[[MenuBar]]
#contents
----
** SpamAssassin (ver2向け) の設定ファイル公開します。 [#z9f7a5f6]
http://pocketstudio.jp/spam/spamassassin2/local.cf.2005-0926.txt
SpamAssassin ver 2.x 向けの設定ファイルを公開します。
今月にわたって私の個人アドレスに届いた日本語の悪質 SPAM メールに含まれる『ホスト名』から 148 件を抽出しました。 SpamAssassin のスコア条件(30.0)とし、一度届いた悪質メールはもう二度と目を通さないぞ!を目的に作りました。
標準では /etc/mail/spamassassin/local.cf ファイルが設定ファイルだと思います。このファイルの中の適当な場所にファイルの中身を挿入してください。環境や必要に応じてスコアの調整等行ってください。配布・改変等は自由です。
バージョン 3.x 向けについては、まだ、私が導入してないためでして、、バージョンアップしたら確認後、ファイルをリリースするつもりです(って、何時になるんだろう)。
** procmail の対策レシピを公開します [#g025860d]
今月に入ってから収集した約2,000通に上る悪質 SPAM メールから From アドレスや X-Mailer や題名等の特徴を抽出することが出来ました。これらデータを元に procmail のレシピを作成しましたので公開します。
一見ランダムに見える5〜7文字の"英数字.com"も SPAM 業者間で使い回されているようです。今回、収集したデータから 300 件の SPAMMER が使う .COM および .NET ドメインの排除を行えるようにしました。大部分が韓国の youngjoo lee が所有しているか、whois 上で "NA NA" ジンバブエ共和国、、という「どうしてこんなので登録できるの?」というドメイン群が殆どです((((;゚Д゚)))ガクガクブルブル
- procmail 用のレシピ
http://pocketstudio.jp/spam/procmail/procmailrc.2005-0925.txt
ファイルを自分のホームディレクトリの .procmailrc として設置するか、既存の .procmailrc に追記して使うことができます。サーバ全体に適用させたい場合、標準の procmail は /etc/procmailrc を参照します。上記のファイルを /etc/procmailrc に適用することで、サーバ内の全ユーザに対して適用させることができます。ただし、MTA(sendmailなど)が procmail を MDA として使って配送させている事が必要です。また nkf も必要です。
.procmailrc もしくは procmailrc ファイルを編集した後は''必ず動作確認を行ってください''。そうしないと、愚かな私みたいにメールを消失するハメになってしまいますorz...
今後の SPAM 発生状況に応じて随時バージョンを更新していきます。
なお、ファイルは必ず EUC 形式で保存して下さい。
procmail は最近のディストリビューションであれば標準で実装されていると思います。このレシピを適用すると、条件に一致したメールは /tmp/spam-ja-mail.txt に吐き出される仕組みです。
必要に応じてメールに転送させるなど、書き換えていただいて結構です。また改変および公開も全く問題ありません。GUN Free Documentation License に従います。
問題等ありましたら私[[前佛]](zem@pocketstudio.jp)までお知らせください。
なお、hotmail や yahoo はコメント(行頭に # をつけて無効化)してありますが、無料メールからのメールは読まない、という方はコメントを削除したほうが良いと思います。
また、お約束の免責事項ですが「各自の自己責任においてご利用願います」。
補足、レシピ中で fw オプションをつけているのは、私は formail を使ってメールのヘッダにフラグを付けさせている為です。面倒なので、書き換えてありません。ごめんなさい。実際には、、
:0H fw
* ^From: .*@(hotmail.co.jp|goo.ne.jp|yahoo.co.jp|reemail.nl)
| /usr/bin/formail -a "X-Ja-Spam-Flag: YES" \
-a "X-Ja-Spam-Type: SPAMMER ADDRESS E (freemail)"
このようにフラグを立てて、どの条件でひっかったのかを確認できるようにしています。あと、MUA は Becky! を使っているので、このフラグが着いていれば色を付けるようにしています。色が付かなかった SPAM は何か条件漏れという事が分かるので、すぐに新しい排除条件を設定したり、ご認識されたものを修正したりして使っています。。フラグ付けるバージョンの方がわかりやすいなー、おっキタ━━━━(゚∀゚)━━━━ッ!!という方が望ましければ、今後はそちらのバージョンで公開するかもしれません。とりあえず、作ったので出してみました。。。
- http://pocketstudio.jp/spam/procmail/procmailrc-zem.txt
これ、私が使ってるのそのまま一部です(^^;) ファイルの書き出したり転送設定(procmail は "! アドレス" で転送できます)する方法も有りですが、フラグつけさせたほうが"確認漏れ"を防ぐことが出来ますので。ま、とりあえず公開です。ほんと最近の SPAM にはヤレヤレですね。。。……本当は SpamAssassin で色々工夫したほうが面白そうなんですけど、すみません、私、SpamAssassin をよく理解してません。とりあえず procmail でしたら、殆どのディストリビューションであれば標準装備ですよね?ということで procmail 用のレシピをとりあえず作ってみることにしました。(ところで procmail のオフィシャル文章の和訳って、もしかして、だれもされてませんか? FAQ 類も翻訳しようかな・・・)
** 最新動向 2005年9月27日 [#s9f27d3d]
新たに本文中に『fairy-l3.com』を含む SPAM メールが発見されました。
&br;
題名は『貴方は【特別】です。』です。
** 最新動向 2005年9月26日 [#fae3b45d]
新たに『 sakurada@host-phoenix.cx 』という『 host-phoenix.cx 』ドメイン発の SPAM が確認されました。
** 最新動向 2005年9月25日 [#fa0abacf]
新しく SPAMMER の利用する ISP が判明しました。
- [[ONSE Telecom Co. (SHINBIRO)]]
ネットワークの範囲は 58.180.0.0/16 とかなり広範囲です。
現時点では 58.180.21x.0/24 からのメール送信を確認しています。
** 携帯電話版 SPAM データベースを準備中 [#g09973ec]
携帯電話の SPAM メール、困ります。ほんと、困るんです。郵便みたいなダイレクトメールだったらゴミ箱に捨てたり、普通のパソコンで使うメールであればゴミ箱に捨てることも出来るんです。けど、携帯の SPAM って、パケット代かかるんですよね……送信者にパケ代を支払うような仕組みにしてくれればいいんですがって、とにかく、無差別に携帯に送られてくる SPAM も許せません。ということで、PC版の SPAM 晒しの準備が整ったら、携帯版の晒しも開始します。PC版の悪質メールデータベース同様に業者情報を晒していきます+ヘッダ情報も出します(私のアドレス部分は出しませんが・・・)。とにかく、受信するだけでパケ代が取られていくのにはもう、ほんと、ゴルァ、としか。。。
----
* 日本語迷惑メール (SPAM) 傾向とその対策 [#o29e31d8]
先月(8月)あたりより、日本語で「重要」や「お世話になっています」など、題名が非常に悪質な日本語迷惑メール(SPAM)が非常に出回っています。未承諾広告※の表示があるものはまだ許せますが、Subject が悪質極まりない、ある意味「禁じ手」とも言える題名を使用し始めた事に憤慨を覚えます。私の保持・管理しているメールアドレスにも9月に入ってから既に半月で約 1200 通にのぼる日本語の悪質 SPAM メールを受信しました。これら悪行を記録し、傾向と対策を練るために、それらは全て Whois 情報を含めて簡易データベース化しています。
- [[日本語SPAMデータベース>http://pocketstudio.jp/spam/database/]]
海外のメールは SpamAssassin に代表されるベイジアン型スパム・フィルタによって大部分が排除可能です。ですが、日本語にはその効果が現れにくいようです。フィルタを SpamAssassin に適用させる場合、個々のメールに対して独自に日本語のルールを設定しなくてはいけないという、面倒きわまりない作業を(私を含めメールサーバ管理者に)強いられていいます。
これらの[[迷惑メールデータベース情報>http://pocketstudio.jp/spam/database/]]を元に、 procmail でのスパム排除用レシピを作成し、悪質な日本語メールをサーバからスルー(廃棄)させるのが目的です。
一番簡単なのは T.Tsujikawa 氏によって提供されている「[[韓国 IP アドレスからのパケットを遮断する>http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp]]」を利用してパケット・フィルタリングを行うことですが、通常のメールも阻害されてしまう恐れがあります(特に韓国・台湾・中国とメールのやりとりを業務で行っている場合)。また、迷惑メールの発信元はタイやアメリカの場合もあるのです。それらをふまえ、procmail でのフィルタリングを実装することが当面の目的となります。
悪質メール群のデータはそろいました。あとは情報を整理し、procmail のレシピを書くだけです。
(各迷惑メールに関してのコメントは[[個人的なブログ>http://pocketstudio.jp/log/archives/2005/08/17829.html]]をご覧ください、、)
[[Xen>http://pocketstudio.jp/linux/?Xen]] や [[CentOS>http://pocketstudio.jp/linux/?CentOS]], [[SELinux>http://pocketstudio.jp/linux/?SELinux]] の情報の整理も本当はしたいのですが、これら SPAM 対策が急務と考え、全ての作業に優先して SPAM 撲滅対策を行いたいと思います。。。という訳で FAQ 作成や翻訳の優先度をちょっと落とさせてくださいm(_ _)m
** 日本語 SPAM データベース [#s8f646ee]
- http://pocketstudio.jp/spam/database/
私個人が管理する複数のメールアドレスに対して送られてきた悪質日本語メールを全て晒しています。
From、配信元、本文中の URL に関する whois 情報も掲載していますので、ご参考にどうぞ〜。
** 2005 年 9 月 1 日 〜 9 月 15 日 [#df6b3f38]
以下 procmail レシピ作成のための参考資料(編集中)
*** [KR] 韓国 Q-linetour (Q-LINETOUR-x) [#i7b5ac94]
- Subject: Mail→秋菜 さん (至急)
-上位プロバイダ DREAMLINE CO. (DREAMX)
220.230.0.0 - 220.230.255.255 = 220.230.0.0/16
*** [TW] Digital United Inc. (SEEDNET) [#h55d4678]
- Subject: サイドビジネスにいかがですか?
*** MTA [#pc067e1b]
- Subject: ☆とくダネ☆マガジンの在宅ワーカー急募速報!!☆
X-Mailer: Easy DM free
Received: from [192.168.11.15]
by zzz (ArGoSoft Mail Server Plus for WinNT/2000, Version 1.8 (1.8.7.5));
- Subject: ホ○エモンごめん!ネットでの稼ぎ方をバラしちゃいます!
X-Mailer: SuperPost Mailer 1.0
- Subject: ■週刊素人女性ニュース − No.176 − ■
- Subject: 夏休み最後のチャンス!
X-Mailer: VolleyMail.net 5.7[cn]
- Subject: 空いた時間を無駄にしていませんか?
X-Mailer: DM Mailer Ver.1.2.2
*** BODY [#q4d8c9d2]
- 速水こうたろう ( http://whois.jprs.jp/?key=1101.jp )
http://1101.jp/
- 山田 賢治 ( http://whois.jprs.jp/?key=80607.jp )
http://80607.JP/
- 山田 賢治 ( http://whois.jprs.jp/?key=1191.jp )
http://1191.jp/
*** DATE [#nd74e780]
Date: Mon, 12 Sep 2005 10:03:06 +0900 (KST)
KST に一致するなら捨てたら?
ただ、韓国とメールをやりとりする人はダメ。
*** FROM [#l6c305c5]
- cx ドメイン
From: 畠山<hatakeyama@lavieen-rose.cx>
Subject: たいへんご無沙汰しております。
*** 無料アドレス [#vcf7deef]
- @hotmail.com
- @hotmail.co.jp
- @yahoo.com
- @yahoo.co.jp
- @freemail.hu
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
