System House ACT Weblog

 
RSS 1.0 RSS 2.0 ATOM 1.0

2010/10/22 に au から『メールフィルター機能強化』のお知らせメールが来ました。

内容を読んでみると、どうやら『ドメイン認証規制』を『指定受信リスト』の前での評価に変更するようです。
この変更により gree.jp 等のドメインを詐称して送ってくるメールを防ぐことが可能になります。

ドメイン詐称については、以前『124.42.121.39』というタイトルで記事を書いたのですが、今回の変更はその記事で提示した対策そのものですから、私個人としてはかなり評価しています。
また、その記事で

SPF 認証を実装こそしているのですが、None や Neutral を拒否しません。従って、事実上は未実装に近く、やはり無力です。

と書いたのですが、今回の変更であれば、逆に None や Neutral を拒否すべきではありません。

私が設定している『指定受信機能』+『なりすましメール拒否機能』+『インターネット(PC)メール一括拒否機能』だけでも迷惑メールはほぼ防げているのですが、それに『ドメイン認証規制』を加えることにより、さらに効果的に防ぐことが可能になります。

指定受信リストの件数を 200 件くらいに増やしてくれればさらにいいのですが…。
2010-11-21 21:50:34 投稿者:代表 コメントはありません - 追加する Trackbackはありません - 追加する

昨日 (2010/05/18) の 10:05 から 90 秒間隔で 11:06 まで、その後 14:06 から 15:00 にかけて himeka.tv からメールの送信が試みられていました。
taRgrey により、すべて再送要求を応答して拒否していたのですが、本日再送され taRgrey をパスして受信してしまいました。

以下が、そのメールの内容です。
【ゲスト】様
現在所持ポイント
【300140pt】
限定販売中
この度限定販売中の
【ポイント換金チケット】
を使えば所持ポイントを現金化する事が可能!!
換金して頂いた金額分を銀行翌営業日に即お客様へお振込み致します!!
『ポイント換金チケット』をご利用になれば今お持ちのポイントを現金化する事が出来るという大変お得なチケットです
(100000pt以上お持ちのお客様が対象)
━━━━━━━━━
ポイント換金チケット
価格:pt5千円分
購入後合言葉
【ポイント換金チケット】
と24時間以内に
送信して下さい!!
↓↓↓
news@himeka.tv迄
━━━━━━━━━
僅か5千円のみで換金可能です!!更に100000pt対応!追加し過ぎて余ってしまった等のお悩みをお持ちの会員様にとって最高のサービスです!!
≪チケット購入方法≫
■ステップ1■
【5千円分のポイント】をご購入
■ステップ2■
news@himeka.tv まで
【ポイント換金チケット】
と一言メール送信して下さい
※お手続き全て完了後、お振込み先、銀行口座支店名等をお伺い致します♪
チケット購入はコチラ
┗http://pc.himeka.tv/auto_auth.php?pp=...<省略>...
【ポイント換金チケット】の購入方法がわからない場合は、お近くのコンビニエンスストアにて「ビットキャッシュEX」と店員さんへ伝えれば簡単に入手可能です
「ビットキャッシュEX」ご購入後は「ポイント追加」画面より手順に従うだけで【ポイント換金チケット】を簡単入手
☆★☆★☆★☆★☆★☆★☆
受信中確認はコチラ
 ↓↓↓
【http://pc.himeka.tv/auto_auth.php?pp=...<省略>...&logingo=1】

~~~~~~~~~~~~

ご利用に当たりご不明な点・ご質問等御座いましても【info@himeka.tv】にてお答えしてますので、お気軽にご連絡ください☆
★姫華事務局★

☆★☆★☆★☆★☆★☆★☆

※ポイント換金チケットはご購入より24時間ご利用頂けます。換金できるポ
イント姫華内でご利用できる10万円以上のポイントです。譲渡より所持
されているポイントに関しては分割での換金が出来ませんので、一括での
換金をお願い致します。換金目的でご購入されたポイントに関しましては換
金対象外となりますのでご了承ください
騙されないようにしましょう!
手持ちポイントを換金とありますが、どこにも 1 ポイント 1 円とは書かれていません
もしかすると、 1,000,000 ポイント 1 円かも知れません。(笑)

直近送信元の IP アドレス 180.189.51.0/24 を調査したところ、 シンガポールの Equinix Asia Pacific というデータセンターのものと判明しました。
この Equinix Asia Pacific をインターネットで検索してみると、迷惑メール送信業者御用達のデータセンターであることがわかります。
ということで、割り当てられている
180.189.0.0/18
iptables で拒否します。

なお、今回 SPF が pass になっていたので、SPF レコードを調べてみたところ、驚いたことに
v=spf1 ip4:127.0.0.0/1 ip4:128.0.0.0/1 ~all
と定義しています。
これは、すべての IP アドレスについて pass にする設定です。
つまり、どのようなメール配信業者を経由させても SPF チェックには引っかからないということになります。
携帯電話のキャリア各社が、ここ最近ドメイン認証ということで SPF のチェックを行っていますが、それをスルーさせてしまう設定です。

さて、携帯電話のキャリア各社は、このように普通ではありえないような SPF レコードを SPF によるドメイン認証で拒否するような対応してくれるのでしょうか?

それにしても、金儲けがかかっていると、いろいろと考えること、感心です。(笑)
2010-05-19 23:40:03 投稿者:管理者 コメントはありません - 追加する Trackbackはありません - 追加する

もともと、ファイアーウォール iptables によるブラックリストに登録しておいた業者なのですが、迷惑メールのチェックのため 2 週間ほど前から登録を解除していました。

本日になって、from アドレスのドメインが icomi.jp となっているメールの送信を todoke.jp のメールサーバーが試みてきました。
taRgrey により再送要求を出したのですが、この todoke.jp も cyber-mailer.com と同じように 203.183.248.4 ~ 203.183.248.63 のなんと 60 の IP アドレスを使い、ほぼ 1 分間隔で接続してきます。
ログによると、途中インターバルを 10 分 に変えながら、14:07 から未だに接続を繰り返しています。

ちなみに、icomi.jp を調べてみると、 『あどしょっぷ』というサイトになります。
ネットで検索してみると、悪質出会い系サイトであることは間違いありません。
検索するまでもなく、勝手にメールアドレスを登録してメールを配信しているのですから悪質と判断できます。

todoke.jp は、相変わらず悪質な手段でメールを配信しているようですので、再び
203.183.248.0/24
を iptables で拒否します。

いい加減に取り締まって欲しいものです。
2010-03-27 23:30:00 投稿者:管理者 コメントはありません - 追加する Trackbackはありません - 追加する

婚活セレブNAVI から勝手に会員登録したメールアドレス宛に迷惑メールが届くようになりました。

19:38:21 から 192-131.mail-eng.com[111.223.192.131] により送信が開始され、taRgrey により 450 でメールサーバーが応答を返しているのですが、5 秒後には IP アドレスを変えて再送してきています。
111.223.192.131 ~ 111.223.192.162 と 32 のアドレスで 5 秒おきに再送を繰り返しています。
そして 13 分後に再び送信が開始されます。

21:36:54 に taRgrey をくぐり抜けました。

以降、今までに 3 通のメールを受信しています。

IP アドレスから調査すると、cyber-mailer.com 系列の悪質なメール配信業者でした。
この系列の配信業者は、メールサーバーが拒否応答を返すと IP アドレスを変えて再送するシステムをウリにしています。
メールサーバーへ意図的かつ無用な負荷をかけていると言われても仕方のない行為ですし、現時点でこの業者から配信されてくるメールのすべてが、勝手に会員登録する悪質な出会い系サイトのものですから、悪質メール配信業者と判断されても仕方ないでしょう。

今回の調査で判明した、111.223.192.0/19 を含め、cyber-mailer.com の持つ
111.223.192.0/19
113.212.128.0/19
iptables で拒否します。
2009-12-23 02:30:59 投稿者:管理者 コメントはありません - 追加する Trackbackはありません - 追加する

System House ACT で管理しているドメイン宛のメールは、SMTP サーバーの postfix のヘッダーチェックや taRgrey により迷惑メールのチェックが行われています。

これらのチェックにより、迷惑メールが配送されることはほぼないのですが、maillog にログが大量に記録されてしまい、そのこと自体が迷惑となっています。

拒否応答を何で返そうが、止めることなく日に 50 通以上も送ってくる出会い系サイト業者もいます。
さらにたちの悪いことに、出会い系サイト業者にサーバーを提供しているホスティング業者が、メールアドレスを契約業者に渡していますので、業者が勝手に自サイトに登録してしまいます。

迷惑メールであることは事実なのですが、残念なことに出会い系サイトに勝手に登録されて送信されてくるメールは『特定電子メールの送信の適正化等に関する法律』では、なかなか取り締まれませんし、ホスティング業者の上位 ISP に苦情を申し立てたとしても、明確な脱法行為でない限り、対応を期待することはできません。
最低限、勝手に登録されたことを証明する必要があり、そのためには登録業者に協力を依頼しなくてはならないということになります。

また、最近は、メール配信業者を経由して迷惑メール送ってくるようにもなっています。
そうなると、対応を依頼するにしてもますます厄介なことです。

正直、そんな手間をかけていられません。

幸いなことに、ホスティング業者やメール配信業者の IP アドレスははっきりしていますし、そのような業者からの接続を一切拒否したとしても困ることはほぼありません。
そのような業者を利用しているのはすべて同じ穴のムジナであることは間違いないからです。

そこで、ゲートウェイサーバーのファイアーウォール iptables で接続を拒否することにします。
業者が新しく IP アドレスを取得した場合は、その度に拒否設定を追加しなくてはなりませんが、 IP アドレスの取得自体にも費用がかかりますから、そんなに頻度が多くありませんので十分に対応可能です。

このカテゴリの記事では、主に iptables で拒否した業者の情報を提供していく予定です。
2009-12-11 05:02:32 投稿者:管理者 コメントはありません - 追加する Trackbackはありません - 追加する

当サイトへのアクセスログを見ると 124.42.121.39 をキーワードで訪れる方が多いようです。
この IP アドレスへのアクセスを誘導する迷惑メールは、From アドレスを変え、かつドメインを大手 ISP や企業のものに詐称するなどしながら、日に3通~5通程度送りつけてきますから迷惑この上ないものでした。

私の場合は、もともと au 携帯の「指定受信機能」+「なりすましメール拒否機能」+「インターネット(PC)メール一括拒否機能」を使用することにより、迷惑メールの受信はほぼ皆無でした。
たまたま今回、大手 ISP のドメインを詐称された結果届いてしまい、ドメイン詐称の対策として「ドメイン認証規制」を行ったところ、逆にこの 124.42.121.39 のような迷惑メールの受信が増えてしまいました。
それが 124.42.121.39 というタイトルの記事 になった訳です。

現在は、再び「指定受信機能」+「なりすましメール拒否機能」+「インターネット(PC)メール一括拒否機能」に戻しています。
戻してから1週間ほどになりますが、その間に届いた迷惑メールはありません。

「ドメイン認証規制」では役に立たなかった au 携帯ですが、この「指定受信機能」で登録できるメールアドレスやドメインの数は 100 件あり、docomo の 40 件、Softbank の 20 件と比較してかなり大きくなっています。

迷惑メールは、送信元 (From) メールアドレスを毎回変えて送られてきますから、事実上拒否リストはまったくと言っていいほど効果がありません。
携帯の場合において効果がある対策は、

迷惑メールを拒否するのではなく、受信したいメールのみ受信する

です。
従って、「なりすましメール拒否機能」+「インターネット(PC)メール一括拒否機能」で原則拒否しておき、受信したいメールアドレスを「指定受信機能」で指定するということになります。
そうすると、40 件や 20 件では明らかに少なすぎます。
その点で、 au 携帯の 100 件はかなり評価できます。
ドメイン詐称の対策としてドメインではなくメールアドレスで指定したいので、100 件でも少ない(既に 100 件設定しています)のですが、それでも迷惑メールの受信は月 1 件未満です。

ということで、au 携帯で迷惑メールにお困りの方は、「指定拒否」ではなく「指定受信」で対策してみてはいかがでしょう。
最初に「指定受信リスト」に登録するのはかなり手間ですが、設定後はその手間に見合うだけの効果を実感できるはずです。
2009-07-15 12:45:27 投稿者:代表 コメントはありません - 追加する Trackbackはありません - 追加する

最終更新日時 : 2012-03-08 16:40:42
タイトルは、もちろん IP アドレスです。

先月下旬くらいから、携帯(au)のメールアドレス宛に送られてくるようになった迷惑メールの本文中にあるアクセス先の IP アドレスです。

これを契機に、携帯の迷惑メール対策を考えてみます。

メール自体の発信元は
  • 189.93.181.72 (詐称ドメイン : hotmail.com)
  • 88.191.44.184 (詐称ドメイン : biglobe.ne.jp)
  • 213.136.110.51 (詐称ドメイン : xfire.jp)
  • 202.72.246.58 (詐称ドメイン : takefuji.co.jp)
  • 213.134.167.232 (詐称ドメイン : gree.jp)
などとなっており、中には念のいったことに envelope-from も詐称しているものもありました。
この発信元はボットによるものですので、送信者の from や envelope-from によるフィルタリングでは防ぎようがありません。
効果のありそうな対策として、SPF や DKIM によるドメイン認証を利用するものなのですが、SoftBank(S!メール) や WILLCOM(Eメール) は受信側に実装していませんので無力です。
また、au(EZweb) は受信側に SPF 認証を実装こそしているのですが、NoneNeutral を拒否しません。従って、事実上は未実装に近く、やはり無力です。
唯一、docomo(iモード)だけが受信側に SPF 認証 Pass 以外を拒否する実装をしています。

au(EZweb) は、SPF 未実装ドメインのことを考慮しての実装なのでしょうが、指定受信リストをホワイトリストとして用意しているのですから必要のない考慮です。
実装した技術者のセンスを疑います。
ちなみに、例として挙げた IP アドレスからの迷惑メールは、docomo(iモード)だけが「なりすましメール対策(一般ドメイン)」ですべて拒否できます。

しかし、ドメイン認証だけでは拒否できない迷惑メールがあります。
例えば、
  • 203.167.89.167 : ghjgahja.com (詐称ドメイン : goo.jp)
  • 203.167.105.89 : kjdhskjhjh.com (詐称ドメイン : clubbbq.com)
  • 203.167.105.185 : kjahkjdj.com (詐称ドメイン : gmail.com)
  • 203.167.93.50 : mnjjghjhgjk.com (詐称ドメイン : yahoo.ca)
などは、SPF レコードを実装した上で、迷惑メールを発信しています。
さらに、認証ドメイン名は毎回異なっています。
このような迷惑メールを防ぐためには、ドメイン認証後に「受信を許可する認証後ドメイン名」を指定できるようにするしかないと考えます。

設定が大変になりそうな感じもしますが、今まで受信を許可するメールアドレスリストを設定していたことを考えれば、かかってもそれと同等の手間にすぎません。

実際のところ、ここまで行って初めてドメイン認証の効果が現れると考えます。
そんなに大変な実装とも思えず、かなりの効果が期待できそうなのですが、さて携帯各社はどのように考えているのでしょう?

まさか、ある程度の迷惑メールがユーザーに届いた方がパケット代が稼げるので、今のままでいようとか…。(笑)
しかし、受信ドメイン認証を行っていない会社を見てみると…。まさかね。(笑)

さて、タイトルの件に話を戻します。
この 124.42.121.39 が本文中にある迷惑メールについて検索してみると、かなりの方が被害に遭われているようです。
幸か不幸か、IP アドレスや内容はほぼ同じなので、元から断つためにも 迷惑メール相談センター に情報提供しましょう。
2009-07-02 20:27:49 投稿者:代表 1件のコメント - 表示する - 追加する Trackbackはありません - 追加する
 
サンワダイレクト
a System House to build an Accounting system by the Computer Technology