2006年3月31日

[SpamAssassin-JP 178] Re:URLBL対策のされたスパム

** SpamAssassin メーリングリスト **
** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
久保です。

>  と、URLBLにヒットすることを避けるために、URLを短くするサービスを利用し
> て送ってくるようです。

むぉ〜ぶで実際に登録してみました http://mo-v.jp/?[0-9a-f]{4} という形式

のURLが生成され(4桁の文字は16進ではないかもしれない)、実際にこのURLにア
クセスすると、Location:ヘッダに元のURLが埋め込まれた、すなわちリダイレク
トの応答が返ってきます。

たしかにURLBLは使えないですね。

ただ、数ヵ月前からgeocitiesやtripodで無料ページを登録して、そのURLにアク
セスすると標的サイトにリダイレクトする、という手法が流行っていて、それに
対して70_sare_specif.cfで次のようなルールが用意されています。

url __SARE_SPEC_XXGEOCITIE
m'\b(?:(?!www)[a-z]{2,3})\.(?:geocities|tripod)\.com/\w+/\?'i
url __SARE_SPEC_XX2GEOCIT /\b[a-z]{2}\.geocities\.com/i
meta SARE_SPEC_XXGEOCITIES __SARE_SPEC_XXGEOCITIE && !__SARE_SPEC_XX2GEOCIT
describe SARE_SPEC_XXGEOCITIES spamsign pointing to free webhost spam site
score SARE_SPEC_XXGEOCITIES 2.444

同様に、

url COMPRESS_MO_V /\bmo-v.jp/\?[0-9a-z]{4}/i

のようなルールを使ってペナルティを付ける(ただしあまり大きくはできないけ
ど)といった対策が現在のSAの枠で可能ですね。

# でもURLと差障りのない文章、ノーマルなヘッダで送られたら厳しいかも。

>  あまりやりたくないですけど、curlみたいなもん使って最終的に飛ばされる
> URLからURLBLとマッチングさせる、とかいう必要性が出てくるかもしれませんね。

新しいプラグインが必要になりますね。ロジックは想像できるけど、処理に時間
がかかりそう。

--
----------------------------------------------------------------------
久保 元治 (株)サードウェア
Motoharu Kubo 274-0815 千葉県船橋市西習志野3-39-8
mkubo@xxxxx URL: http://www.3ware.co.jp/
Phone: 047-496-3341 Fax: 047-496-3370
携帯: 090-6171-5545/090-8513-0246
★弊社からのメールはZ-Linuxメールフィルタで全数検査しています★
--
SpamAssassin メーリングリスト
http://mm.apache.jp/mailman/listinfo/spamassassin-jp

投稿者 xml-rpc : 2006年3月31日 21:36
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/41182
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。