身に覚えのないDNSBL登録の理由 - モーグルとカバとパウダーの日記
これは「メール Advent Calendar 2018」のために書かれたエントリです。 スパムが出てないのにDNSBLに登録されてしまう DNSBLというDNSを用いた公開ブラックリストサービスがあります。SORBSやSpamCopあたりが有名です。 DNSBLは、正しくはスパマーの使っているbot等のIPアドレスだけが登録されているべきなのですが、誤って通常のメールサーバがDNSBLに登録されてしまう場合があります。 最近では、サブミッションスパムによりそのメールサーバから大量スパムメールが出されて、登録されてしまう場合が多いです。 しかし時々、全くそのような大量スパムメールが出されたわけではないのにDNSBLに登録されてしまう場合がありました。 そういうなにもしていないのに登録されている場合、近隣のIPでスパムを出したサーバがあったとき、IPアドレス帯でまきこまれて登録されてしまうこ
サブミッションスパムの手法変遷 - モーグルとカバとパウダーの日記
これは「メール Advent Calendar 2018」のために書かれたエントリです。 また元ネタは今年の6月に開かれたNSEGという長野の勉強会で発表した内容の後半にあります。 NSEG 勉強会 #101 / メールとコミュニケーションツール - connpass スパム対策お焚き上げ 今北産業 サブミッションスパムはここ2,3年ですごい増えた アカウントはサブミッションポートへの辞書攻撃で取られるようになった ばれないようにちょっとづつ送ったりするようにもなった はじめに 今から6年半前の2012/5頃に、サブミッションスパムというあたらしいタイプのスパム送信方法で送られたスパムにより、各ISPのメールサーバに障害起きたりする事例がありました。 「サブミッションスパム」による5/15〜16のメール障害の解説と対策 これは、クラックしたアカウントを使い、サブミッションポートでユーザ認証
botからのスパム送信の推移とSMTPセッションフィルタの終焉 - モーグルとカバとパウダーの日記
これは「メール Advent Calendar 2018」のために書かれたエントリです。 元ネタは今年の6月に開かれたNSEGという長野の勉強会で発表した内容です。 勉強会の動画も上がってますので興味持たれた方はこちらもぜひ。 NSEG 勉強会 #101 / メールとコミュニケーションツール - connpass スパム対策お焚き上げ 今北産業 botnetから送られるスパムが激減した SMTPセッションフィルタでのスパム対策は不要になりつつある 諸行無常 はじめに 自分は2006年頃から taRgrey というスパム対策手法を提案しています。 taRgrey - S25R + tarpitting + greylisting (tarpit + greylist policy server) これはSMTPセッション中のクライアントの特徴を利用するフィルタをいくつか組み合わせた手法で、
Postfixでのサブミッションスパムの簡易対策方法 - モーグルとカバとパウダーの日記
これは Postfix Advent Calendar 2014 の11日目の記事です。 サブミッションスパムという、盗んだアカウントを使って、botから送信認証を行ってスパムを出すというスパム送信手段があります。 これをされると、自分のメールサーバから大量のスパムが出されるため、各種DNSBLに登録されてしまい、このメールサーバからのメールが届かなくなったり、メールキューが爆発したり、バウンスメールが大量に届いてスプールが爆発したり、とろくなことがありません。 2年半前にこれがすごい流行った時があり、メールサーバ管理者の方には、痛い目にあった方も結構いるのではないでしょうか。 その時にサブミッションスパムについての解説を書いたエントリーです。 「サブミッションスパム」による5/15〜16のメール障害の解説と対策 - モーグルとカバとパウダーの日記 さて、2年半前に起きてその後どうなったか
UTF-8のファイルを勝手にBOM付きにしてしまう犯人 - モーグルとカバとパウダーの日記
以前こんなエントリーを書いたことがあります。 DebugKitの表示が崩れた理由とUTF-8のBOM http://d.hatena.ne.jp/stealthinu/20130719/p1 UTF-8の文字コードのファイルは、ファイルの先頭にビッグエンディアンかリトルエンディアンかを示す「BOM」というコードを「入れることが出来る」のですが、普段は入れません。 というか、上記エントリーのように色々と副作用が出たりするので、入れないほうが良いのです。 ですが、ふとなにかのタイミングでUTF-8のファイルにBOMが入れられてコミットされる場合があり、誰がやってんのっ!やめてよ… と思っていました。 が、やっと犯人がわかりました。 Win7とか最近のWindowsについてくる「メモ帳」はUTF-8に対応しているのですが、「メモ帳」でUTF-8のファイルを保存すると必ずBOM付きにされてしまうの
「-er」で終わる「動詞」 - モーグルとカバとパウダーの日記
自分のTLで「regist」って動詞はなくって「register」で動詞だよってことがちょっと話題になっていた。 秋元@サイボウズラボ・プログラマー・ブログ: regist という英語は無い これをコード中で「registUser」とか間違って使っちゃう例が多いと。 これ… 間違いなく自分もやってるわ… で、他にも「-er」で終わる「動詞」があって、間違って「-er」を取って「ニセ動詞」にしてしまってる例があるのではないかと思い、リストアップしてみることにしました。 しかしぐぐっても、あまりうまく検索できず、とりあえずこちらの -erで終わる動詞 - z is for zokkon だけしか見つけられませんでした。 後はtwitterで教えていただいたものなど、まとめてみたいと思います。 「-er」で終わる動詞とその(プログラミング系で)よく使われる意味 register 登録する(名詞で
「遠隔操作ウイルス」のような不特定少数に対しての攻撃を防ぐ手段がない件 - モーグルとカバとパウダーの日記
リモートコントロールするための自作トロイ(遠隔操作ウイルス)を使った犯行予告について、 警察の自白強要による安易な捜査 現在のセキュリティ対策ソフトでは防げない という点に懸念を持っています。 警察への批判はいろんな人が指摘されているので割愛し、現在のセキュリティ対策ソフトでは防げない点について書きます。 この事件の経緯については、下記ページがとてもよくまとまっていて参考になります。 なりすまし(遠隔操作)ウイルスによる犯行予告事件をまとめてみた。 - piyolog 警察の杜撰な捜査姿勢に対しては下記を参照。 神奈川県警、少年の上申書誘導か…不自然な詳述 : 社会 : YOMIURI ONLINE(読売新聞) 不正操作?履歴、逮捕後認識も放置…神奈川県警 : 社会 : YOMIURI ONLINE(読売新聞) 失敗から学ばない組織 - Apes! Not Monkeys! 本館 例の偽
nmifoaij.comから「This is a permanent error」だけのスパムと中華系 - モーグルとカバとパウダーの日記
なんだか「nmifoaij.com」というドメインのMAILER-DAEMONさんから、件名が「failure notice」で本文が「This is a permanent error」だけというメールが届く、という事例があった。 これって一体なに?というかなぜ出してもない先からエラーメールが届くの??と。 普通なら、このドメイン宛に出したメールがエラーになってそのエラーメールが返ってきた(にしてもこれだけしか内容がないエラーメールというのは普通はほとんどありえないが)と考えるところだろう。 しかし実はこれ、スパムを出そうとしたのだがなにかで失敗して、その成れの果てが届いた、というのが多分正解。 メールログ確認すると、ひとつのアカウントだけじゃなくていくつかのアカウントに対して出されていたので、スパムがこちらのいくつかのアカウント騙ってだしたエラーメールがとどいたの?と思ったのだが、wh
postfix-2.9用のsleepパッチ - モーグルとカバとパウダーの日記
postfixでtarpittingすると、相手が切っても設定時間だけプロセスがずっと生きてるので、プロセス数が増大してしまうという問題があり、以前その対策パッチを作っていました。 Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ 今まではほとんど smtpd_check.c へ修正が入らなかったので、ずっとパッチ自体書き換える必要が無かったのですが、2.9で結構修正が入ったため2.9用のパッチを作りました。 と言っても、sleepパッチに直接関係する部分は無かったため、パッチが当たる場所の指定を変更しただけです。 一応2つの環境で4日くらい実稼働してテストされているので、まあだいじょうぶかなということで公開します。 該当パッチが必要な方はtaRgreyのページからダウンロードしてください。 taRgrey - S25R + tarpitting + greylist
ほんとに「オオアリクイ」スパムはベイズよけのため生まれたのか? - モーグルとカバとパウダーの日記
5年くらい前に流行った「オオアリクイ」スパムについて、面白い考察が出ていた。 なぜ「主人がオオアリクイに殺されて1年が過ぎました」なのか? - あんちべ! http://d.hatena.ne.jp/AntiBayesian/20111125/1322210338 要約すると、スパムフィルタでよく使われている、(迷惑メールによく使われる単語を自動学習する)ベイズフィルタを抜けるために、「オオアリクイ」というスパムではまず使われないであろう単語が、偶然(コンピュータのランダムによる文章自動生成によって)使われた、というわけである。 確かに説得力がある説明なのだが、自分はそれはたぶん違うんじゃないかなあ、という感想だった。 この説通りだとすると、その時期に同じテンプレートを使って、似たようなパターン、つまり「オオアリクイ」の代わりに「パンダ」だとか「ペンギン」だとかが入った文がたくさん出まわっ
SpamAssassinのscore指定の4つの数字の意味 - モーグルとカバとパウダーの日記
いっつもわかんなくなって困るので、未来の自分用にメモ。 spamassassinのscore設定ファイル「50_scores.cf」をgrepしてると score BAD_ENC_HEADER 2.480 2.255 2.960 3.100 とか出てくるわけですが、スコア値が1つじゃなくて4つ指定されています。 これがなにを表す値だっけ?というをいっつもわかんなくなって、どの値で調べれば良いのか困るのです。 実は以前、同じ事をtweetしたとき、SpamAssassin日本語化などされてる@ttkzwさんに教えてもらっていました。 Twitter / @ttkzw: @stealthinu ベイズテストとネットワークテ ... http://twitter.com/#!/ttkzw/status/26635868349 ベイズテストとネットワークテストの有無です。1つ目が共になし。4つ目が
6月8日にフレッツ光接続だと遅くなる理由とその対策 - モーグルとカバとパウダーの日記
(追記) 実際に6/8〜9を終えて、想定していたようなトラブル問い合わせは(少なくとも自分のところでは)ほぼありませんでした。 利用しているルータの設定条件がいろいろ揃わないと起きないのですが、ある程度対応が進んだということだと思います。あとやはり、大手のところはAAAAフィルタ利用していたところあったので、それで問題が起きなかったというのもあると思います。 でも、もっと多くの人に影響出るように思ってそう書いてしまっていたので、申し訳ありませんでした。 (/追記) ちょうど1週間後、2011年6月8日の9:00〜9日の9:00までの24時間、World IPv6 Dayという、インターネット関連の会社が多数参加するIPv6対応の実証実験が行われます。 これはGoogleやYahoo!、Facebook等々の大手のWebサービス各社が、6月8日という時限的にIPv6での接続が出来るようにする
銀行の1日の取り扱い限度額の仕様がおかしい - モーグルとカバとパウダーの日記
今日ちょっと振込みをしなくちゃいけない件があって、んで1日の取り扱い限度額が100万とかなってるわけなのだけど、ちょうど100万振込みしないといけなかったのでした。 で、100万まで大丈夫だから当然100万振り込める、と思いません? が、なぜかATMの取り扱い限度額を超えるため振込み出来ないと機械に言われて振込できなかったのでした。 窓口で聞くと「振込み金額の100万に振込手数料210円がかかり、合計で限度額の100万を超えるから振込できない」とのこと。 正直目が点でした。 元々この1日の取り扱い限度額というのは、詐欺とか犯罪とかで利用されて、一度に大きな金額を扱えないようにするためのはずです。 なので「振込みや引き出しが出来る限度額」と考えるのが自然でしょう。 なのになんでそれに、取り扱いをする側が取る分の振込手数料まで入れて計算しちゃうのか? 銀行さん曰くはそうなっておりますので…とい
"この水着可愛い!すぐおっぱいポロンしちゃいそうだけど"とtwitterスパマーの偽装手法 - モーグルとカバとパウダーの日記
twitterでなんか良くわからん人からフォローされることがあるが、大抵の場合はスパマーだ。 程度によってブロックとかスパム報告とかするわけだが、敵も考えててスパム報告されにくいように偽装してる連中がいる。 今回はどうやら http://twitter.com/#!/stealthinu/status/443576211214336 へー、銀行とかローン会社がやってる信用情報って自分のぶんなら確認すること出来るんだな。結構めんどくさそうだけども。 / 3_16234.html http://htn.to/vd7gFd というtweetから「ローン」という言葉を引っ掛けてるbotに捕捉されてフォローされたっぽい。 それがこのbotのアカウント。 http://twitter.com/#!/yuryokin ぱっと見は普通のアカウントに見えるところがポイント。 しかし、やつらのほんとうの目的は
botnet使ってバイアグラスパムを撒いてたロシア人が捕まりスパムは6割減 - モーグルとカバとパウダーの日記
世界中に1日500億通!迷惑メール業者摘発 : 国際 : YOMIURI ONLINE(読売新聞) 「スパム」と呼ばれる手法で、バイアグラの模造品などの購入を呼びかけ、地元紙によると米欧などで過去3年半に1億2000万ドル(100億円)強の売り上げをあげた。調べによると、スパムイットを経営するイーゴリ・グセフ容疑者(31)は電子メールに含まれたウイルスで利用者のコンピューターを感染させるなどの手段で、1日に500億通もの広告メールを世界中に送り付けていた。 3年半で100億円も売り上げとは… そりゃスパムも撒くわ。 こいつはスパム送信専業だとすると、ここにスパム広告出稿してた会社があったのかな?それとも購入自体が詐欺というパターンだろうか? 強制捜査に先立ち、スパムイットは9月末に活動を中止 これはスパムの送信動向の調査結果からも読み取れる。 ソースは http://www.m86secu
インフラエンジニア勉強会(hbstudy #16)で「taRgreyで手間をかけずにスパム削減」をプレゼンしました - モーグルとカバとパウダーの日記
10/23に東京でインフラエンジニア勉強会(hbstudy)にてtaRgreyによるスパム対策の紹介してきます - モーグルとカバとパウダーの日記 の件ですが、無事プレゼンしてきました。 hbstudy#16 - インフラエンジニア勉強会hbstudy | 株式会社ハートビーツ 先に感想から。 ぜんっぜん本筋じゃないんですが、今回の勉強会はとにかく走ったなぁ… という印象です。 いや、個人的な理由でいろんなタイミングで電車とか時間に遅れそうになってしまって。 いちばんヤバかった長野への最終に乗るため新宿で走ったときには、特にid:ishikawa84gさんに超々お世話になりました。 東京ってたくさん人がいるから、まっすぐ走ろうと思っても人が邪魔で走れないんだもん。(といいわけ) そして勉強会も人が多かった。 88人だそうだから、僕が参加した勉強会でも一番人数が多かったんじゃないのかな?イン
Linuxでファイルディスクリプタが足りなくなりサービス停止障害 - モーグルとカバとパウダーの日記
今日、Web/メール等のサービスを稼働させてる自社のLinuxサーバが、突然サービスが停止してしまう障害が発生した。 特にメールでトラブルが広がっており、プロセス見るとdovecot deliverとpop3が多数止まっている状況だった。 ログを見ると、deliverは「still being delivered」というエラー、pop3は「Too many open files in system」等のエラーを吐いていた。 最初はメールだけのトラブルと思い、とりあえずdovecotとpostfixのstopを掛けたのだが、デーモンの親プロセスは死ぬもののdeliverもpop3もSTATが「D」や「Ds」となっていたため「# kill -9」しても死なず。 いくつかログを見たところ、ファイルシステムの障害は考えにくかったため、リブートするしかなかろうということで「# shutdown -r
「@ユーザー名」でtweetを送ってくるtwitterスパム『bittly.strangled.netスパム』 - モーグルとカバとパウダーの日記
@babyjatotttc というtwitterスパマーからスパムtweetが来た。 これまでtwitterでスパムというと、エロ系アイコン使ったフォロースパムか、Mobsterスパム*1というのが目立ったところだと思う。 このtwitterスパマーの手法は、メールのスパムと同じように「@ユーザー名」でターゲットに開かせたいURL付きのtweetを送ってくる。 とりあえずこのtwitterスパマーを「bittly.strangled.netスパム」と呼ぶことにする。 tweetの内容は直近のtweetからランダムに拾ってくるっぽくて、自分にはスペイン語っぽいのがとどいた。 なのですぐにスパムだなとわかったが、直近のtweetだから、日本語のtweetが拾われている例もあった。ここは今後、ターゲットのLANGを見てそれに合わせて拾うtweetをかえてくるように進化するんじゃないかと思う。 ま
postgrey-1.33向けtaRgreyパッチ - モーグルとカバとパウダーの日記
新しいバージョンのpostgrey-1.33向けにtaRgreyのパッチを公開しました。 taRgrey自体の変更などはありません。 また、postfix-sleepパッチも、2.7.xに当たることを確認しました。 なにか不具合など見つけられた方は、ご報告いただけますとありがたいです。 http://k2net.hakuba.jp/pub/targrey-0.31-postgrey-1.33.patch http://k2net.hakuba.jp/targrey/ なんと2年ぶりです。 なんか新しい追加もしなくちゃ… (関連) postgrey-1.32向けtaRgreyパッチ - モーグルとカバとパウダーの日記 http://d.hatena.ne.jp/stealthinu/20080725/p1
VoIPから国際電話を掛けることで金をかすめ取る攻撃手法 - モーグルとカバとパウダーの日記
10年近く昔、まだ世の中はダイアルアップ接続が一般的だった頃、エロサイトに行くと動画を見るためにはこれをインストールする必要がある、と言われてexeを走らせると、勝手にダイヤルQ2*1経由でのインターネット接続に変更されてしまい、それで金をとられる、という詐欺手法があった。 その後、普通の契約のままではQ2が利用できないようにダイヤルQ2側で対策が取られると、今度はQ2ではなく国際電話で接続先を作るように進化した。 国際電話経由でインターネットにつなげてしまうわけだから、当然のように莫大な電話料金が掛かる。 しかしなぜ国際電話を掛けさせるようにするのか。 実は国際電話を掛ける先はアフリカの小国とかになっていて、そこの電話会社と裏でつながっており、そこからバックマージンをもらって儲けていたのだ。 しかし時は経ち、ダイアルアップ接続はすっかりすたれて、「電話回線」がつながっているPCはとても少
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
