コアサーバーで1日1000件以上のスパムメール(From詐称され 宛先:@qq.com)が来たから緊急で対応した

お客さんからスパムメールが1000件以上くるので助けてと連絡があった。

顧客のメールボックスを確認したら確かに恐ろしい数のメールが溜まっている。

メールボックスは、件名「failure notice」というメールで溜まっている。

spam001

1分で4,5通くるので、1時間で300通、1日で7200通だ。

 

中身を確認するとこんな感じ。
(改行加工しています。)

Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<452487590@qq.com>:
103.7.30.40 failed after I sent the message.
Remote host said: 550 Connection frequency limited.
http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&
no=1000722

--- Below this line is a copy of the message.

Return-Path: <こちらのメアド>
Received: (qmail 27841 invoked by uid 89); 23 Sep 2016 01:22:39 
+0900
Received: from unknown (HELO xncgaxptya) (こちらのメアド)
  by xxx.coreserver.jp with SMTP; 23 Sep 2016 01:22:39 +0900
Message-ID: <2618F6F6DED910B3AFD436FE2C3465F9@xncgaxpt
ya>
From: "uomjpk" <こちらのメアド>
To: <452487590@qq.com>
Subject: =?utf-8?B?5bCK5pWs55qE56ysMjIyNjPkvY3nlKjmiLc=?=
Date: Fri, 23 Sep 2016 00:22:30 +0800
Mime-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_04FD_018EE44B.1FE96090"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7600.16385

This is a multi-part message in MIME format.

------=_NextPart_000_04FD_018EE44B.1FE96090
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: base64

Fromで顧客のメアドが詐称され、qq.comというドメインへメールし、顧客のメアドに宛先不明メールとしてエラーメールがきているという状態。

エラーメールを発行しているのは、顧客のメールサーバー。

スパムメールのFrom詐称はやっかい。現在のメールシステム上、防ぎようがない。

さてどうしたものかと、いうことで、対応したことをメモしておきます。

前提として、レンタルサーバーは、コアサーバー(coreserver)です。

スパムメール99% qq.comが宛先だったので、これを除外した

コアサーバーには、メールアドレス一つ一つにフィルター条件を加えることができます。

spam002

受信方法:破棄
カスタムフィルターにチェック

これでカスタムフィルターをクリックすると、フィルター設定画面が表示されます。

こちらの画面で上から順番にメールにフィルターや加工することができます。

1番目のフィルターの設定

spam004

本文に”service.mail.qq.com“を含むメールを削除

qq.comが入っていれば、何でも良かったのですが、連続した文字の方が確実かなということでこのようにしました。

「確実かな」という意図ですが、正しいメールを削除してはダメなのでという意味です。

あと、この設定を初めて触る方は、いきなりメール削除って怖いと思うので、適当なメールアドレス(捨てアド)を作成してそこに転送するというのも有りです。

で、あとで適当メアドの中身を見てスパムメールだけフィルタされているなと確認できれば、上記のように削除設定すればよいかなと。

削除の代替として使う転送設定は、以下のような感じです。

spam006

本文に”service.mail.qq.com“を含むメールを削除

捨てアドに転送する

2番目のフィルターの設定

spam005

全体が”.*”を含む

“./”に振り分ける

1番目で削除または転送したのち、残ったメールをメールボックスに残してねという意味になります。

 

1日経過して、qq.comのドメインを変更してきたので、新たな手をうった

1日1000件というエラーメールは、回避できたが、1日経過して、メールボックスを再チェックするとパラパラと同じ類のエラーメールがきていた。

メールの最初だけ抜粋するとこんな感じでした。
(改行加工しています。)

 

Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<15059903003@139.com>:
221.176.66.188 failed after I sent the message.
Remote host said: 550 2f2257e6394ac09-e075e Mail rejected

----------------------------

Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<1412806080@pp.com>:
23.235.208.237 does not like recipient.
Remote host said: 550 No Such User Here
Giving up on 23.235.208.237.

----------------------------

Delivery has failed to these recipients or groups:

13808525185@138.com<mailto:13808525185@138.com>
The email address you entered couldn't be found. Please check 
the recipient's email
address and try to resend the message. If the problem continues, 
please contact your
helpdesk.

-----------------------------------



Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<134535125@163.com>:
220.181.14.163 does not like recipient.
Remote host said: 550 User not found: 134535125@163.com
Giving up on 220.181.14.163.

------------------------------------


Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following
 addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<11221121@qq.co>:
Sorry, I wasn't able to establish an SMTP connection. (#4.4.1)
I'm not going to try again; this message has been in the queue 
too long.

-----------------------------------


Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<06@126.com>:
220.181.15.135 does not like recipient.
Remote host said: 550 User not found: 06@126.com
Giving up on 220.181.15.135.

-------------------------------------


Hi. This is the qmail-send program at xxx.coreserver.jp.
I'm afraid I wasn't able to deliver your message to the following 
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<1179650851@126.com>:
220.181.15.152 does not like recipient.
Remote host said: 550 User not found: 1179650851@126.com
Giving up on 220.181.15.152.

--- Below this line is a copy of the message.

 

 

ドメインを微妙に変更して、qq.comが、qq.co、qq.cn、数字3桁.comなどである。

全て調べたら、中華系のドメインであった。

ドメインで対応するのは、キリがないので、あまりやりたくないが、エラーメールの本文でフィルターをかけるようにした。

追加したフィルター①

spam008

本文が”Remote host said: 5“を含む

捨てアドに転送する

追加したフィルター②

spam007

本文が”SMTP connection“を含む

捨てアドに転送する

追加するフィルターは、上述した
本文に”service.mail.qq.com“を含むメールを削除
の設定の次に追加します。

 

最後は、絶対に

全体が”.*”を含む

“./”に振り分ける

で終わってください。

でないと、通常のメールが受け取れないですから。

 

これで様子見かなーと。

ただ、このフィルターやりたくないと思ったのは、一般的なエラーの文言なんだよね。

“Remote host said: 5”

“SMTP connection”

のどちらも。

 

だから、本当に自分が宛先を間違えて帰ってきたエラーメールまでスパム扱いされてしまう可能性もある。

ただ、通常のメールやりとりで、宛先不明でエラーメールになる可能性は著しく低い確率だから、いいかなと思いました。

 

今回のスパムメールの目的は、リファラ―スパムと同じか。

スパムメールの内容は、単に宛先不明のエラーメールがたくさんくるというだけで、クリックしてみたいなリンクは一切ない。誘導先としてあるのは、気になるqq.com数字3桁.comなどのドメインのみ。

アクセスしてみたら中国のカジノ系やメディア系のサイトにつながった。

これが目的か!?

ということは、スパムメールを受信した方にドメインアクセスを促すということか。意味あるのか?

こんなことができる知能を、もっと社会に役立つことに使えばいいのにとつくづく思う。

まとめ

ここ2、3年スパムメールで特別な対応ってあまりしたことなかったが、今回特別対応としてフィルターを追加した。

ドメインのメアド全部やられたわけではなく、たった1つのメアドだけだったので、そのメアドのみスパム業者の手にわたったと考えている。が、他のメアドもバレたらやっかいだな。。。