。

でもこれではこらしめにならないから、ハニーポットを１つ
用意してそこに実在する自分のアドレスをしかけてロボットに
喰わせたあと特定のアドレスからポート25に来たときセッション
毎にスリープを入れるという方法はどうかなと思っています。
smtpでつながったとき

HELO abc.def.jp
250 ahoaho_mito.jp Hello abc.def.ghi.jp, pleased to meet you
という風にsmtpは最初に頭に番号つけていろいろやりとり
しますよね。

これをまずアドレスを調べて、該当しているときに一行毎に
スリープをかませてやれば時間稼ぎになり結果として多くの
サイトにメールが届くのを遅延できるという次第。いずれにせよ
届いちゃうのがにくらたらしいけど。

でも一ヶ所でやってもたいしたことなくて多くのサイトで
やらないと意味ないですね。

大がかりなわりにはあまり効果もなさそうなので
何かいい方法はないかさらに思案中。

記事No.7072/タイトル：Re: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 20:03:33 / 投稿者：じゅんいち <メール送信>
★ツリー/親記事[7020]＋＋＋前記事[7059]
-レス記事[7073][7099]

ID-code:0tBuj9Pvbcs

> > メールサーバの対策ではどんなことしてます?
> 一番単純なのが/etc/mail/accessに予想されるアドレスを
> 記載して拒絶する方法です。
> imail333jp＠yahoo.co.jp REJECT
> という形式です。これをずらっと並べる。

これで，check_mail ルールセットのエラー表示前にsleep() 入れられたらいいんですけどねぇ．
checkcompat() の時は比較的簡単だったと思いますが．

> これをまずアドレスを調べて、該当しているときに一行毎に
> スリープをかませてやれば時間稼ぎになり結果として多くの
> サイトにメールが届くのを遅延できるという次第。いずれにせよ
> 届いちゃうのがにくらたらしいけど。

アドレスを調べて該当するのであれば，エラーとして弾けばいいと思います．
弾くときにsleep()を入れれば，弾くことができ，DoSもある程度避けられるんじゃないでしょうか．

> 何かいい方法はないかさらに思案中。

check_ ルールセットに引っかかったときにsleep()を入れるには，
ソースいじらないとダメですよねぇ．

記事No.7073/タイトル：Re^2: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 21:03:54 / 投稿者：たけし
★ツリー/親記事[7020]＋＋＋＋前記事[7072]
-レス記事[7077]
参照先:http://www.unix-fan.com/ktech/muto/

ID-code:bxM.m3Hrr3A

> check_ ルールセットに引っかかったときにsleep()を入れるには，
> ソースいじらないとダメですよねぇ．

FreeBSDだとsendmailはwrapper経由なのでアドレス調べて
分岐するという方法もありますが。これならperlかなんかで
でウソの答え返せばいいかも。
でも、ムトーが切ってそのあとつないできた人だとすると
またsendmailに戻すのが大変。

sendmail.cfを手で修正？　そりゃ無理ですよね。

記事No.7077/タイトル：Re^3: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 23:37:47 / 投稿者：たけし
★ツリー/親記事[7020]＋＋＋＋＋前記事[7073]
参照先:http://www.unix-fan.com/ktech/muto/

ID-code:bxM.m3Hrr3A

> > check_ ルールセットに引っかかったときにsleep()を入れるには，
> > ソースいじらないとダメですよねぇ．
>
> FreeBSDだとsendmailはwrapper経由なのでアドレス調べて
> 分岐するという方法もありますが。これならperlかなんかで
> でウソの答え返せばいいかも。

意外と簡単な方向を見つけました。
一台ハニーポット（おとり）サーバーが必要なのですが

１）空いているサーバーに http://alpinista.dyndns.org/thp/ を
インストール。THP=タイニーハニーポットです。これのポート25(SMTP)を活かす
たしかLinux用しかなかったと思います。

２）DNSにそのホスト名thp.host_name.co.jpを登録し自分のホームページに
そこあてアドレスを
<mailto:info＠thp.host_name.co.jp></a> のように仕掛ける。

当然そのホスト宛てには本物のメールは送れません。

ちょっと試験したところTHPにSMTPでつなぎに来て接続されたあと
どんなコマンドいれても接続を切らないでつなぎっぱなし
になります。すなわちsendmailがタイムアウトでセッションを切るまで
時間稼ぎできるという仕組みです。

うちでちょうど実験用に一台あったので早速やっておきました。
おとりで時間をかせいでおきます。といってもまだアドレス取りに
きてないですけど。

ちょっとやっただけなのでどなたか追検証および問題点の
抽出をしていただけるとモアベター。

ついでにいろいろなポートを全部これにしておくといろいろ
アタックを見れておもしろいですよ。技術系の皆様におすすめ。
アドレスが１つ必要なのが玉にきず。

うちのページにも説明入れときます。

＃「俺はかまわないから先いってくれ」

記事No.7099/タイトル：sleep
投稿日：2002/12/23(Mon) 14:18:12 / 投稿者：ムトー君の担任です
★ツリー/親記事[7020]＋＋＋＋前記事[7072]
参照先:http://smexpo.sourceforge.net/cfrules/maps.php

ID-code:tOjIOMCGlOo

> これで，check_mail ルールセットのエラー表示前にsleep() 入れられたらいいんですけどねぇ．
> check_ ルールセットに引っかかったときにsleep()を入れるには，
> ソースいじらないとダメですよねぇ．

program マップ使えばできますよ。

doc/op/op.me 読んでいる人は世界中見ても少ないようなので
知名度低いのも無理ないです。

ソースいじったほうが安全ですが、これはこれでめんどくさいような
(sleep()入れたい場合と入れたくない場合の判定とか)
＃ｓａｇｅ

記事No.7063/タイトル：Re^2: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 14:58:18 / 投稿者：まつ <メール送信>
★ツリー/親記事[7020]＋＋前記事[7048]
-レス記事[7071]

ID-code:Ukw4MRwt5Io

> User unknownのDoS状態ってときがあります．
> (12時間で100万アドレス以上ものUser unknownとか)

これ、素直に所轄の警察署へ、業務妨害として被害を届けるのが
一番スッキリした解決策じゃないでしょうか？

記事No.7071/タイトル：Re: ムトー新監視ページ登場しました
投稿日：2002/12/21(Sat) 18:40:12 / 投稿者：じゅんいち <メール送信>
★ツリー/親記事[7020]＋＋＋前記事[7063]

ID-code:0tBuj9Pvbcs

> > User unknownのDoS状態ってときがあります．
> > (12時間で100万アドレス以上ものUser unknownとか)
> これ、素直に所轄の警察署へ、業務妨害として被害を届けるのが
> 一番スッキリした解決策じゃないでしょうか？

全体的な解決策としてはそうですよね．それは分かっているのですが，
システム(技術)的にspam行為をやりにくくできる方法がないかな，
と考えていたわけです．

ロボットによるアドレス収集に対しては，メールアドレスの末尾に
文字を付け足すものや，画像ファイルにするもの，JavaScriptを利用したもの
なんかがありますが，考えられるユーザ(メールアドレス)全員に送信する場合，
どういう対策(技術屋としての)があるかなと．

#空き巣によく入られるから警察に被害届けを出すのは解決策なのですが，
#鍵を2重にするとかピッキングに強い鍵にする，監視カメラをつける，
#などの対策をしてれば空き巣に入られにくくなる(未遂に終わる)．
#というような効果的な対策がないかなと．考えてるわけです．

記事No.7095/タイトル：Freebitクレーム連絡先
投稿日：2002/12/23(Mon) 08:14:13 / 投稿者：hkg
★ツリー/親記事[7020]＋前記事[7020]

ID-code:hv/wQ/1JK/o

下記のアドレスがFreebitのクレーム受付です。
opinion＠Freebit.net

[掲示板に戻る] [HTML化ログ大目次へ][ツリー一覧0014番へ]
bokumetusiteki