そろそろSPAM対策を for Coremail

どうも日本ベリサインからいつまでたってもサーバ証明書の通知メールがこないと思ってたら、まちがってSPAMフォルダに分類してしまっていたようです。

ということで、SPAMフィルタはやっぱ危ないちうことで、今後使わないことに決定しました。まぁベリサインのメールのSubjectとかいかにもSPAMっぽいSubjectなんですけどね・・・

とはいいつつもまったく自動分類ツールがないと厳しいので、ということで、古きよき時代にもどり、もっとシンプルな方法で判断することにしました。

まず、ある主のSPAMのヘッダを調査してみると、


Return-Path: <***@ocn.co.jp>

X-Original-To: ***@***.com

Delivered-To: ***@***.COM

Received: from allabout.co.jp (unknown [60.218.37.150])

by ***.com (Postfix) with ESMTP id 290998342D

for <***@***.COM>; Thu, 6 Apr 2006 11:25:13 +0900 (JST)

Received: from xgph5 (unknown [102.250.17.229])

by smtp72 (Coremail) with SMTP id BGXuRpYQmyVlhdjC.1

for <****@****.com>; Mon, 17 Mar 2003 00:30:44 +0800 (CST)

X-Originating-IP: [102.250.17.229]

Subject: =?iso-2022-jp?B?GyRCMT9FPkNmJDokQyRIJUolYSVKJWEkSCQrISYhJiEmGyhC?=

From: =?shift-jis?B?aW5mbw==?= <***@ocn.co.jp>

To: <***@***.com>

X-Mailer: Microsoft Outlook Express 6.00.2800.1478

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0006_01C2DF39.0AA59970"

X-Priority: 3

X-MSMail-Priority: Normal

X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

Message-Id: <20060406022513.290998342D@***.com>



といった、感じ。

Message-Idがうちの会社のドメインがついてるところをみると、いわゆるメールサーバを経由するのではなく直接DNSのMXレコードをひいて接続してきているのでしょう。

メーラはたくみにOutlook Expressっぽく偽造して、Receivedにallabout.co.jpなるドメインがありますが、これはだれがどうみても偽造。(ここには通常HELOコマンドで打ち込んだ文字列が入るだけですからね・・)

お見事としか言いようがないですわ。これは通常メールと区別がしにくい。

しかし、よーくみるとReceviedフィールドにCoremailなる文字列が・・・しかも時差8時間で2003年。このあたりがフィルタリングの基本になりそうです。

で、Coremailをぐぐってみると・・・もろ中華なサイトが。これがSPAMばら撒くソフト?のようです。ちなみに中国はGMT+8ですからReceviedの時差の内容もうなづけます。

ということで、postfixでCoremailなる文字列がReceivedにあったらエラーとするよう設定。これで快適ですわ。
Posted by issei

カテゴリ: 雑記