あるスパム送信者の環境
前にも少し書いた話なんだけれど。
PCを何台も置いてSPAM送信をやっている奴がいる。LAN環境に複数台のPCを置いて、配送用のメールサーバをqmailで立てているらしい奴。
俺宛にきたSPAMを例に話を進めます。
Subject: 柏木茜です。 From: 柏木茜 <boom_m4989@yahoo.co.jp> To: 俺 Date: Fri, 3 Mar 2006 20:54:40 +0900 (JST) X-Mailer: Becky! ver. 2.22.02 すいません・・・アドレス帳を整理していたんですが、 心当たりのないアドレスがあったんでメールしました。 昔にアドレス帳の方に名前も何も残さないまま登録してしまっていたようなので…。 本当に失礼だとは思うのですが、あなたのお名前とか、どちらの方だったかなど… ご迷惑にならない範囲で結構ですので教えてもらえませんか? 普段は自分の名前を英字でハンドルネームにして「akane」って言っているのですが、 覚えてらっしゃいますか? もしかしたらあなたのお名前だけでもわかれば思い出せるかも知れないので。 多分、ずいぶん前にアドレスを交換したんだと思うんですが…。
改行が途中なかったりと(↑は少し編集した)、素人を装った感じ。柏木茜なんて知らねーよ。お前こそどちらの方だよ。
さて、このメールのRecievedヘッダをみてみよう。SPAMだと判断した根拠がそこにあります。
Received: from localhost (d102.GtokyoFL38.vectant.ne.jp [202.215.137.102]) by 俺のメールサーバ with SMTP id k23BseD16587 for <俺>; Fri, 3 Mar 2006 20:54:40 +0900 (JST) Message-Id: <200603031154.k23BseD16587@俺のメールサーバ> Received: (qmail 12756 invoked from network); 3 Mar 2006 11:54:27 -0000 Received: from unknown (HELO 192.168.0.1) (192.168.0.70) by localhost with SMTP; 3 Mar 2006 11:54:27 -0000
タイムゾーンが -0000 になっているところで、localtimeパッチを当ててないqmailかな?と思わせる。Message-Idを俺のメールサーバがつけてあげてる所1つを見ても相手はqmailくさい。qmailはリレーするメールにいちいちヘッダをつけたりしない。そんなものはMUAがやれば良い、というわけだ。
と、そういう細かな特徴の前に、そもそも普通の家に配送用MTAがいるわけないじゃん。192.168.0.70というクライアントPCをMUAとして、192.168.0.1にメールゲートウェイ。そいつから俺のメールサーバにリレーしてきた、と読み取れる。タイムゾーンは-0000だし、ホスト名はlocalhostだから、設定したのはきっとド素人だろう。
というわけで、ここで一つの仮説。素人がメールゲートウェイとしてMTAを立ち上げたこの環境、インターネット側からもSMTPポート25番開けてるんじゃないか。さてやってみよう。
$ telnet 202.215.137.102 25 Trying 202.215.137.102... Connected to 202.215.137.102. Escape character is '^]'. 220 localhost ESMTP EHLO 250-localhost 250-PIPELINING 250 8BITMIME MAIL FROM: <stop-spam@localhost> 250 ok RCPT TO: <stop-spam@localhost> 250 ok QUIT 221 localhost Connection closed by foreign host.
あらあら、本当に思ったとおり。localhost宛のメールは受け取ってくれそうですよ。
これはどういうことかというと、localhost宛のメールをこのサーバに山ほど送ると、SPAM送信業者のMTAを溢れさせることができ、SPAM業者がインターネットに配送するメールが出せない状態、つまりSPAMの標的になってしまったISPやら企業のMTAと同じ状況を作ることが出来る(やっちゃダメだよ)。
さて、この話はSPAM送信業者のメールサーバを溢れさせるための話じゃない。SPAM業者はメールサーバを自前で用意する時代になったということ。かつて、インターネットに接続するというのは、インターネットに参加することだった。利用者と提供者の区別は今ほどなかった。誰もがサーバになれた。このことはインターネットを広げる基礎になり…
と、そんな話はどうでもいいや。やっぱOP25Bというアレ、Outbound Port 25 Blockですよ。やっぱ必要なんだろうなぁ。迷惑だなぁ。