逆引き localhost. でスパム送信
ついに出たね。びっくりした。
問題のIPアドレスってのは、203.210.150.79なんだけど(悪いけど俺は隠さないよ)、この逆引きを引いてみると…。
$ dig -x 203.210.150.79 ;; QUESTION SECTION: ;79.150.210.203.in-addr.arpa. IN PTR ;; ANSWER SECTION: 79.150.210.203.in-addr.arpa. 86272 IN PTR localhost. ;; AUTHORITY SECTION: 150.210.203.in-addr.arpa. 86272 IN NS vdc-hn01.vnn.vn. 150.210.203.in-addr.arpa. 86272 IN NS hcm-server1.vnn.vn.
やるね!ベトナム人(かどうかわかんないけど)!!
この逆引きの何が恐ろしいかって、localhost. であることなんです。だいたいのOSの標準設定で/etc/hostsなんかに書いてあるのが
127.0.0.1 localhost
なんだけれども、SMTPのリレー許可リストに "localhost"と書いてみたり、/etc/hosts.allow に "localhost" と書いてみたりしていませんか?これは実は結構危ないんですよ?
と、そういう実例なんです。
どこの馬の骨とも知れないlocalhostがInternet上に存在するわけです。場合によっては全面的に信用してしまっているlocalhostが。
えー!と思った方、すぐさま/etc/hosts.allowを調べましょう。こないだAPNICで逆引き障害が起きたばかりだし、アクセス元制限を名前で書いちゃいけませんよ!
----追記。
$ whois 203.210.150.79 inetnum: 203.210.128.0 - 203.210.255.255 netname: VNPT-VNNIC-VN country: VN descr: Vietnam Posts and Telecommunications (VNPT) descr: 23 Phan Chu Trinh st., Hanoi capital, Vietnam (以下略)
こんなことやるの誰だよ!と思ったら、128C持ってるISPでした。と、いうのはこの記事↑部分を書く時点で調査済みだったんだけれども、もっと驚きの事実。
このISP、けっこう広大な範囲の逆引きにワイルドカード設定やってくれてます。
$ dig -x 203.210.150.xxxxxxxxxxx (略) xxxxxxxxxxx.150.210.203.in-addr.arpa. 86400 IN PTR localhost. (略)
xxxxは伏字でもなんでもなく。こんな逆引きありえないでしょ。けど、こんな問い合わせにも localhost. のお返事。
*.139.210.203.in-addr.arpa. IN PTR localhost. *.140.210.203.in-addr.arpa. IN PTR localhost. *.141.210.203.in-addr.arpa. IN PTR localhost. : : *.157.210.203.in-addr.arpa. IN PTR localhost. *.158.210.203.in-addr.arpa. IN PTR localhost. *.159.210.203.in-addr.arpa. IN PTR localhost.
きっと↑こんな設定をしているのでしょう。驚いた。ベトナム人の思うインターネットって俺にはわからない。21Cも!逆引きを localhost. にしているっぽいですよ。
これは誰に通報すれば良いんですかね。ベトナム人か?APNCか?