## page was renamed from spam送信の手口 ## page was renamed from spam 送信の手口 <> {{{ spam 送信の手口 }}} http://www.bagley.org/~doug/spam/dirty.shtml Dirty Spammer Tricks https://www1.ietf.org/mail-archive/working-groups/asrg/current/msg00767.html taxonomy for spambased on the class of technique === spam送信ホスト === 足跡を隠すためにいろいろの手下のサーバを経由して送ってきます。 1. ウィルスに感染したサーバ([[ゾンビホスト]])を使います。 1. 侵入して強奪したサーバを使います。 1. open (欠陥) proxy サーバを使います。 1. 電話番号記録の調べにくいダイアルアップホストを使います。 1. 規制の少い[[無料アカウントプロバイダ]]のサーバを使います。 1. 第三者メイルを中継するメイルサーバを使います。RBLに登録されていないものを使います。 1. spam支援業者のサーバを使います。 1. SMTP auth, POP before SMTP などのうち、ガードの甘いサーバを利用します。 1. spamをバウンスするサーバを悪用します。 これらのサーバをもつISPはspamを支援しているISPと見なされます。 === 最近の spamの多くはゾンビホストから送られてきます === 多くの[[ゾンビホスト]]は [[DNS/逆引き]]によって判別可能です。 * DNS の逆引きが設定されていない。 * ダイアルアップや動的割りあてを示す名前がついてる。 SMTP 送信での対応で判別可能です。 * ゆっくり対応すると接続をあきらめます。 * 一時エラー返答をすると、送信をあきらめます。 * 再送してこないか、短期間に集中的に再送してきます。 http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=tarpit%A4%C7spam%A4%F2%BB%DF%A4%E1%A4%EB === 送信者アドレスは詐称です === "hotmail.com", "aol.com" などがよく使われます。 これらのドメインは送信サーバの一覧を公開しているので、 送信元の IP アドレスを確認すれば、詐称を判別できます。  [[hotmail.com の送信サーバ]] -- [[aol.com の送信サーバ]] [[spam/SPF]] 情報を使うといいでしょう。 === 接続の試みの繰返し === 短時間のうちに何度も接続を試みるものがあります。  返答を 10 秒くらい遅らせることで、重複して接続してくるものを判別できます。 {{{ 2004-05-05 09:31:13.172869500 tcpserver: deny 23019 0:131.112.32.5:25 :222.100.31.163::2260 2004-05-05 09:31:18.600180500 tcpserver: deny 23020 0:131.112.32.5:25 :222.100.31.163::2503 2004-05-05 09:31:24.030306500 tcpserver: deny 23021 0:131.112.32.5:25 :222.100.31.163::2766 2004-05-05 09:31:29.465054500 tcpserver: deny 23022 0:131.112.32.5:25 :222.100.31.163::3021 2004-05-05 09:31:34.954495500 tcpserver: deny 23032 0:131.112.32.5:25 :222.100.31.163::3248 }}}