DNSBLやGreylistingを突破する大量のSPAMメールについて

なんじゃこりゃ？！

と言いたくなるくらい、まさに今、メールボックスが悲惨な事になってる。
1つのアドレスに 100 ～ 200通ほど、以下の内容のSPAMメールが届いてる。

   洗練された英文ライティングを実現!
    単調な文章も、一瞬で洗練された英文に！
    文法、スペル、句読点のチェックに加え、 英英辞書とシソーラス(同 意語辞典)機能で完璧なライティングを可能に。

          a 文法チェック a 文章の修飾 a シソーラス(同意語辞典)
          a スペルチェック a 英英辞書 a 英文テンプレート

    購入!

件名（Subject）についてはこんな感じ↓でランダム。（といっても幾つかのパターンだが）

英文を洗練させる最善の方法
次の E-mail では、さらに洗練されるでしょう。
誰にもあなたの英語力の秘密を知られることはありません
このソフトは、あなたの英文を向上させます
正しいスペルを思い出せませんか？私たちがお手伝いします。
非常に簡単にプロに近いライティングが可能
格調高い英文レター
パーフェクトな英語のための手段が、ここにあります
かつてないほど完璧な E-mail。
ライティングを向上させる最も手軽な方法
自分の英語力が完全でないとお感じなら、このソフトをお使いください。
英語スキルをアップグレードしましょう
あなたの英語スキルが向上します
究極のスペルおよび英文法チェックツールを体験してください
受賞歴を誇るスペルおよび英文法チェックツール
もっと上手い言い方は？
アメリカのネイティブスピーカーのようなライティングも夢ではありません

差出人アドレスもこんな感じ↓でランダム。

umaba_shino@reach.ic.org
yoshizawa_yuna@remoteworking.info
BouzukiRan@orientaltranny.com
FujimuraManabu@ozas.itg.lt
Kamei-@phonebookofguatemala.com
Saikawa.Akemi@realsunglasses.com
Shikikawa.Sachiko@reliefuk.org
Tagami-Kawa@organizados.org
kudoumiwa@page2page.net
horikawahojo@painkill.net
ito.leiko@palmcourt.net
fukumoto-masu@petley.net
shiniakimi@pazova.net
・・・・・

と、こんな感じでこちらは数限りなくありそうなので、このあたりにしておく。

差出人アドレスのドメイン部分（@以降）が存在しないドメインである場合はMTA（Postfix）で拒否するようにしているので、それでも届くということは上記アドレス群のドメインは全て存在するドメインなんだと思う。

で、やっかいなのがリレー元MTAのIPアドレスで、これも以下の通り大量にある。

83.30.72.40
92.82.11.172
121.246.209.44
213.227.246.142
82.232.126.166
78.162.167.215
77.51.129.184
88.238.122.17
89.139.232.114
94.99.91.176
83.7.155.131
94.178.72.224
60.45.186.31
89.201.146.39
89.149.62.54
61.198.98.107
79.165.213.173
95.56.12.13
78.165.232.225
・・・・・

あー、もう大量にありすぎて晒しきれないのがムカつく（笑）

DNSBL制限もすり抜けてきているので、この、今日1日で数えるだけで200個くらいありそうなIPアドレス全てが未だ世界中のDNSBLにも登録されていない（？）

で、最もイタタタなのが、Postgrey導入によって効果てき面！Dis率90%以上を誇っていたGreylistingも全て突破してきてるぅぅぅ！！

Greylistingとは？: ホワイトリスト（接続許可リスト）でもなく、ブラックリスト（接続拒否リスト）でもなく、グレーリスト（受信可否判断待ちリストとでも呼ぶ）を用いた受信制限のこと。Greylistingを実装するMTAはメール受信時、まずは全てのメール送信元（MTA）に対して「一時配送エラー」を返し、送信元IPアドレスをグレーリストに加える。「まともな」メール送信元（MTA）であれば、「一時配送エラー」を受け取った場合、一定期間経過後にメールの再送を試みる。メールの再送がなされた場合、その接続元（MTA）のIPアドレスを「お行儀の良いMTAである」とみなして、グレーリストから削除し、ホワイトリストに追加し、メールを受信する。SPAMメール送信元（MTA）は単位時間あたり出来るだけ多くのメールをばら撒こうとするため、「一時配送エラー」を受け取った場合はわざわざ再送することをしない。このSPAMMERの挙動を逆手にとったものが「Greylisting」による受信制限である。

これら突破されたメールがどれくらいの間隔で再送されているのかを調べると、ほぼ全てが「1020秒～1050秒」の間で再送されてきていることがわかった。明らかにGreylistingすり抜け対策だ。

これだけの数のネットワーク上のMTAを駆使して、Greylistをすり抜けるようなメール送信方法を全てのMTAが実装してるってことは、spam送信プログラムがopen relayなMTAを利用しているのではなく、自身がMTAになってSMTPしゃべってるんだろう。
これがいわゆるボットネットを利用したSPAMメール送信ってやつですか？こんなに強烈なのは初体験です。

いよいよベイジアンフィルタ導入せねばならんのか？？

最後に、大量SPAM被害前と後でのPostfixのログのサマリをご覧頂いてお別れします。

■被害前

Grand Totals
------------
messages

    290   received
    144   delivered
      0   forwarded
      0   deferred
      0   bounced
    425   rejected (74%)
      0   reject warnings
      0   held
      0   discarded (0%)

    896k  bytes received
    896k  bytes delivered
    133   senders
    130   sending hosts/domains
      5   recipients
      2   recipient hosts/domains

Per-Day Traffic Summary
    date          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    Jan 16 2009        88         44          0          0        203
    Jan 17 2009       202        100          0          0        222

Per-Hour Traffic Daily Average
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100           1          1          0          0         25
    0100-0200          82         41          0          0         68
    0200-0300          18          9          0          0         19
    0300-0400           0          0          0          0          3
    0400-0500           1          1          0          0          3
    0500-0600           2          1          0          0          6
    0600-0700           1          1          0          0          2
    0700-0800           1          1          0          0          4
    0800-0900           2          1          0          0          2
    0900-1000           3          2          0          0          4
    1000-1100           4          2          0          0          4
    1100-1200           4          2          0          0          8
    1200-1300           1          1          0          0          3
    1300-1400           5          3          0          0          8
    1400-1500           3          2          0          0          2
    1500-1600           3          2          0          0         14
    1600-1700           2          1          0          0          4
    1700-1800           0          0          0          0          7
    1800-1900           0          0          0          0          4
    1900-2000           1          1          0          0          4
    2000-2100           4          2          0          0          6
    2100-2200           3          2          0          0          9
    2200-2300           3          2          0          0          8
    2300-2400           1          1          0          0          3

■被害後

Grand Totals
------------
messages

   1038   received
    517   delivered
      0   forwarded
      0   deferred
      0   bounced
   1021   rejected (66%)
      0   reject warnings
      0   held
      0   discarded (0%)

   3628k  bytes received
   3628k  bytes delivered
    504   senders
    497   sending hosts/domains
      5   recipients
      2   recipient hosts/domains

Per-Hour Traffic Summary
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100           0          0          0          0          0
    0100-0200           0          0          0          0          0
    0200-0300         104         52          0          0        122
    0300-0400         133         66          0          0         80
    0400-0500          32         16          0          0         97
    0500-0600         160         80          0          0        126
    0600-0700          24         12          0          0         54
    0700-0800          38         19          0          0         10
    0800-0900           8          4          0          0         19
    0900-1000          54         27          0          0         61
    1000-1100          22         11          0          0         17
    1100-1200           6          3          0          0          5
    1200-1300           0          0          0          0          4
    1300-1400           6          3          0          0         15
    1400-1500          46         23          0          0         47
    1500-1600          16          8          0          0          7
    1600-1700          15          7          0          0         44
    1700-1800          40         20          0          0         47
    1800-1900         283        140          0          0        248
    1900-2000          51         26          0          0         17
    2000-2100           0          0          0          0          1
    2100-2200           0          0          0          0          0
    2200-2300           0          0          0          0          0
    2300-2400           0          0          0          0          0

※1/22追記

SPAMをはじめとする「迷惑メール」発信元のIPアドレスをブラックリスト化したものを「RBL」と今まで呼んでたけど、どうやらメールに限らず、色々なプロトコル上で迷惑な振る舞いをするIPアドレスの一覧データベースのことを「DNSBL」と呼んで、「RBL」は「DNSBL」のイチ実装に過ぎず、かつ、登録商標を持つシステム名に過ぎない（※1）みたいなので、本投稿中の表記を「RBL」⇒「DNSBL」へと修正した。

※1 携帯用音楽プレーヤーのことをウォークマン（今ならiPodか？）、ゲームのことを「ファミコン」と呼ぶのと同じようなもんか？