spam配信システム「B.E.A.M」の送信元IPアドレスが変わった件
「B.E.A.M.」という名前で Software Design の裏表紙にも広告を出していた spam 配信システムからのメールを叩き落す件について過去何度か記事にしていたが、APNIC 経由でいくつか新しい IP アドレス帯を取得したらしく、Postfix のメールにログが残っていた。
「0day.jp (ゼロデイ.JP): 日本語携帯スパムメールの調査(Part 3): あるワンクリック詐欺の迷惑メールのソースは『MATCHYOU.BIZ /180.222.53.5』と&『G-GREE.COM/203.142.201.70』のアダルト詐欺サイト」によると SPF を設定しているらしく、いくつかのメールサーバでは通してしまうこともあるらしいが、我が家のメールサーバはまだ抜かれていない。仮に抜かれても某エムゲームジャパンにのみ登録した送信先アドレスは reject 済みではあるのだが…
さて、今回ログに残っていたのは以下。
Jul 22 11:09:46 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.234]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.234]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:10:24 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.235]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.235]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:12:20 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.237]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.237]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:13:36 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.238]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.238]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:15:13 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.240]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.240]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:16:37 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.241]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.241]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:17:26 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.242]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.242]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:18:27 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.243]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.243]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:21:31 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.246]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.246]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:22:55 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.247]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.247]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:24:03 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.249]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.249]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:27:41 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.252]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.252]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:29:57 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.254]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.254]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 22 11:49:36 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.151]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.151]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:06:46 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.207]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.207]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:09:04 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.210]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.210]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:11:04 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.212]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.212]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:12:19 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.213]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.213]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:13:35 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.214]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.214]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net> Jul 24 20:30:18 ulysses postfix/smtpd[14309]: NOQUEUE: reject: RCPT from unknown[103.23.248.231]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.231]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
これまでと違うのは、送信元 IP アドレスが JPNIC からではなく APNIC から取得されていること。
$ whois -h whois.apnic.net 103.23.248.234 % [whois.apnic.net node-2] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 103.23.248.128 - 103.23.248.255 netname: BNET descr: B-net LLC country: JP admin-c: MA430-AP tech-c: MA430-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-JP-BNET-1000643 mnt-irt: IRT-BNET-1000643-JP changed: netinfo@b-net.jpn.com 20120423 source: APNIC person: Masaya ARAKI address: 3-17-2 Shibuya Shibuya-ku Tokyo-to country: JP phone: +81334000577 e-mail: netinfo@b-net.jpn.com nic-hdl: MA430-AP mnt-by: MAINT-JP-BNET-1000643 changed: netinfo@b-net.jpn.com 20120423 source: APNIC
この会社は株式会社ウィンズコミュニケーションズ、株式会社ビーム、株式会社レッドスピードネットワークスと何度か名前を変えているが、今回は B-net LLC で登録しているらしい。電話番号こそは違うが、所在地は過去のものと全く同じ東京都渋谷区渋谷3-17-2だった。
あとは、B-net LLC が持っている IP アドレス帯を調べればいいのだが、APNIC の場合は JPNIC と違って whois 一発で検索できなかったので、grep と組み合わせて確保している IP アドレス帯を取得した。
# whois -h whois.apnic.net BNET | grep "B-net LLC" -B 3 | grep inetnum inetnum: 115.187.70.0 - 115.187.70.127 inetnum: 115.187.69.128 - 115.187.69.255 inetnum: 103.23.250.0 - 103.23.250.127 inetnum: 103.23.249.128 - 103.23.249.255 inetnum: 103.23.248.128 - 103.23.248.255 inetnum: 103.23.249.0 - 103.23.249.127 inetnum: 103.23.248.0 - 103.23.248.127 inetnum: 103.23.251.0 - 103.23.251.127 inetnum: 103.23.250.128 - 103.23.250.255 inetnum: 103.23.251.128 - 103.23.251.255 inetnum: 103.8.65.128 - 103.8.65.255 inetnum: 103.8.65.0 - 103.8.65.127 inetnum: 103.8.64.0 - 103.8.64.127 inetnum: 103.8.64.128 - 103.8.64.255
全て /25 なのは、それだけ IP アドレスが枯渇しているということだろう。あとは、これを元に iptables コマンドを作ればよい。
iptables -A PNG -s 115.187.69.128/25 -j REJECT iptables -A PNG -s 103.23.250.0/25 -j REJECT iptables -A PNG -s 103.23.249.128/25 -j REJECT iptables -A PNG -s 103.23.248.128/25 -j REJECT iptables -A PNG -s 103.23.249.0/25 -j REJECT iptables -A PNG -s 103.23.248.0/25 -j REJECT iptables -A PNG -s 103.23.251.0/25 -j REJECT iptables -A PNG -s 103.23.250.128/25 -j REJECT iptables -A PNG -s 103.23.251.128/25 -j REJECT iptables -A PNG -s 103.8.65.128/25 -j REJECT iptables -A PNG -s 103.8.65.0/25 -j REJECT iptables -A PNG -s 103.8.64.0/25 -j REJECT iptables -A PNG -s 103.8.64.128/25 -j REJECT
ちなみに、このグループが持っていると思われる IP アドレスは以下となる。
- 61.200.42.0/25
- 61.200.43.0/25
- 61.209.229.0/24
- 61.209.230.0/24
- 61.209.231.0/24
- 61.209.246.0/24
- 210.146.22.0/24
- 210.151.32.0/24
- 210.169.148.0/24
- 210.175.40.0/24
- 210.175.47.0/24
- 210.175.62.0/24
- 210.175.80.0/24
- 210.175.112.0/25
- 210.175.115.0/24
- 210.175.124.0/24
- 211.8.70.0/24
- 211.8.127.0/25
- 211.8.56.0/21
- 27.100.28.0/22
- 119.82.8.0/21
- 119.82.152.0/21
- 119.82.152.0/21
- 124.248.144.0/23
- 180.222.32.0/19
- 203.142.207.16/28
- 203.142.214.0/24
- 115.187.69.128/25
- 103.23.250.0/25
- 103.23.249.128/25
- 103.23.248.128/25
- 103.23.249.0/25
- 103.23.248.0/25
- 103.23.251.0/25
- 103.23.250.128/25
- 103.23.251.128/25
- 103.8.65.128/25
- 103.8.65.0/25
- 103.8.64.0/25
- 103.8.64.128/25
さしあたりこれらを reject しておけば、このグループからの spam をシャットアウトできるものと思われる。余計なサーバリソースを浪費するのはもったいないので、ファイアウォールレベルでシャットアウトするのが望ましい。