Contents

  1. spam送信ホスト
  2. 最近の spamの多くはゾンビホストから送られてきます
  3. 送信者アドレスは詐称です
  4. 接続の試みの繰返し
spam 送信の手口

http://www.bagley.org/~doug/spam/dirty.shtml Dirty Spammer Tricks

https://www1.ietf.org/mail-archive/working-groups/asrg/current/msg00767.html taxonomy for spambased on the class of technique

1. spam送信ホスト

足跡を隠すためにいろいろの手下のサーバを経由して送ってきます。

  1. ウィルスに感染したサーバ(ゾンビホスト)を使います。

  2. 侵入して強奪したサーバを使います。
  3. open (欠陥) proxy サーバを使います。
  4. 電話番号記録の調べにくいダイアルアップホストを使います。

  5. 規制の少い無料アカウントプロバイダのサーバを使います。

  6. 第三者メイルを中継するメイルサーバを使います。RBLに登録されていないものを使います。
  7. spam支援業者のサーバを使います。
  8. SMTP auth, POP before SMTP などのうち、ガードの甘いサーバを利用します。
  9. spamをバウンスするサーバを悪用します。 これらのサーバをもつISPはspamを支援しているISPと見なされます。

2. 最近の spamの多くはゾンビホストから送られてきます

多くのゾンビホストDNS/逆引きによって判別可能です。

SMTP 送信での対応で判別可能です。

http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=tarpit%A4%C7spam%A4%F2%BB%DF%A4%E1%A4%EB

3. 送信者アドレスは詐称です

"hotmail.com", "aol.com" などがよく使われます。 これらのドメインは送信サーバの一覧を公開しているので、 送信元の IP アドレスを確認すれば、詐称を判別できます。

spam/SPF 情報を使うといいでしょう。

4. 接続の試みの繰返し

短時間のうちに何度も接続を試みるものがあります。 

2004-05-05 09:31:13.172869500 tcpserver: deny 23019 0:131.112.32.5:25 :222.100.31.163::2260
2004-05-05 09:31:18.600180500 tcpserver: deny 23020 0:131.112.32.5:25 :222.100.31.163::2503
2004-05-05 09:31:24.030306500 tcpserver: deny 23021 0:131.112.32.5:25 :222.100.31.163::2766
2004-05-05 09:31:29.465054500 tcpserver: deny 23022 0:131.112.32.5:25 :222.100.31.163::3021
2004-05-05 09:31:34.954495500 tcpserver: deny 23032 0:131.112.32.5:25 :222.100.31.163::3248