徒然なるままに

 自前のメールサーバを停止 これまで、自ドメインのメールサーバはVPS上に構築していた。 ・Ubuntu Server ・Postfix ・Dovecot ・spamAssassinと、BlackListの利用 Spam対策を行ってきたし、サーバ上でメールをトリガーにして各種プログラムを動かしたりしてきた。 メールサーバのメンテナンスは結構面倒くさくて、 　・Disk容量のチェック 　・不正アクセスのチェック 　・各種セキュリティパッチの適用 など、手間がかかる。 そこで、外部のサーバを利用することに…。 結構安くて使い勝手の良さそうなのが、「さくらのメールボックス」 3年契約で、3070円とな…。 　メールアドレスは自分のだけなので、20GBまで利用可能！ 　（Gmailより大きいねぇ） ということで、早速契約。 アカウント設定を行って、既存のDNSを書き換える。WHOISも書き換えて完了。 SMTPとIMAPが利用できればOK。 ちょうど、GoogleがSPF設定していないと受信しないし、DKIMおよびDMARCに対応していないメールを弾くようになったので、対応しているのを確認。 さくらサーバ自体は、これまでお客さんのサーバとして何件も利用しているので、利用方法も難しくはない。 　Webメールにも対応しているので、いざという場合にもありがたい。 ということで、各メールソフトの設定を変更。 　PC（常時使用する3台）とタブレット、スマートフォンと台数は多いがそれ程手間はかからない。 問題は、旧サーバで送受信したメールの履歴だけれど、これはThunderbrdを使ってローカルに保存することで回避。 　本当は、サーバtoサーバでMailboxに残そうとも考えたんだけど、古いメールはそれ程必要ないし、ローカルにバックアップしてあれば凌げるので、良しとする。 移行時にDNSの反映で若干時間がかかったものの、問題なく送受信できるのを確認して、作業完了。 　これでメンテナンスの手間が減るので、安いもんです。

何だかなぁ…という詐欺メール  どうも本日あちこちに送信しているらしい。 僕のところだけで、2通入っていました。 以下に、メール本文をまるっと載せておきます。 ちなみに、この手のメールは似たようなものがわんさか出回っていますので、引っかかる人はいないと思いますが…。 一応、BitCoinの口座から状況を調べてみた。 Bitcoin Abuse Database  によると、本日一斉に送っている感じです。 口座には、一切 Transaction が発生していないので、誰も送っていないことが分かります。 （ www.blockchain.com ） Web上の管理者宛など公開されているアドレスに対して送っているようですね。 ちなみに、ヘッダ情報を見る限り、パキスタンやタンザニアのIPから送出されているので、自前で踏台を持っているか、その手の業者に依頼しているかって感じですね。 利用しているメーラ情報が正しければ、XP上のOutlook Express6とWindows7用のLive Mail使用しているっぽいので、推して測るべし…。 てな感じです。 日本語としては、比較的丁寧なのが笑えます。 どうも、こんにちは。 まずは自己紹介をさせていただきますね。私はプロのプログラマーで、自由時間ではハッキングを専門にしております。 今回残念なことに、貴方は私の次の被害者となり、貴方のオペレーティングシステムとデバイスに私はハッキングいたしました。 数ヶ月間、貴方を観察してきました。 端的に申し上げますと、貴方がお気に入りのアダルトサイトに訪問している間に、貴方のデバイスが私のウイルスに感染したのです。 このような状況に疎い方もいらっしゃいますので、より細かく現状を説明いたします。 トロイの木馬により、貴方のデバイスへのフルアクセスとコントロールを私は獲得しています。 よって、貴方の画面にあるもの全てを閲覧、アクセスすることができ、カメラやマイクのON/OFFや、他の様々なことを貴方が知らない間に行うことが可能です。 その上、貴方のソーシャルネットワークやデバイス内の連絡先全てにもアクセスを行いました。 なぜ今までウイルス対策ソフトが全く悪質なソフトウェアを検出しなかったんだろうとお考えではないかと思います。 実は、私のスパイウェアは特別なドライバを利

 AppleIDへのアクセスが有ったと… ちょうど、Apple Silicon の M1 MacBook Proを入手した直後だったので、あれ？と思って良く読んでみたら…。 う〜ん、文面を見た限り、怪しそうに見えない日本語で書かれていました。 もちろん、送信先のアドレスは、hello@havenly.com なんてみえみえで笑えますが…。 メールアドレスを見れば、すぐ気づくレベルです…。 でもって、ログインのリンク先は、「https://links.m.havenly.com/ls/click?upn=...」ともうAppleとは全然関係ないし…。 なので、この手のメールに慣れている人は、欺けないですが、パッと見は騙されそうなレベル。いかにも怪しい日本語なら誰もが気づくでしょうが… 一応、メールヘッダを確認すると、 接続先は、コロラド州・USからのようで、上記のheavenly.comはデンバーが登録場所になってますねぇ。 すべてmulti-part MIMEでEncodeされているので、デコードした上でSPAM Filterを通すタイプでないとすり抜けそう…。 まぁ、Google君はちゃんと迷惑メールと判断してくれていますが… ということで文面以外は全然問題ないレベルですが、 疲れていたり、 慌てていたり、 ちょうど、apple IDへのアクセスが上手くいかないときなんかだと まんまとやられる危険性は高そうですね〜。 正月早々、記録として残しておこうと思います…

毎日のように降り注ぐSPAM 今日SPAMフォルダに分類された中から、1つ紹介しましょう。

活発に活動しているようで… 自宅待機を狙っているんでしょうか…。 以下のようなメールが、2通届きました。 はいはい・・・。 どこからか、メールアドレスが漏れているようです。 で、上記のような嘘くさいメールが…。 文面は非常によくできています。 まあ、日時が、日本の形式ではないのが微妙なところでしょうか…。 ちなみに、「アカウント管理に移動」のリンク先は、 　「https://✕✕✕✕✕✕✕✕✕✕✕✕✕✕✕✕.jp/」 と、明らかにAmazon以外への誘導です。 リンク先は、確認すべきですね…。 最近、自宅待機の人を狙って、この手のSPAMが増えているようなので、要注意です！！

Amazonは初だなぁ まあ、あちこちから届きますねぇ。 以前は楽天も多かったけど、今回はAmazonでした。 久々なので晒しておこうかと… 少し前に比べると、日本語はかなりまともになってきていますね。 「あなたのアカウントAmazonを更新できませんでした」 →いや、俺のアカウントAmazonじゃないし… 「確認する必要・ェあります」とか笑えます。 リンク先は、https://jp.he177xvdaitfabho.buzz/educompany/service.php?・・・とすぐバレるURLです。 もう少し、頑張りましょう！ Thunderbirdは優秀じゃない！ ちなみに、Thunderbirdはちゃんと迷惑メール判定を行なってくれています。 Received: from 208.iiiin1.com (208.iiiin1.com [198.144.153.208]) by mx.gmoserver.jp (Postfix) with ESMTPS id 5E8C9B4DBE for <yoshimura@xxx.yyy.zzz>; Mon, 6 Apr 2020 08:48:41 +0900 (JST) ヘッダ見ると、いかにもって処から送ってきていますね。 はい、みなさん気をつけましょう！

 先週末のこと 週末に、怪しいメールが届く。 差出人が The White House<info@mail.whitehouse.gov>とな。 まぁ、SPAMが多いので、またかと思っていたのだが、GmailもThunderbirdも迷惑メールフィルタが弾かずに受信トレイに留まったことで、目についたわけだ。 通常、ほとんどのSPAMは、学習済みの迷惑フィルタが自動的にせっせと分類してくれている。 おかげで、ここ数ヶ月で受信トレイに残ったものは、片手くらいだ。 それだけに、このメールは目についた。 だいたい、どこにでもいる普通のおっさん、しかも日本にWhitehouseからメールなんざ来るわきゃない。 まったく、驚かせてくれるぜ。 と思いつつも、どっから送ってきてんだ？と思ってsourceを確認してみる。 Received: by 10.180.104.35 with SMTP id gb3csp163551wib; Fri, 21 Nov 2014 16:36:40 -0800 (PST) X-Received: by 10.50.164.193 with SMTP id ys1mr1025264igb.38.1416616599969; Fri, 21 Nov 2014 16:36:39 -0800 (PST) Return-Path: <bounce-82_HTML-12951912-1962-6229366-0@bounce.mail.whitehouse.gov> Received: from mta2.mail.whitehouse.gov (mta2.mail.whitehouse.gov. [198.245.83.250]) by mx.google.com with ESMTP id a5si5142884ioj.88.2014.11.21.16.36.39 for < ■ ■ ■ ■ ■ @gmail.com>; Fri, 21 Nov 2014 16:36:39 -0800 (PST) Received-SPF: pass (google.com: domain of b

管理しているサーバへの要望 VPSで管理しているサーバは、9ドメインにもなっておりますが、その中のお客さんからの要望があって…。 以前のサーバでは、SPAMメールの件名（Subject）に[SPAM]が挿入されていて、それを元にフィルタリングしていたけれど、新しいサーバに変えてから、それが無くなって不便だから、何とかして欲しい… そうですか、今時サーバでやるのは、あまり流行っていないような気がするんですがねぇ。 精度の問題もあって、一般的なルールだとどうしても誤認識が相当数発生するのが欠点。各自のメールでベイズフィルタで学習させて、利用する方が精度が高いし、ローカルでそういった機能を持つメーラが増えているので、そっちを使った方が効率的だとは思うんだけど…。 まぁ、要望なので仕方ない。 昔設定した記憶をたどりながら、新たに導入することに。って15年ほど昔にやった手法なので、今風のやり方を調べながらですが…。 SpamAssassinのインストール Ubuntuなので、相変わらずインストールは簡単ですゎ。 $ sudo -s # apt-get install spamassassin spamassassin-rules-ja これだけです。必要なパッケージは、適当に拾ってくれるので、しばらく待つのみ。（ほんの10数秒だけどね…） 本当は、ウィルスチェッカなんかも入れるという方法もあるし、その他もろもろ、様々な設定方法があるけれど、シンプルな方法で行くことにする。 設定項目はごくわずか Spamd まずは、/etc/spamassassin/local.cfを書き換える。 デフォルトでは「*****SPAM*****」が件名に追加されるけれど、今回は要望通りに設定。 rewrite_header Subject [SPAM] report_safe 0 これで、最低限の記述はOKそう。 続いて、通常パッケージで入れると、ユーザとか作ってくれるけれど、設定の自由度が高いせいか、方法に応じて自分で作っておく必要がある。 # groupadd spamd # useradd -g spamd -s /bin/false -d /var/log/spamassassin spamd #

WordPressはSPAMが多い WPを導入してからというもの、数多くのSPAMが届いている。 実際、 7月にフィルタを設定 したおかげで目にする回数は、グンと減っているけれど、しつこく送ってくるところがある。 この1ヶ月でSPAMのなかった日が1日しかない。 ほとんど破棄してくれているので、数日に1度目にするだけで済んでいるけれど、このプラグインを知らなければ、気が狂うのでコメントをOFFにしたくなるのも頷ける。 一見SPAMでは無さそうなSPAM 会社のサイトは、英文Onlyのコメントが来ることは、サービス内容から考えてまずないので全てSPAM扱いにしている。 すると、最近日本語を使ったものがポツリポツリと増えてきた。ただ、これまでは意味不明な単語が含まれているだけだった。しかし、今回ちょっと不思議なコメントが来たので調べてみた。 「べき論を持ち出すと、そもそもの趣旨からいえばノーベル平和賞をこういう事例に与えるべきではないと思うがね。」とだけ書かれている。 当然、このコメントが書かれたページの内容とは一切関係がない。そもそも、ノーベル平和賞についての記述も、関係も全くないコンテンツである。 もう少し、この情報を調べてみると面白いことがわかってきた。 URLはFacebookのTOPページなので、ここに誘導する意味は全くない。となるとメールアドレスに意味があるかと思って調べるが、Googleでは引っかかってこない。 IPの「188.165.4.38」から引いてみると「188-165-4-38.kimsufi.com」 IPをつなげてホスト名にしていることから、固定IPありのVPSや、DHCPのISPかなぁと。 で、kimsufi.comを引いてみると、 kimsufi.com. 39457 IN NS ns.ovh.net. kimsufi.com. 39457 IN NS dns.ovh.net. おっ、どっかで見た名前だ。 確かセキュリティ情報で見た覚えが…。 調べてみると、あった。 http://www.infosecurity-magazine.com/view/33652/major-french-webhosting-company-

急に増えてきたSPAM WordPressを使うと素早くソコソコの見栄えのサイトが構築できるので、お世話になっている。 ところが、管理しているWordPressのコメントに執拗に大量のSPAMが書き込まれるようになってきた。 一応、管理者が許可しない限り、表示はされないのだけれど、その確認のメールが毎日山のように届いくのが苦痛だ。 仕方なく、SPAM指定をしてIPを記録していくのだけれど、一向に減らないのは向こうも様々なツールをあちこちから使っているんだろうなぁ・・・と、分かっているだけに気分が悪い。 ましてや、まともなコメントが埋もれてしまったりするのも嫌だし…。 と思っていたら、こんな記事を見つけたので早速導入することにした。 「 Throws SPAM Away 」- WordPressプラグイン Throws SPAM Awayでコメントスパム、トラックバックスパム対策。困っている人はぜひ使ってみてください。 まさに自分にピッタリということで、飛びつきました。 Throws SPAM Away WordPressのプラグインから検索すると出てきます。 そこで、インストールしてやればOK。多分すんなりと入るはずです。 すると、設定のメニューが左に出来上がります。 あとは、ここを選んで細かく設定するだけ。とは言っても、ほぼデフォルでOKです。 しかも作者は日本字なので、細かい説明も違和感のない表記で分かりやすいですね〜。 自分で設定したのは、以下の2点。 SPAMブラックリスト利用 WordPressのコメントで「スパム」にしたIPからの投稿にも採用する この2つをONにすること。 そして、後者は「※Akismet等で自動的にスパムマークされたものも含む 現在「spam」フラグが付いているIPアドレス：」の後に、これまでSPAMとマークしたコメントのIPの一覧が表示されているので、このデータを「対象IPアドレスにコピーする」ボタンを選択して、登録してやることです。 以上で、これまでSAPMとマークした作業（データ）も生かせるし、今後はブラックリストも併用して、防ぐというわけです。 22日にこの記事を見て、即日設定してからは、今のと