特定のドメイン＋ランダムなアカウ ントでスパムが届く

[hanajipon]

微力ながらメールサーバを運用しています。
ユーザから
「新規にもらったメールアドレスにスパムが届いた。
ランダムなアカウント＋ドメイン固定で送ってるのでは？」
と聞かれました。
このような事はあるのでしょうか？
はずかしながら、どう対応していいかわかりません。

そのメールは以下のようなメールです。
差出人： ho...@hogehoge.jp
宛先： ho...@hogehoge.jp
↑このアドレスは書き換えています。差出人と宛先が同一という事を
伝えたいので書きました。

ヘッダーの Return-Path は以下のとおりです。(これはそのまま掲載します)
Return-Path: <49j37...@hotmail.com>

件名および本文は以下のとおり。
件名： Re: nhuoykwy
コンテンツ情報メ・ル
激安情報めいる
目　次

☆格安ハイウェイカ・ド
☆激安 ! ! ! ソフトの総合商社　そふとはうす
・・・以下、省略・・・

皆様、アドバイスの程、よろしくお願いします。

[Nobuhiro Shibuya at Office]

Newsgroups に fj.mail を追加しました。

＃というか、何をどうしたいのかわからないうちは fj.mail だけの方がよさげ。

hanajipon wrote:

> 「新規にもらったメールアドレスにスパムが届いた。
> ランダムなアカウント＋ドメイン固定で送ってるのでは？」
...中略...
> このような事はあるのでしょうか？

以上の部分についてなら、あります。
やり方は調べていませんが、現にわたしも複数通受け取ってますし。

> はずかしながら、どう対応していいかわかりません。

メイルサーバを管理する側で葬り去ってくれるのが一番楽(ユーザにとって)
メイルサーバを管理する側で何もしてくれないならユーザが捨てるようにする

「どうやって」という部分については何をどうしたいのかをヒアリングしてから
の方が実りある解決策への近道かと。
--
mailto:shi...@dd.iij4u.or.jp
Nobuhiro Shibuya at Office
Tokyo Japan

[hanajipon]

自己レスです。

結局、
ランダム＠固定ドメイン
の攻撃か、
適当＠適当ドメイン
の攻撃かは攻撃する側の話で、受け取る側は区別ないことに気付きました(^^;

で、ログを調べたらレンタルサーバから攻撃しているみたいなので警告を出しても無
駄と判断。
対策をとるなら、レンタルサーバ会社のドメインを一時的（！？）に拒否するぐらい
しか
思いつきません。

現状のE-mail仕組みでは、こんなもんですよね？
他の管理者の方々は、何かもっと良い対策とかしてるのでしょうか？

"Nobuhiro Shibuya at Office" <shi...@dd.iij4u.or.jp> wrote in message
news:4014A89D...@dd.iij4u.or.jp...

[KATOH Yasufumi]

加藤泰文です．

>>> On Wed, 28 Jan 2004 15:44:06 +0900
in message "Re: 特定のドメイン＋ランダムなアカウントでスパムが届く"
hanajipon(hana...@mail.goo.ne.jp)-san wrote:

> 現状のE-mail仕組みでは、こんなもんですよね？

そーです．

> 他の管理者の方々は、何かもっと良い対策とかしてるのでしょうか？

ソリューションは色々ありますが，決め手がないのが現状ですね．

一つはクライアント側で処理してもらうことでしょう．なぜなら何が不要なメー
ルで何が必要なメールか? はユーザによって違うからです．最近は mozillaと
か Eudora みたいに spam フィルタを内蔵しているものもありますね．

サーバ側で対処する方法もあります．まずはオープンリレーのサーバからのメー
ルをサーバ側で拒否するのは比較的よく利用されていますね．
# (例) http://www.rbl.jp/

前述のようなフィルタをサーバ側で適用することも可能です．プロバイダでも
この手のフィルタを利用できるサービスをやっているところもありますね．

ポリシーがはっきりしている組織とか小規模な組織とか個人サーバであれば利
用しやすいでしょう．例えば SpamAssassin みたいなソフトをサーバ上で利用
する方法です．商用製品もあり，ユーザ毎にルールを設定できるものもあるで
しょう．
# 例えば
# SpamAssassin: http://www.spamassassin.org/
# SpamWatcher: http://www.transware.co.jp/product/spam/ (商用)
# Symantec とか McAfee とかトレンドマイクロなんかからも製品出ています．

--
==============================================
(((( 加藤泰文 karma @ prog.club.ne.jp
○-○ http://www.ae.wakwak.com/%7Ekarma/
==============================================
(仮称)新 fj.* の歩き方の作成完了部分の公開
http://www2s.biglobe.ne.jp/~kyashiki/fj/arukikata/

[TATSUMI Takeo]

東京農工大学・神戸大学の辰己です。

最近、うちに届いたランダムユーザ名（@の左側）は、以下の通りです。
procmail ではじいたろかと思う毎日。

a
adam
alex
alice
andrew
anna
b
bill
bob
brenda
brent
brian
c
claudia
d
dan
dave
david
debby
e
f
fred
g
george
h
helen
i
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
m28zveozln.fsf
m2it1iei88.fsf
m2og02ib7a.fsf
m2vfnf43pz.fsf
m2vfzqdge9.fsf
m2zntv13rd.fsf
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

[NIDE Naoyuki]

In article <m2wu79y...@qed.decode.waseda.ac.jp>,

tt...@cc.tuat.ac.jp writes:
> 最近、うちに届いたランダムユーザ名（@の左側）は、以下の通りです。
> procmail ではじいたろかと思う毎日。

1文字のものと ^.*\.fsf$ を除いて、見事に
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A&VSect=T
の「ワームは上記1)、2)の方法で取得したアドレスのユーザ名部分を以下の文字
列に変更したものもアドレスとして使用します」に挙げられているものがずらり
ですね…

# こいつは宛て先不明のエラーメールとしてもたくさん届くので厄介

ni...@ics.nara-wu.ac.jp

[TATSUMI Takeo]

東京農工大学・神戸大学の辰己です。

> 最近、うちに届いたランダムユーザ名（@の左側）は、以下の通りです。

続報？です。数えてみました。
(2月8日午前6時から今までの42時間30分のデータ）

340 m2og02ib7a.fsf
94 m21xqhtg9g.fsf
71 michael
64 m265qa21nm.fsf
45 anna
44 steve
41 linda
41 dan
37 mike
33 sandra
33 andrew
31 ray
25 users
23 george
22 david
20 john
19 dave
14 sam
11 brenda
9 james
8 matt
8 alice
5 jose
5 brent
3 tom
3 kevin
3 jimmy
3 jack
3 brian
3 alex
2 stan
2 serg
2 peter
2 mary
2 joe
2 jane
2 helen
2 bob
1 ted
1 smith
1 robert
1 maria

これを見ると、MIDをE-mail address と間違えているエラーメールが圧倒的で
すね。それ以外では

マイケル

がトップでした。ぽー

[OTA Takashi]

おおたです。
ttttさんが2004年01月30日(金) 21時40分02秒に、
fj.mail.system,fj.mail.system.sendmail,fj.mailに投稿した
<m2wu79y...@qed.decode.waseda.ac.jp>の記事から

> m28zveozln.fsf
> m2it1iei88.fsf
> m2og02ib7a.fsf
> m2vfnf43pz.fsf
> m2vfzqdge9.fsf
> m2zntv13rd.fsf

これってたぶん，GNUSがつけるMessage-Id:の左側ですよね．
@ を含む文字列を全部取ってるから，ってことか……．

----------- ニュースはみんなのために ／｜＼ メールは個人のために -----------
太田 尚志 - OTA Takashi - http://web.sfc.keio.ac.jp/~t00156to/ ICQ#:39782589

[TATSUMI Takeo]

東京農工大学の辰己です。

OTA Takashi <t00156...@sfc.keio.ac.jp> writes:
> これってたぶん，GNUSがつけるMessage-Id:の左側ですよね．

はい。

> @ を含む文字列を全部取ってるから，ってことか……．

でしょう。きっとそういう文字列は全部メールアドレスとして扱っているに違
いありません。

[MAEDA Atusi]

TATSUMI Takeo <tt...@cc.tuat.ac.jp> writes:

> > @ を含む文字列を全部取ってるから，ってことか……．
>
> でしょう。きっとそういう文字列は全部メールアドレスとして扱っているに違
> いありません。

Message-IDに、馬鹿正直に実在する(SMTPでメイルが届く)FQDNを指定するのは
考えものですね。

ユニークでありさえすれば良いんだから、
<host-uniq...@nonexistent-name.real-fqdn>
とかにすれば良いんじゃないのかな。

それで思いついたんですが、spammerを捕まえておくhonney potを用意して、
そのFQDNをばらまくというのはどうでしょうね。

前田敦司

[Hideo Sir MaNMOS Morishita]

In article <m3n07q1...@nospam.maedapc.cc.tsukuba.ac.jp>,

おもしろいですね。問題は確実な一意性ですが、まあ、
random.posting-FQDN@honney-pod-FQDN
でよいか。

--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 ＭａＮＭＯＳ 英夫＠ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37

[TATSUMI Takeo]

東京農工大学・神戸大学の辰己です。

TATSUMI Takeo <tt...@cc.tuat.ac.jp> writes:
> > 最近、うちに届いたランダムユーザ名（@の左側）は、以下の通りです。

ですが、某プロバイダーからこの3日で6000回を越えるSMTP接続→いないユー
ザを指名してメールを送り込もうとするということが行なわれています。

qef:~(303) egrep "own in local recipient.*(某プロバイダ名)" /var/log/maillog | wc
6027 132594 1715279
qef:~(304)

このプロバイダ、ダイヤルＱ２でつなげるとして有名だったところです。そこ
で、

1. まず、2000回を越えたところで postmaster@(某プロバイダ名) に苦情を送っ
た。返事なし。

2. 3000回を越えたので、www.(某プロバイダ名) をみたところ、そこは別のネッ
トワーク事業者 '...\.jp' に meta-refresh された。ここが買収したらしい
ので、そこの一般客向けアドレスに苦情を送ってみた。返事なし。

3. 4000回を越えたので、さらに広報部と株式関係の投資部のメールアドレス
をToに並べて送ってみた。返事なし。

4. 今朝見たら、6000回を越えていた。

ということで、これから firewall でここからのSMTP接続を切ろうと思います。
postfix のログが無意味に巨大になっていますので…。