2004年10月23日
| 「X-IPのその後」(行動記録/日記) | ◇ ◀ ▲ ▶ |
「MIMEヘッダーにあるX-IPとは何?」で謎のMimeフィールドであるX-IPでスパムが区別できるかもしれないと書いた。
ほぼ2週間たって実際どうであったのだろうか。
次のグラフはこの10月11日から10月23日までの約12日半のスパムの状況である。
グラフの 下側の紫のラインは自動削除からもれたメールの数、 上側の青色のラインは自動削除ツールが削除したメールの数、 そして下側の緑色のラインは削除されたメールのうちX-IPを含んでいたために削除されたメールの数である。 この2週間自動削除からもれたものがあっても自動削除ツールに登録していない(普段はだいたい週に2回ほどやっている)。
過去1ヶ月とくらべるとやや自動削除されたメール数が増えたような感じがする。 一方、削除もれはその分だけ減ったという感じである。 というより、X-IPで自動削除された分のおかげで削除漏れが半減している。
自動削除の内訳は次の通りである。
| X-IP | 53 | X-IP単独のものは約半数の26 |
| 常連 | 125 | 常連その1は111個、その2は14個 |
| 偽HELO | 17 | SMTPのHELOコマンドで自身を偽っている |
| RFC850違反 | 2 | Message-IDが規約違反 |
| その他 | 42 | |
| 合計 | 230個 | 全652メール中230がスパム!(多すぎ!) |
合計が合ってないのは、重複してカウントされているものがあるからである。 この半年で常連の数が徐々に増えているのが気になるところだが、それはちょっとおいておく。 X-IPで削除されたメールで、実際にスパムでないメールはゼロだった。
結論として、X-IPフィールドの有無でスパムかどうかを見分ける方法の効果はずいぶんとあるということである。 これまでスパムを受け取るたびにいちいち登録していたのだが、 新規登録かどうか調べwhoisでIPのレンジを調べ場合によっては 登録済みのエントリーのIPレンジを広げるといった、 その、きわめてかったる~い作業の手間がかなり省けた。
問題は依然としてX-IPの用途が不明であるということだろう。 いまのところは、スパム送信ツールかスパムを許容するISPのMTAがつけているのだろうと推測できることぐらいしかない。 検索してもX-IPの意味は調べる事ができなかった。 X-IPの存在に気付いたのはつい最近のことだが、 ログを調べて過去の削除状況をみてみるとこのフィールドが現れ始めたのはだいたい夏ごろからである。 おそらく最新のスパムツールが使うようになったフィールドであろう。
一番恐いのはX-IPフィールドの用途が極めて善良なもので、 あるときから突然自分宛のメールを軒並み削除してしまうことだ。 不気味な存在ではあるが、 いまのところはとりあえず実害がででないのでよしとしよう。
しかし、今回の調査で3人の人間からの合計6通がスパムでないのにスパムと判定されてしまっていることがわかった。 念のため過去のログも全てあさってみたが他にはなかったようだ。 ちょっと安心。
これらはどれもブラックリストにのったIPレンジから発信されており、X-IPフィールドがあるわけではない。 単純にかつて何度かスパムが発信されたIPのレンジと同じレンジから発信されたメールであるというだけだ。 ただ、どれもメーリングリストで送られてきたものであったのであまり実害はでていない。 ホワイトリストへのエントリーの追加方法を少し改良する必要がありそうだ。
追記:
月曜日になってから、この2週間で削除もれになっていたスパムを整理した。 X-IPのおかげで大方は半減しているはずなのに、 土曜日以降なぜか大量のスパムがたまっている。クソッ。
調べてみると、その増分のほぼ全部が同じところから来ている。 そんな一挙にまとめてスパムを送ることもないだろうに…。 スパムを送信すると小銭が稼げるという今の仕組みがあるかぎり亡くならないんだろうなぁ。 かんべんしてよ>中国
IPレンジは61.191.0.0-61.191.255.255で、 NetNameがCHINANET-AHで Anhui province network China Telecom CN というところだ。 で、このレンジは、どうもnslookupとかwhoisとかで調べた内容がおかしい。 検索する内容によってはもしかしてDNSもおかしくないかい? 思い違いだろうとは思うが、プロバイダーによる組織ぐるみの送信が行なわれているのではないかと疑いたくなってくる。
「X-IPのその後」へのコメント コメントを書く
「X-IPのその後」へのトラックバック