« 2014年5月 | トップページ | 2014年7月 »

2014年6月

2014年6月21日 (土)

迷惑メール対策 準備編

ファイヤーウォールに ipfw を使用しています。
メールの出入りを記録するために、25番ポートの入力のログをとります。

ipfw add xxxx allow log ip from any to me 25   xxxxは適切な番号。 仮に2225 とでもしておきます。

/var/log/security に記録が出来ます。


cat /var/log/security | grep 2225 これでメールの入力が分ります。

ただこのままじゃ判読しずらいので、パイプを幾つか使って整形します。

cat /var/log/security | sed -e "s/ / /" | grep 2225 > /tmp/secu    ここの sed は 日付の桁の処理
     もっとつなげても良いのですが一旦ファイルにします。  "s/スペース2個/スペース1個/"

cat /tmp/secu | cut -d" " -f 2,3,7,9-12 見たい部分を切り取って表示します。

cat /tmp/secu | cut -d" " -f 10-14 | cut -d":" -f1 | sort | uniq -c | sort -nr | head -n5
     メールのカウント 数字がそのままメールの数ではありません。 件数の多いアドレス上位から5件表示してます。

  これはよく使うのでスクリプトにしておくと便利です。

新規でタイプしているので、タイプミスがあるかも。

| | コメント (0) | トラックバック (0)

2014年6月20日 (金)

迷惑メールを溜めてみる

迷惑メールはすぐに捨ててしまうが、溜めてみれば何か見えるのではないだろうか。

メールヘッダーは判りずらいので、本文に書かれている「停止は」とかの[http:]を集めてみた。
ランダムなものが多いが、特定のURLが多数みつかる。

と言うことは、本文に特定にURLが見つかれば、簡単に判断できる。

[http:]の解析ができたら、次はヘッダー。

ポイントは、[Date:]と[Received:] を抜き出してみる。
国内のメールなら+0900が付いているはずだが、色々なタイムゾーンがある。

友人からのメールで -0200 などはない。


次に ヘッダーからIPアドレスを集めてみる。
解析メールの数が多くなると、特定のIPアドレス・多くは24bitマスクのアドレスが見えてくる。

ファイヤーウォールで遮断。

ここまで迷惑メールを見てくると、ヘッダーの中に特定のホスト名が見えてくる。

特定のホスト名で、迷惑メールフィルタをセットする。


迷惑メールは [grep] [sed] [cut] の使い方の勉強に最適である。

| | コメント (0) | トラックバック (0)

2014年6月16日 (月)

欲しい物(マウス)

売ってないけど欲しい物

レシーバーが複数あるマウス(これはある)
そして、メモリを持っていてマウスに、コピーができる。
他のパソコンの画面で、貼り付けが出来る。

マウスで、AとBのパソコン間でデータ移動が出来るマウスが欲しい。

| | コメント (0) | トラックバック (0)

2014年6月12日 (木)

ipfw で拒否

ipfw は簡単使えて便利だけど、書式が長くて間違え易いし、何番にセットするかで迷う。

ipdeny

.
#!/bin/sh
IP=`cat /etc/ipfw.deny.no`
IP=`expr $IP + 2`
if [ -e $1 ] ; then
  cat /etc/ipfw.deny
  echo next $IP
else
  echo $IP
  echo $IP > /etc/ipfw.deny.no
  ipfw add $IP deny log ip from $1 to any
  echo add $IP deny log ip from $1 to any >> /etc/ipfw.deny
fi

使用開始時にipをセットする有効空きエリアを調べて、
echo xxxx > /etc/ipfw.deny.no として書き込んでおく

ipdeny xx.xx.xx.xx/x で拒否アドレスをセットできる。

同時にファイルにも書き込むので、
/etc/rc.local に
ipfw /etc/ipfw.local と書いておくと、リブートで再セットできる。

番号は+2しているので、手動で間に入れることも可能。

少し変形して、ただのカウントとメールのみ拒否を作っておくと便利。

上限のチェックはしていない。


| | コメント (0) | トラックバック (0)

2014年6月 7日 (土)

teapopが遅かった。

自前のメール鯖を読みに行った時動作が遅かった。

メールの配送には「teapop」を使っている。
/var/log/messages に[teapop]のエラーがある。 "can't do reverse dns on client"


teapop のマニュアルを見ると -n で「DNSによる名前解決を行いません。」なるほど。

[inetd.conf]に pop3 xxxxxxx /usr/XXX/teapop teapop -n としたら解決。

| | コメント (0) | トラックバック (0)

2014年6月 2日 (月)

礼儀正しいSPAM

検索するといくつかでてくる。
礼儀正しいのは文章のことではなく、アドレス偽装のことである。

迷惑メールは偽装したアドレスが多いので、本文やヘッダーから送信元のIPアドレスを見つけるのは困難なことが多い。
最近サーバー上でメールの日本語表示が可能になったのでチェックしていたら見つかった。

配送時刻を頼りに、ファイヤーウォールやメール配送の記録を照合すると確実に判断できた。
その情報を基に検索してみると、「礼儀正しいSPAM」が出てきた。
メールのルールに忠実なため、プロバイダの迷惑フィルタに引っかからないそうな。

そこで、MyサバのIPアドレスフィルタにセットしたら、一晩で沢山釣れた。大漁である。
メールシステムとしての受け取りはしていないので、中身は分らないのだがスッキリした。
この会社も複数のアドレスを運用している様子なので、地道に探しましょう。

| | コメント (0) | トラックバック (0)

« 2014年5月 | トップページ | 2014年7月 »