1157 taRgreyをもすり抜けるメールの拒否について。

<<トップページへ

taRgreyをもすり抜けるメールの拒否について。
日時: 2009/03/17 20:20
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

掲題の件、http://centossrv.com/postfix-targrey.shtmlの通りに構築・運用しているのですが、
最近同じような件名のメール(消費者金融系の融資のメール)がしつこく送られて来て何とか
受信拒否出来ない物かと思案、対策に頭を悩ませています。(;_;)

メールのログを見るとこのメールを送りつけている輩、その都度メールアドレスを変えている
(偽装している?)らしくかなり手口が巧妙なのですが、何とか受信拒否する方法がありましたら
ご教授頂ければ幸いです。

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(1)
日時: 2009/03/17 21:46
名前: ZED
普通に正規表現を追加したらどうでしょう・・・

自分の方は、日本語バージョン+mecabを入れてるので、
ガッツリ迷惑扱いになっています。
日本語版 http://spamassassin.jp/download/sa3.2/packages/rhel/
日本語レシピ http://spamassassin.jp/download/rules/

たぶんwakwakから発信されているやつですよね?

Re: taRgreyをもすり抜けるメールの拒否について。(2)
日時: 2009/03/17 22:38
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

ZEDさん>
この前のscrubの時はお世話になりました。(^o^)

正規表現なんですが、すでにレシピファイルの中には追加しているのですが
うまく機能していないのかそれすらもすり抜けて来ていたので、先程再度
設定を書き直しました。

ここのところ毎日送られて来るのでこれで明日来なくなるかどうか確かめて
みます。

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(3)
日時: 2009/03/20 17:41
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、結局また例のメールが届いてしまいました。送る手口があまりに悪質なのでログを晒します。

Mar 20 07:36:07 server postfix/smtpd[14715]: NOQUEUE: warn: RCPT from unknown[125.187.32.195]: ; from=<news@deeps-mail.com> to=<xxxxxxx@xxxxxxx> proto=ESMTP helo=<mailyes.net>
Mar 20 07:38:12 server postfix/smtpd[14715]: 53F6852483F4: warn: DATA from unknown[125.187.32.195]: ; from=<news@deeps-mail.com> to=<xxxxxx@xxxxxxx> proto=ESMTP helo=<mailyes.net>
Mar 20 07:38:12 server amavis[12247]: (12247-05) Passed CLEAN, [125.187.32.195] [125.187.32.195] <news@deeps-mail.com> -> <xxxxxxx@xxxxxxx>, Message-ID: <20090319223256.12466.qmail@mailyes.net>, mail_id: IzxQVx3Om93V, Hits: -, size: 5913, queued_as: A09CD5248414, 158 ms
Mar 20 07:38:12 server postfix/smtp[14826]: 53F6852483F4: to=<xxxxxxxx@xxxxxxxx>, relay=127.0.0.1[127.0.0.1]:10024, delay=125, delays=125/0.01/0/0.16, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as A09CD5248414)

正規表現のやり方が悪いんでしょうか?(;_;)尚、正規表現の内容は他に所謂AV系の用語が
記載されており、多分ここで書きこむと禁止用語に引っ掛かると思われますので記載出来ません。(^^;)

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(4)
日時: 2009/03/21 11:16
名前: ZED

メールヘッダーにも加算されていないという感じですか?
設定したあとTELCのレシピを入れ替えてるなんて落ちじゃないですよね〜?

試しに、一発で判定するようなレシピを書いて、外部からメールを送ってみたらどうでしょう?
ちゃんと判定されるか判るとおもいますが・・・


Re: taRgreyをもすり抜けるメールの拒否について。(5)
日時: 2009/03/21 11:59
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

ZEDさん>
レス有難う御座います。

上記の件、試しに外部から件名に禁止用語書いたメールを送ったところきちんと
削除されました(メールが届かなかった)のでレシピはきちんと機能している
ようです。

例のメールが何かすり抜けるような特別な手段を使っているかもしれませんので、
今度送りつけられたら念の為ヘッダー情報等を晒します。(^^;)

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(6)
日時: 2009/04/02 02:04
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、取り敢えずあれからぱたっと例のメールが来なくなり
調査が出来ませんので一旦スレッドを閉じます。

Re: taRgreyをもすり抜けるメールの拒否について。(7)
日時: 2009/04/06 01:14
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、また性懲りもなく送り付けられて来ましたので
早速メールヘッダーを下記に貼付します。

Return-Path: <do@emailsolutions.com>
Delivered-To: xxxxxxxxxxx@xxxxxxxxxxxx
Received: (qmail 21242 invoked by uid 510); 5 Apr 2009 10:33:46 -0000
Received: from localhost (server.takao-y.net [127.0.0.1])
by server.takao-y.net (Postfix) with ESMTP id A274F5248867
for <xxxxxxxxxxx@xxxxxxxxxxxx>; Sun, 5 Apr 2009 19:33:46 +0900 (JST)
X-Virus-Scanned: amavisd-new at takao-y.net
Received: from server.takao-y.net ([127.0.0.1])
by localhost (server.takao-y.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id lKYOExGDEjbi for <xxxxxxxxxxx@xxxxxxxxxxxx>;
Sun, 5 Apr 2009 19:33:46 +0900 (JST)
Received: from mailyes.net (unknown [125.187.32.188])
by server.takao-y.net (Postfix) with ESMTP id 301005248866
for <xxxxxxxxxxx@xxxxxxxxxxxx>; Sun, 5 Apr 2009 19:31:40 +0900 (JST)
Received: (qmail 20443 invoked by uid 0); 5 Apr 2009 19:31:28 +0900
Message-ID: <20090405103128.20441.qmail@mailyes.net>
To: xxxxxxxxxxxx <xxxxxxxxxxx@xxxxxxxxxxxx>
Subject: =?ISO-2022-JP?B?GyRCJCokXiRIJGElbSE8JXMbKEI=?=
=?ISO-2022-JP?B?GyRCPEI7XENmISohWiUtJWMlQyU3JXMlMCFbQj48UiROJF4kSCRhGyhC?=
=?ISO-2022-JP?B?GyRCISI7djZIO3E2YiEiJD0kTkI+JGIkKk5PJEskSiRqJF4kORsoQg==?=
From: financial service <do@emailsolutions.com>
Reply-to: delivery_rt <do@emailsolutions.com>
Date: 2009-04-05 19:31:02
Content-type: text/plain; charset=ISO-2022-JP
X-Mailer: GOOD Mailer 1.0
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
X-Keywords: 20090405135136_cbur
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit

上記のうち、xxxxxxxxxxx@xxxxxxxxxxxxは小生の受信しているメールアドレスです。

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(8)
日時: 2009/04/06 08:58
名前: ZED

こんにちは!
あらあら、ダメでしたか・・・

では、
X-Mailer: GOOD Mailer 1.0
のヘッダーは+5ポイント位 付けてみてはどうでしょうか?

Re: taRgreyをもすり抜けるメールの拒否について。(9)
日時: 2009/04/06 09:31
名前: stranger
URL: http://ja.528p.com/
taRgreyでは
sleepで設定された値をこえて再送された場合、メールを受け付けます

(nkfでデコードした場合)
Subject: おまとめローン実施中!【キャッシング】他社のまとめ、事業資金、その他もお力になります

が一定で変わらないのであれば、

header_checksでSubjectの内容をREJECTしておいたら

/GyRCJCokXiRIJGElbSE8JXMbKEI/ REJECT

GyRCJCokXiRIJGElbSE8JXMbKEIは おまとめローン をnkfでMIMEエンコードした一部

spamassassin/local.cfで制御するとか

Re: taRgreyをもすり抜けるメールの拒否について。(10)
日時: 2009/04/06 11:27
名前: ZED
う〜ん
中々件名固定で送ってくるスパマーは少ないですよね〜
一回設定しても、また、違う手でやってきますもんね〜



面倒でなければ、日本語版+mecabを設定しちゃたほうが早いですよ〜
うちは>>1でも書いたとおり日本語版です。
文章の分かち書きプログラム(mecab)が入っているので、日本語SPAMは完璧です。

Re: taRgreyをもすり抜けるメールの拒否について。(11)
日時: 2009/04/06 16:32
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

strangerさん、ZEDさん>
レス有難う御座います。(^o^)

結局ZEDさんお奨めの日本語版spamassassin導入を行ってみました。

導入方法について確認なんですが、まずはソースrpmをリビルドして
出来上がったバイナリパッケージをインストールした後で
/etc/mail/spamassassin配下に1で示されていたレシピファイル二つ
をダウンロードして配置、spamassassinサービスを再起動すれば
良いんですよね?

もし導入が上記方法で良ければ暫く様子を見てみたいと思います。(^_^)

宜しくお願い致します。

以上

追伸:それにしても上記レシピファイルの内容を少し拝見しましたが、
いかにも、って感じの用語が目白押しですね・・・。(^^;)

Re: taRgreyをもすり抜けるメールの拒否について。(12)
日時: 2009/04/06 18:03
名前: ZED
そうです。
spamassassin-3.2.5-1.jsaug.src.rpm 日本語パッチ適用済み
を普通にれて、
jp_rules-20060729.cf jp_ml-20060729.cf が、古い形式なので修正が必要

wget http://spamassassin.jp/download/rules/jp_rules-20060729.cf
cp jp_rules-20060729.cf /etc/mail/spamassassin/jp_rules-20060729.cf.org
cd /etc/mail/spamassassin
sed "s/nbody/body/g" jp_rules-20060729.cf.org > jp_rules-20060729.cf.mod
jp_mlも同じ手順

そして、
local.cfに、上記ファイルを連動させるために、
include jp_rules-20060729.cf.mod
を足します。
これで、spamassassin再起動すれば、オッケーです。

etc/mail/spamassassinにある、cfファイルは無条件に読み込まれるため、気になった語句をバンバン登録していってください。

そして、日本語に対して最強にするなら、mecabを連携させないと今まで通りです。
http://www2.shakemid.com/fswiki/wiki.cgi?page=%C6%FC%CB%DC%B8%EC%C2%D0%B1%FESpamAssassin%A5%A4%A5%F3%A5%B9%A5%C8%A1%BC%A5%EB(自分が参考にしたところ・・・ただ・・・yumで入るはず・・・)


日本語をバラバラに分解してくれるモジュールです。
これで、日本語SPAMとはおさらばです!

ついでに・・・今度は外国語をシビアにしなくてはいけないので、
TLECさんのレシピを改造して英語の部分を利用させてもらうといいですよ〜

Re: taRgreyをもすり抜けるメールの拒否について。(13)
日時: 2009/04/06 21:02
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは。お世話になります。

ZEDさん>
教えて頂いた手順を早速実施しましたが、最後にText::Mecabのインストールで
ハマってしまいます。どうすれば良いでしょうか?(;_;)

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(14)
日時: 2009/04/06 21:52
名前: ZED
http://mecab.sourceforge.net/
に詳しいことが、書かれているので参考にしてみてください。


たぶん。。。

cd
wget http://jaist.dl.sourceforge.net/sourceforge/mecab/mecab-0.98pre1.tar.gz
wget http://jaist.dl.sourceforge.net/sourceforge/mecab/mecab-ipadic-2.7.0-20070801.tar.gz

tar zxfv mecab-0.98pre1.tar.gz
cd mecab-0.98pre1
./configure --enable-utf8-only --enable-mutex --prefix=/usr
make
make check
su
make install

tar zxfv mecab-ipadic-2.7.0-20070801.tar.gz
cd mecab-ipadic-2.7.0-20070801
./configure --with-charset=utf8 --prefix=/usr
make
make install

で入るかな??
mecab
すもももももももものうち
と打って、動作を確認

そのあと、spamassassinの連携オプションを有効に

Re: taRgreyをもすり抜けるメールの拒否について。(15)
日時: 2009/04/06 22:35
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

ZEDさん>
何度もレスを戴いて大変恐縮です。(^^;)

結論から申し上げると、Text::Mecabモジュール以外は
教えて頂いたサイトの情報の通りにインストールが
出来ました。

残るText::Mecabモジュールはまずは下記サイトを参考に
インストールしました。

http://d.hatena.ne.jp/masatoday/20070826/1188056642

その後make testでどうしてもエラーが出てしまうので、
今度は下記サイトを参考にcpanコマンドで対話モードにして
force install Text::Mecabを実行

http://www.kusu.jpn.ch/blog/2009/02/13/textmecab%E3%81%AE%E4%BB%B6-%E7%B6%9A%E3%81%8D/


結果、下記のように正常稼働するようになりました。(^o^)

[root@server ~]# mecab
すもももももももものうち
すもも 名詞,一般,*,*,*,*,すもも,スモモ,スモモ
も 助詞,係助詞,*,*,*,*,も,モ,モ
もも 名詞,一般,*,*,*,*,もも,モモ,モモ
も 助詞,係助詞,*,*,*,*,も,モ,モ
もも 名詞,一般,*,*,*,*,もも,モモ,モモ
の 助詞,連体化,*,*,*,*,の,ノ,ノ
うち 名詞,非自立,副詞可能,*,*,*,うち,ウチ,ウチ
EOS

後はspamassassinのlocal.cfに教えて頂いた通りに連携設定を
施してサービス再起動。暫くこれで様子を見てみたいと思います。(^_^)

有難う御座いました。

宜しくお願い致します。

以上

Re: taRgreyをもすり抜けるメールの拒否について。(16)
日時: 2009/04/09 22:52
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、現在自宅サーバマシンをメーカーに修理に出してしまっていて
サーバを停止中且つ上記結果の検証が出来ない状態ですので、一旦スレッド
を閉じさせて頂きます。

再度問題が有るようであれば再開します。

宜しくお願い致します。

以上

※古いスレッドには返信できない場合があります


■関連コンテンツ




▲このページのトップへ戻る

ご自由にリンクしてください(連絡は不要です)
本ページへのご意見・ご要望、誤字・脱字・リンク切れ等のご連絡はこちらからお願いします