spam配信システム「B.E.A.M」の送信元IPアドレスが変わった件

投稿者 投稿日:
このエントリーをはてなブックマークに追加

 「B.E.A.M.」という名前で Software Design の裏表紙にも広告を出していた spam 配信システムからのメールを叩き落す件について過去何度か記事にしていたが、APNIC 経由でいくつか新しい IP アドレス帯を取得したらしく、Postfix のメールにログが残っていた。

 「0day.jp (ゼロデイ.JP): 日本語携帯スパムメールの調査(Part 3): あるワンクリック詐欺の迷惑メールのソースは『MATCHYOU.BIZ /180.222.53.5』と&『G-GREE.COM/203.142.201.70』のアダルト詐欺サイト」によると SPF を設定しているらしく、いくつかのメールサーバでは通してしまうこともあるらしいが、我が家のメールサーバはまだ抜かれていない。仮に抜かれても某エムゲームジャパンにのみ登録した送信先アドレスは reject 済みではあるのだが…

 さて、今回ログに残っていたのは以下。

Jul 22 11:09:46 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.234]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.234]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:10:24 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.235]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.235]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:12:20 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.237]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.237]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:13:36 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.238]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.238]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:15:13 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.240]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.240]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:16:37 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.241]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.241]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:17:26 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.242]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.242]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:18:27 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.243]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.243]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:21:31 ulysses postfix/smtpd[19727]: NOQUEUE: reject: RCPT from unknown[103.23.248.246]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.246]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:22:55 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.247]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.247]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:24:03 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.249]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.249]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:27:41 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.252]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.252]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:29:57 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.254]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.254]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 22 11:49:36 ulysses postfix/smtpd[26254]: NOQUEUE: reject: RCPT from unknown[103.23.248.151]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.151]; from=<rainbow+err1157@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:06:46 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.207]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.207]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:09:04 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.210]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.210]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:11:04 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.212]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.212]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:12:19 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.213]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.213]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:13:35 ulysses postfix/smtpd[7684]: NOQUEUE: reject: RCPT from unknown[103.23.248.214]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.214]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>
Jul 24 20:30:18 ulysses postfix/smtpd[14309]: NOQUEUE: reject: RCPT from unknown[103.23.248.231]: 450 4.7.1 Client host rejected: cannot find your hostname, [103.23.248.231]; from=<rainbow+err1178@rll001.mag-rtl.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=<r001-mts001.mail-bgn.net>

 これまでと違うのは、送信元 IP アドレスが JPNIC からではなく APNIC から取得されていること。

$ whois -h whois.apnic.net 103.23.248.234
% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:        103.23.248.128 - 103.23.248.255
netname:        BNET
descr:          B-net LLC
country:        JP
admin-c:        MA430-AP
tech-c:         MA430-AP
status:         ASSIGNED NON-PORTABLE
mnt-by:         MAINT-JP-BNET-1000643
mnt-irt:        IRT-BNET-1000643-JP
changed:        netinfo@b-net.jpn.com 20120423
source:         APNIC

person:         Masaya ARAKI
address:        3-17-2 Shibuya Shibuya-ku Tokyo-to
country:        JP
phone:          +81334000577
e-mail:         netinfo@b-net.jpn.com
nic-hdl:        MA430-AP
mnt-by:         MAINT-JP-BNET-1000643
changed:        netinfo@b-net.jpn.com 20120423
source:         APNIC

 この会社は株式会社ウィンズコミュニケーションズ株式会社ビーム株式会社レッドスピードネットワークスと何度か名前を変えているが、今回は B-net LLC で登録しているらしい。電話番号こそは違うが、所在地は過去のものと全く同じ東京都渋谷区渋谷3-17-2だった。

 あとは、B-net LLC が持っている IP アドレス帯を調べればいいのだが、APNIC の場合は JPNIC と違って whois 一発で検索できなかったので、grep と組み合わせて確保している IP アドレス帯を取得した。

# whois -h whois.apnic.net BNET | grep "B-net LLC" -B 3 | grep inetnum
inetnum:        115.187.70.0 - 115.187.70.127
inetnum:        115.187.69.128 - 115.187.69.255
inetnum:        103.23.250.0 - 103.23.250.127
inetnum:        103.23.249.128 - 103.23.249.255
inetnum:        103.23.248.128 - 103.23.248.255
inetnum:        103.23.249.0 - 103.23.249.127
inetnum:        103.23.248.0 - 103.23.248.127
inetnum:        103.23.251.0 - 103.23.251.127
inetnum:        103.23.250.128 - 103.23.250.255
inetnum:        103.23.251.128 - 103.23.251.255
inetnum:        103.8.65.128 - 103.8.65.255
inetnum:        103.8.65.0 - 103.8.65.127
inetnum:        103.8.64.0 - 103.8.64.127
inetnum:        103.8.64.128 - 103.8.64.255

 全て /25 なのは、それだけ IP アドレスが枯渇しているということだろう。あとは、これを元に iptables コマンドを作ればよい。

iptables -A PNG -s 115.187.69.128/25 -j REJECT
iptables -A PNG -s 103.23.250.0/25   -j REJECT
iptables -A PNG -s 103.23.249.128/25 -j REJECT
iptables -A PNG -s 103.23.248.128/25 -j REJECT
iptables -A PNG -s 103.23.249.0/25   -j REJECT
iptables -A PNG -s 103.23.248.0/25   -j REJECT
iptables -A PNG -s 103.23.251.0/25   -j REJECT
iptables -A PNG -s 103.23.250.128/25 -j REJECT
iptables -A PNG -s 103.23.251.128/25 -j REJECT
iptables -A PNG -s 103.8.65.128/25   -j REJECT
iptables -A PNG -s 103.8.65.0/25     -j REJECT
iptables -A PNG -s 103.8.64.0/25     -j REJECT
iptables -A PNG -s 103.8.64.128/25   -j REJECT

 ちなみに、このグループが持っていると思われる IP アドレスは以下となる。

  • 61.200.42.0/25
  • 61.200.43.0/25
  • 61.209.229.0/24
  • 61.209.230.0/24
  • 61.209.231.0/24
  • 61.209.246.0/24
  • 210.146.22.0/24
  • 210.151.32.0/24
  • 210.169.148.0/24
  • 210.175.40.0/24
  • 210.175.47.0/24
  • 210.175.62.0/24
  • 210.175.80.0/24
  • 210.175.112.0/25
  • 210.175.115.0/24
  • 210.175.124.0/24
  • 211.8.70.0/24
  • 211.8.127.0/25
  • 211.8.56.0/21
  • 27.100.28.0/22
  • 119.82.8.0/21
  • 119.82.152.0/21
  • 119.82.152.0/21
  • 124.248.144.0/23
  • 180.222.32.0/19
  • 203.142.207.16/28
  • 203.142.214.0/24
  • 115.187.69.128/25
  • 103.23.250.0/25
  • 103.23.249.128/25
  • 103.23.248.128/25
  • 103.23.249.0/25
  • 103.23.248.0/25
  • 103.23.251.0/25
  • 103.23.250.128/25
  • 103.23.251.128/25
  • 103.8.65.128/25
  • 103.8.65.0/25
  • 103.8.64.0/25
  • 103.8.64.128/25

 さしあたりこれらを reject しておけば、このグループからの spam をシャットアウトできるものと思われる。余計なサーバリソースを浪費するのはもったいないので、ファイアウォールレベルでシャットアウトするのが望ましい。


このエントリーをはてなブックマークに追加

投稿者: Kenta ONISHI