カテゴリー「迷惑メール考」の6件の記事

2016年2月18日 (木)

j-taku_chrom@******.com からのメール

芸能界風で木村なる人物からのメールかしつこい。

内容はとにかく、返信を待っているようだ。
どうやら久しぶりにiモードの迷惑メール。
ヘッダー情報を付加してみていると、ドメインはでたらめ。

j-taku_chrom@

@より後ろは大文字小文字を変えている。
docomoの迷惑フィルタが大小の文字を判別するなら通過してしまう。

docomoのメール設定で大量送信者からの遮断が501通目からっておかしくない?

dokomoメールは受信でも課金(パケット)されるはずだから、迷惑メールでも沢山受信するとドコモが儲かる。

2016年2月18日 (木) 迷惑メール考 | | コメント (0) | トラックバック (0)

2014年8月 8日 (金)

こまったメール

一流企業からなメール(マガジン)なのに、100%spamの特徴を持っているものがある。
グローバルに活動している企業が多い。

海外サーバからのメールはspamとして落としているが、日本のまともな企業のメールが引っかかるものがある。
メールソフトを使わずにosで直接見ると、正常な日本語で表示できない。7bitサーバーを経由していたりする。

フィルタ条件に◯◯は落とさないと固有名で追加する必要がある。
巨大な迷惑メールもどきの真似は止めてほしい。

2014年8月 8日 (金) 迷惑メール考 | | コメント (0) | トラックバック (0)

2014年7月16日 (水)

メール対策

「ipdeny」を見る

「ipmail」を見るでipfw を設定して時間が経つと歯の抜けたクシの様にアクセスの無いIPアドレスがでてくる。
/var/log/security で多くカウントしても、メールとして到達しないアクセスもあるためだ。

そこで、「ipdel」を見るで不要IP(以下IPアドレスをIPと表記)を削除して、歯抜けになったフィルタを、「ipsort」を見るでソートし、

「ipsort2」を見るで再構成していたにだが、最近はメールが到着したらすぐに(5分以内)自動設定するようにした。

現在テスト中で、いずれ公開します。

迷惑メールが減ってきたのでデバッグに時間がかかるようになってきた。

また新しい事実が見えてきた。
メールを送り出している者は明らかに同一なのだが、ランダムにIPを変えてくる。
maildrop では簡単に落ちるが、ipfw では落とせない。 悪質である。


お断り:FreeBSDの9や10でテストして使っていますが、無保証です。

ipfw への操作は重大な障害を発生する可能性があります。
同様の操作をされる場合は、予備マシンでの十分なテストを推奨いたします。
文字列操作はOSバージョン等でずれが発生する可能性があります。


2014年7月16日 (水) 迷惑メール考 | | コメント (0) | トラックバック (0)

2014年7月 7日 (月)

迷惑メール対策 maildrop

sendmail が受け取った mail を /var/mail のユーザーに配送する途中で maildrop が受け取って振り分け作業を行う。

基本は
if(/条件/)
{
to "行き先"
}

if(/条件1/ && /条件2/) で条件の and もできる。

ifの行だけを集めたのがこれ 「filterif」を見る

最近は引っかからなくなった条件や、テストで強制的にspamにする条件も含んでいる。

ただ単にファイルの振り分けだけでなく、プログラム(スクリプト)の起動もできるので、メールからIPアドレスを抜き出し、「準リアルタイムでipfw に設定」 をテストしている。


2014年7月 7日 (月) 迷惑メール考 | | コメント (0) | トラックバック (0)

2014年6月21日 (土)

迷惑メール対策 準備編

ファイヤーウォールに ipfw を使用しています。
メールの出入りを記録するために、25番ポートの入力のログをとります。

ipfw add xxxx allow log ip from any to me 25   xxxxは適切な番号。 仮に2225 とでもしておきます。

/var/log/security に記録が出来ます。


cat /var/log/security | grep 2225 これでメールの入力が分ります。

ただこのままじゃ判読しずらいので、パイプを幾つか使って整形します。

cat /var/log/security | sed -e "s/ / /" | grep 2225 > /tmp/secu    ここの sed は 日付の桁の処理
     もっとつなげても良いのですが一旦ファイルにします。  "s/スペース2個/スペース1個/"

cat /tmp/secu | cut -d" " -f 2,3,7,9-12 見たい部分を切り取って表示します。

cat /tmp/secu | cut -d" " -f 10-14 | cut -d":" -f1 | sort | uniq -c | sort -nr | head -n5
     メールのカウント 数字がそのままメールの数ではありません。 件数の多いアドレス上位から5件表示してます。

  これはよく使うのでスクリプトにしておくと便利です。

新規でタイプしているので、タイプミスがあるかも。

2014年6月21日 (土) 迷惑メール考 | | コメント (0) | トラックバック (0)

2014年6月20日 (金)

迷惑メールを溜めてみる

迷惑メールはすぐに捨ててしまうが、溜めてみれば何か見えるのではないだろうか。

メールヘッダーは判りずらいので、本文に書かれている「停止は」とかの[http:]を集めてみた。
ランダムなものが多いが、特定のURLが多数みつかる。

と言うことは、本文に特定にURLが見つかれば、簡単に判断できる。

[http:]の解析ができたら、次はヘッダー。

ポイントは、[Date:]と[Received:] を抜き出してみる。
国内のメールなら+0900が付いているはずだが、色々なタイムゾーンがある。

友人からのメールで -0200 などはない。


次に ヘッダーからIPアドレスを集めてみる。
解析メールの数が多くなると、特定のIPアドレス・多くは24bitマスクのアドレスが見えてくる。

ファイヤーウォールで遮断。

ここまで迷惑メールを見てくると、ヘッダーの中に特定のホスト名が見えてくる。

特定のホスト名で、迷惑メールフィルタをセットする。


迷惑メールは [grep] [sed] [cut] の使い方の勉強に最適である。

2014年6月20日 (金) 迷惑メール考 | | コメント (0) | トラックバック (0)

その他のカテゴリー

FreeBSD IchigoJam PC電源自作 ちょっとしたこと つぶやき イチゴジャム ウィスキー ダウンレーンマーク パソコン ボウリング ラズパイ 旅行・地域 簡単スクリプト 自宅サーバー管理 迷惑メール考 釣り