あるスパム送信者の環境

前にも少し書いた話なんだけれど。
PCを何台も置いてSPAM送信をやっている奴がいる。LAN環境に複数台のPCを置いて、配送用のメールサーバをqmailで立てているらしい奴。
俺宛にきたSPAMを例に話を進めます。

Subject: 柏木茜です。
From: 柏木茜 <boom_m4989@yahoo.co.jp>
To: 俺
Date: Fri, 3 Mar 2006 20:54:40 +0900 (JST)
X-Mailer: Becky! ver. 2.22.02

すいません・・・アドレス帳を整理していたんですが、
心当たりのないアドレスがあったんでメールしました。
昔にアドレス帳の方に名前も何も残さないまま登録してしまっていたようなので…。
本当に失礼だとは思うのですが、あなたのお名前とか、どちらの方だったかなど…
ご迷惑にならない範囲で結構ですので教えてもらえませんか？
普段は自分の名前を英字でハンドルネームにして「akane」って言っているのですが、
覚えてらっしゃいますか？
もしかしたらあなたのお名前だけでもわかれば思い出せるかも知れないので。
多分、ずいぶん前にアドレスを交換したんだと思うんですが…。

改行が途中なかったりと(↑は少し編集した)、素人を装った感じ。柏木茜なんて知らねーよ。お前こそどちらの方だよ。
さて、このメールのRecievedヘッダをみてみよう。SPAMだと判断した根拠がそこにあります。

Message-Id: <200603031154.k23BseD16587@俺のメールサーバ>

タイムゾーンが -0000 になっているところで、localtimeパッチを当ててないqmailかな？と思わせる。Message-Idを俺のメールサーバがつけてあげてる所1つを見ても相手はqmailくさい。qmailはリレーするメールにいちいちヘッダをつけたりしない。そんなものはMUAがやれば良い、というわけだ。
と、そういう細かな特徴の前に、そもそも普通の家に配送用MTAがいるわけないじゃん。192.168.0.70というクライアントPCをMUAとして、192.168.0.1にメールゲートウェイ。そいつから俺のメールサーバにリレーしてきた、と読み取れる。タイムゾーンは-0000だし、ホスト名はlocalhostだから、設定したのはきっとド素人だろう。
というわけで、ここで一つの仮説。素人がメールゲートウェイとしてMTAを立ち上げたこの環境、インターネット側からもSMTPポート25番開けてるんじゃないか。さてやってみよう。

$ telnet 202.215.137.102 25
Trying 202.215.137.102...
Connected to 202.215.137.102.
Escape character is '^]'.
220 localhost ESMTP
EHLO
250-localhost
250-PIPELINING
250 8BITMIME
MAIL FROM: <stop-spam@localhost>
250 ok
RCPT TO: <stop-spam@localhost>
250 ok
QUIT
221 localhost
Connection closed by foreign host.

あらあら、本当に思ったとおり。localhost宛のメールは受け取ってくれそうですよ。
これはどういうことかというと、localhost宛のメールをこのサーバに山ほど送ると、SPAM送信業者のMTAを溢れさせることができ、SPAM業者がインターネットに配送するメールが出せない状態、つまりSPAMの標的になってしまったISPやら企業のMTAと同じ状況を作ることが出来る（やっちゃダメだよ）。

さて、この話はSPAM送信業者のメールサーバを溢れさせるための話じゃない。SPAM業者はメールサーバを自前で用意する時代になったということ。かつて、インターネットに接続するというのは、インターネットに参加することだった。利用者と提供者の区別は今ほどなかった。誰もがサーバになれた。このことはインターネットを広げる基礎になり…

と、そんな話はどうでもいいや。やっぱOP25Bというアレ、Outbound Port 25 Blockですよ。やっぱ必要なんだろうなぁ。迷惑だなぁ。