スパムメールが独自ドメインの自宅メールサーバーに届く様になった。メールアドレスは一般には公開していない。それでも届くのにはUNIX系OSにほぼ共通の仕組みがあるからだ。そうシステムアカウント宛に送って来ているのだ。これはUNIX使いとしての暗黙のルールを破った事になる。
それだけではない。From欄も詐称して自分が自分に送った様に偽装しているのだ。流石にカチンと来た。ここまでやられると、無視しようというよりは完全に阻止してやろうと言う気になる。こういう奴は放置していてはいけないと、妙な正義感が沸いてくるから不思議なものだ。
何故システムアカウント宛に送り付けるのが常識はずれなのか?私はまだUNIXの事を良く知らない頃にメールキューで痛い思いをした事がある。我が家のメールサーバーはモニターはもちろん、キーボードも接続していない。操作はリモート(SSH)のみだ。
暗号化された通信が行えるとは言え、基本的にSSHはrootユーザーでログインする事は出来ない。またその制限を取り除くのも良くないと思う。原則としてwheelユーザーでログインして、suになるのが基本的な使い方だと学んだ。
しかし、そんな状態でroot宛のメールが届いて、rootでログインしないとroot宛のメールは読み出せない。また届いている事も分からないのだ。まぁこれはOSをインストールした直後の設定に抜けがあるから、管理者の問題でもあるのだが、デフォルトでそこまで設定がされていないUNIXの盲点を突くのは、本当にマナー違反だと思うのだ。
では、どうすれば良いのか?それは簡単な設定で回避する事が出来る。/etc/aliasesを編集して、root宛のメールをwheelユーザー宛に転送する事だ。システムアカウント宛のメールは、rootに転送される様に設定されている。殆どのシステムアカウント宛のメールはrootに転送されるのだ。ならばそのroot宛のメールを自分のアカウントに転送しておけば良い。
$ su –
# vi /etc/aliases# Person who should get root's mail ←これはコメント行
root: sasapurin
忘れてはいけないのは、/etc/aliasesを編集した後に、おまじないのコマンドを一発実行する事だ。
これを忘れると何時まで経っても転送されてこないので要注意である。
# newaliases
これで自分(sasapurin)宛に、root宛のメールが転送されてくる。
メールサーバーを立てた時は、これをやっておかないと痛い目に逢うので忘れない様にしよう。私は幸いメールサーバーを立てる前に学習したので、まだ被害らしい被害は受けなかった。
という訳で、ただでさえウザいスパムなのに、うっかりミスや人為的なミス、盲点を突こうといういやらしいスパムはサイテイのサイテイである。断固として対抗する為にメールヘッダを「aguse.net」で解析してみた。
ちなみにメーラーは「Mozilla Thunderbird」を使用しているのだが、どうやってメールヘッダを表示させるのかちょっと迷った。「表示」-「メッセージのソース」で生メールが見られるのでヘッダ部分を「aguse.net」のメールヘッダ解析にコピペで診断開始。
直ぐに身元が判明し、イスラエルから送られてきたスパムだと分かった。
89.0.156.185.dynamic.barak-online.net
Barak I.T.C
89.0.0.0 – 89.1.255.255
Barak I.T.C
15 Hmelacha St Rosh Ha'ayin
Israel 48091
Send Spam and Abuse complaints to hogehoge…
最後の一行に、スパム情報をhogehoge(念のためhogehogeに編集)に送ってくれと書いてあるが、そんな事は知ったこっちゃない。ウザイのでキックだ!
あらら、スパムリストの幾つかにも登録されている様で、どうやら悪質なIPアドレスもしくはドメインだと言う事が想像出来る。いずれにしてもイスラエルなんかに用はないので、とっととdenyしてしまおう。HPもBlogも見て貰わなくて結構。iptablesで広域ブロック発動だ。
さて、iptablesで蹴るとしたら、やっぱり「89.0.0.0 – 89.1.255.255」のアドレスを蹴りたい。
CCNAの勉強でサブネットマスクの概念は理解してたけど直ぐには思い出せない..orz
色々調べてみたら徐々に思い出してきた。
要するに第1セグメントは同一の89だから、まず8ビットはマスク決定。
次に第2セグメントは0と1の違いが生じているけど、89.0.x.xと89.1.x.xだから7ビットマスクすれば良いハズ。つまり8+7=15ビットマスクである。
分かり易く、二進数標記にして比較してみた。xの所が一致でoは不一致の部分。
01011001-00000000-00000000-00000000
01011001-00000001-11111111-11111111
xxxxxxxxx-xxxxxxxxo-oooooooo-oooooooo
という事で、
89.0.0.0/15 CIDR形式
もしくは
89.0.0.0/255.254.0.0 だな
iptablesの記述は下の方のサブネットマスク標記だから、下の方(CIDR形式ではない方)の標記を使う。
手順とか参考リンクは、私のLinuxのページの備忘録掲示板に記しておいたので、興味のある人は参考にして頂ければ幸いである。もちろんこれは自分の為の備忘録である。
ついでに、Excelで作成したIPアドレスとサブネットマスクの確認シートもアップしておきます。
【ファイルをダウンロード】
サブネットマスクについて勉強中の初級者には参考になるかも知れません。私の頭の中の理解図をそのままExcelの表にしたものなので、もしかしたら全然意味が分からないかも知れませんが。一応ウイルスチェック終わってますが、ダウンロードしてからもチェックして下さいね。マクロは使っていませんし、VBAは使いこなせないので安全なハズです。(関数のみで作っているしセルを隠しまくっているのでベタな作りですが、作りを追いかける事は出来ると思います。)
こちらさんに、詳しい解説があるし、WindowsでWhoisしたりするツールも公開して下さっています。
勉強している人は是非訪れてみて下さい。っていうか色々と応用出来る情報が満載だな。(._.)φ
SPAM対策やらロボット対策やらの関係文書
コメント