2007年5月 8日

[SpamAssassin-JP 552] Re:あからさまなスパム

** SpamAssassin メーリングリスト **
** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
舘山です(最近活動できてないモード...)

Subject: Internet Explorer 7.0 Beta
は最近結構出回っているようですね
google で "Internet Explorer 7.0 Beta" で探るとヒットします


私の管理しているサーバにも着弾してました ただしユーザ名がnnやdd を追加
した形で届いているためポストマスターへのエラーとして届いたという形です。
メールの From: admin@xxxxx 自体が判断材料ですね

あと X-Originating-IP: って付いてるのは hotmail などかとおもうのですが
IPアドレスに似ているだけでちょっと違いそうですね
着弾したものは明らかに 一桁の値が0-255 の範囲を超えた数値が記載されて
ますのでこれも偽装ということで判断材料になりそう

OKI Miyukiさんの
題名「[SpamAssassin-JP 549] Re: あからさまなスパム」のメールからの引用です
> ** SpamAssassin メーリングリスト **
> ** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
>
> 沖@バリウム飲んでゲロゲロです。
>
> 矢野さん、館山さん、リプライありがとうございます。
>
> > 怪しさ判定でReceivedヘッダを使っています。プロバ
> > イダの入り口に送ってきた相手側のホスト名が
> > (dialup|dhcp|ppp|localhost|dsl|([0-9]{1,3}-){3}[0-9]{1,3})
> > でひっかかるやつを廃棄しています。わたしの環境だとこいつは廃棄になります
> > ね。
>
> おおーっ、こんな技がありましたか…。確かに、こんな単純な
> ホスト名の名乗りをあげてくるのは、BOTっぽい感じもしますね。
>
> で、恥ずかしい話なんですが、whitelist_from の他に
> whitelist_from_rcvd *@foo.com foo.com
> なんてルールがあったんですね…。とは言え、大きいところは
> 送信サーバころころ変わったりするからなー。
> whitelist のスコアを変更するって手もありそうですけど、微妙な感じ…。
>
> > 私もサーバー側で S25R + tarpit やさらにグレイリストを適用しておいた上で
> > SpamAssassinでチェックすると言う方法で、結構減らせました
> > (全てSpamAssassinでチェックするよりはサーバの負荷が少なくて済むと信じて)
>
> 私のところの環境では、まだ、あえてグレイリストを導入していません。
> 一応、SpamAssassin の性能も図っておきたいので…(:-)
> というのは半分建前で、ほんとは設定が面倒だなーと放置プレーしてますorz
S25R + tarpit は bot系やウィルスメールに効果ありました


明らかにスパムと思われるものは メール自体サーバ内部に受け取りたくないの
が私の考えなもので...
受け取ってしまうと捨てるのもったいないような気さえ起きてきますし...


--
彡彡从 たてやんっす
d□/□-b <tateyan@xxxxx>
ヽ"ー"丿

Key fingerprint = 5D56 8EA3 B9FE A721 4866 FB4A 0041 672C 08DD C33A


--
SpamAssassin メーリングリスト
http://mm.apache.jp/mailman/listinfo/spamassassin-jp

投稿者 xml-rpc : 2007年5月 8日 23:21
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/58281
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。