beroの日記: 洗練された英文ライティングを実現! 4
日記 by
bero
というspamが先日から来るようになった。
あちこちから来てるのでおそらくbotだろうが、tarpitもgreylistも抜けてくる。
spamhausには載ってるようなのでそれで蹴るという対策も考えられるが
この手のrblは誤判定が多い http://neta.ywcafe.net/000678.html という話も聞くので踏み切れない。
仕方がないので本文で蹴るようにした。
ウチにきてるのはiso-2022-jpのquoted-printableだから
洗練された英文ライティングを実現!
に相当するのは
=1B$B@vN}$5$l$?1QJ8%i%$%F%#%s%0$r<B8=3D=1B(B!
で、これをpostfixの正規表現に直すと
/=1B\$B@vN\}\$5\$l\$\?1QJ8%i%\$%F%#%s%0\$r<B8=3D=1B\(B!/ REJECT
を/etc/postfix/body_checksに書いて
body_checks = regexp:/etc/postfix/body_checks
とmain.cfに書く。
とりあえず対症療法でコレははじけても、
問題はbotが賢くなったということで、spammerが別の文を送る度に対処はやってられない。
どうしたものか。
あちこちから来てるのでおそらくbotだろうが、tarpitもgreylistも抜けてくる。
spamhausには載ってるようなのでそれで蹴るという対策も考えられるが
この手のrblは誤判定が多い http://neta.ywcafe.net/000678.html という話も聞くので踏み切れない。
仕方がないので本文で蹴るようにした。
ウチにきてるのはiso-2022-jpのquoted-printableだから
洗練された英文ライティングを実現!
に相当するのは
=1B$B@vN}$5$l$?1QJ8%i%$%F%#%s%0$r<B8=3D=1B(B!
で、これをpostfixの正規表現に直すと
/=1B\$B@vN\}\$5\$l\$\?1QJ8%i%\$%F%#%s%0\$r<B8=3D=1B\(B!/ REJECT
を/etc/postfix/body_checksに書いて
body_checks = regexp:/etc/postfix/body_checks
とmain.cfに書く。
とりあえず対症療法でコレははじけても、
問題はbotが賢くなったということで、spammerが別の文を送る度に対処はやってられない。
どうしたものか。
Message-ID: の特徴 (スコア:2, 参考になる)
という、通常のISPやメールサービスを利用しているメールにはまず無さそうな特徴がある模様です。
- Lupinoid -
Re:Message-ID: の特徴 (スコア:1)
試しに、以下のようにして調べてみたのですが、@[IP]な形のものは1割にも満たないものでした。
/^Message-ID:.[0-9a-z]{12}\$[0-9a-z]{8}\$[0-9a-z]{8}@\[/
また、
/^Message-ID:.[0-9a-z]{12}\$[0-9a-z]{8}\$[0-9a-z]{8}@/
として見ると、つまり@の前のパターンの一致だと、
海外の客先からのメールにヒットする事が判明。
やっぱりbody_checksしか手は無いのでしょうかねぇ。
Re:Message-ID: の特徴 (スコア:1)
「まず無さそう」でも「絶対無い」と言い切れないので私的には採用できません。
$が特徴的ですがRFC2822的にはありなので
(本文判定でも「絶対無い」と言い切れないけど、業務と関係なさげなので擬陽性でもOK)
記録によると (スコア:1)
これの発信元のスパ魔は去年の12月初めに日本向けの方針変更をしていて、機械翻訳を止めて日本語の出来る人に書かせています。本文更新のインターバルは長くなる筈なので当面はそれでいいと思います。
# 私は、久々に通報し甲斐があって、わくわくしてますけど