2010年2月13日
SPAM:cyber-mailer.com
googleで検索すると、たくさんヒットするcyber-mailer.comからのSPAMメールを停止させた。
以下の2段階で対策を実施。
1.ipfilter
ipf.confにて以下の記述を追加。
ipfilterにてパケット落としても延々送り続けるため、無駄なパケットを受け取り処理し続けることとなる。そこで/etc/mail/accessファイルに以下の記述した。
1.ipfilter
ipf.confにて以下の記述を追加。
block in log quick from 111.223.192.0/19 to any block in log quick from 113.212.128.0/19 to anyしかし、これだと、ipfil.logに以下の様なログが記録され続け、1週間放置しても収まる気配がなかった。
Feb 13 17:00:43 XX ipmon[46194]:17:00:43.231537 bge0 @0:2 b m34-36.cyber-mailer.co[113.212.137.36],52453 -> XX[],smtp PR tcp len 20 60 -S IN2.sendmail:/etc/mail/access
ipfilterにてパケット落としても延々送り続けるため、無駄なパケットを受け取り処理し続けることとなる。そこで/etc/mail/accessファイルに以下の記述した。
cyber-mailer.com ERROR:"550 User unknown"accessファイル編集後、以下のコマンドを実行する。
makemap hash access < access上記のipfilterのルールをコメントアウトし、maillogを監視していると、1時間半程度で、配送が中止された。やれやれ。
Feb 13 18:01:12 ...relay=m17-194.cyber-mailer.com [113.212.154.194], reject=550 5.0.0 User unknownsendmail:/etc/mail/accessファイルにてcyber-mailer.com REJECTとして配送が停止されるかどうかは試していない。
中略
Feb 13 19:31:30 ...relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 00:10:23 relay=m34-39.cyber-mailer.com [113.212.137.39], reject=550 5.0.0 User unknown
Feb 20 00:45:32 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 00:57:08 relay=m17-163.cyber-mailer.com [113.212.154.163], reject=550 5.0.0 User unknown
Feb 20 09:46:35 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 10:42:07 relay=m17-163.cyber-mailer.com [113.212.154.163], reject=5505.0.0 User unknown
Feb 20 14:32:21 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 15:50:33 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 18:39:22 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 20:37:35 relay=m14-163.cyber-mailer.com [113.212.157.163], reject=5505.0.0 User unknown
Feb 20 20:39:11 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 23:09:05 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
User unknownになろうと、かまわずメールを送り続けるのが、SPAMERな訳で、意味がないのかも知れない。
2010/03/09
いっこうにSPAM配信が停止される気配がないので、振出にもどる....
1.ipfilter
ipf.confにて以下の記述を追加。
Feb 20 00:45:32 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 00:57:08 relay=m17-163.cyber-mailer.com [113.212.154.163], reject=550 5.0.0 User unknown
Feb 20 09:46:35 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 10:42:07 relay=m17-163.cyber-mailer.com [113.212.154.163], reject=5505.0.0 User unknown
Feb 20 14:32:21 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 15:50:33 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 18:39:22 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 20:37:35 relay=m14-163.cyber-mailer.com [113.212.157.163], reject=5505.0.0 User unknown
Feb 20 20:39:11 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
Feb 20 23:09:05 relay=m17-179.cyber-mailer.com [113.212.154.179], reject=550 5.0.0 User unknown
User unknownになろうと、かまわずメールを送り続けるのが、SPAMERな訳で、意味がないのかも知れない。
cyber-mailer.com REJECTへ変更し、経過観察する。
2010/03/09
いっこうにSPAM配信が停止される気配がないので、振出にもどる....
1.ipfilter
ipf.confにて以下の記述を追加。
block in log quick from 111.223.192.0/19 to any block in log quick from 113.212.128.0/19 to any