先月、8月28日、メールサーバ(Postfix)で、迷惑メールに対し、REJECT設定しました。
maillogファイルは一週間毎にバックアップされるようです。
・・・1ヶ月経過したものは自動削除のようです。
現在、サーバに残っているメールログは、以下の通り。
# ls -la /var/log/maillog* -rw------- 1 root root 2145387 9月 23 14:20 /var/log/maillog -rw------- 1 root root 5785113 8月 28 04:24 /var/log/maillog-20170828 -rw------- 1 root root 14369642 9月 3 05:27 /var/log/maillog-20170903 -rw------- 1 root root 5793840 9月 10 06:05 /var/log/maillog-20170910 -rw------- 1 root root 4206022 9月 17 06:30 /var/log/maillog-20170917 #
メールログから、迷惑メールの対象を、日毎にgrepで抜き出し、wcでカウントしてみました。
# cat /var/log/maillog-20170903 | grep 'Aug 28' | grep 'reject: header' | wc -l 1002 # cat /var/log/maillog-20170903 | grep 'Aug 29' | grep 'reject: header' | wc -l 916 # cat /var/log/maillog-20170903 | grep 'Aug 30' | grep 'reject: header' | wc -l 1096 # cat /var/log/maillog-20170903 | grep 'Aug 31' | grep 'reject: header' | wc -l 1135 #
・・・なかなか、減る様子がない。
・・・9月1日、REJECT設定をDISCARD設定に変更。
REJECTでは拒否通知を返送しトラフィックを増加し、相手を刺激し良くないとの事。
・・・DISCARDは何も返送せず破棄します。
・・・これまで、ヘッダ情報の「Message-ID:」の内容でフィルタリングしていましたがコメントアウト。
・・・今後は、ヘッダ情報の「From:」の内容でフィルタリングするように変更しました。
-
以下は、/etc/postfix/header_checksファイルの記述です。
#/^Message-ID: <.*@qq.com>/ REJECT /^From: \".*\" <.*@qq.com>/ DISCARD
・・・9月1日は395件(REJECT)+616件(DISCARD)=1011件でした。
・・・9月3日分はログファイルが途中で変わり231件+851件=1082件でした。
# cat /var/log/maillog-20170903 | grep 'Sep 1' | grep 'reject: header' | wc -l 395 # cat /var/log/maillog-20170903 | grep 'Sep 1' | grep 'discard: header' | wc -l 616 # cat /var/log/maillog-20170903 | grep 'Sep 2' | grep 'discard: header' | wc -l 1177 # cat /var/log/maillog-20170903 | grep 'Sep 3' | grep 'discard: header' | wc -l 231 # cat /var/log/maillog-20170910 | grep 'Sep 3' | grep 'discard: header' | wc -l 851 # cat /var/log/maillog-20170910 | grep 'Sep 4' | grep 'discard: header' | wc -l 962 # cat /var/log/maillog-20170910 | grep 'Sep 5' | grep 'discard: header' | wc -l 1092 # cat /var/log/maillog-20170910 | grep 'Sep 6' | grep 'discard: header' | wc -l 154 # cat /var/log/maillog-20170910 | grep 'Sep 7' | grep 'discard: header' | wc -l 102 # cat /var/log/maillog-20170910 | grep 'Sep 8' | grep 'discard: header' | wc -l 1 # cat /var/log/maillog-20170910 | grep 'Sep 9' | grep 'discard: header' | wc -l 0
・・・9月9日は0件となり、収束(終息?)かと思いきや・・・
・・・その後、「@sofu.com」、「@yeah.net」、「@pp.com」などの「@qq.com」以外のドメイン名からも、同じような主題、本文のメールが届くようになりました。
・・・「@gmail.com」からも、数件来ましたが、これは拒否する訳にいかないので、放置。
・・・「@163.com」、「@126.com」などの@+数字3桁+.comのドメインからも届くようになったので、正規表現で3桁の数字を表す[0-9]{3}を記述し対応。
-
以下は、/etc/postfix/header_checksファイルの記述です。
#/^Message-ID: <.*@qq.com>/ REJECT
/^From: \".*\" <.*@qq.com>/ DISCARD
/^From: \".*\" <.*@sofu.com>/ DISCARD
/^From: \".*\" <.*@[0-9]{3}.com>/ DISCARD
/^From: \".*\" <.*@yeah.net>/ DISCARD
/^From: \".*\" <.*@pp.com>/ DISCARD
/^From: \".*\" <.*@sohu.com>/ DISCARD
/^From: \".*\" <.*@tom.com>/ DISCARD
/^From: \".*\" <.*@yahoo.com.cn>/ DISCARD
/^From: \".*\" <.*@21cn.com>/ DISCARD
/^From: \".*\" <.*@sina.com>/ DISCARD
/^From: \".*\" <.*@qq163.com>/ DISCARD
「@数字3桁.com」からの迷惑メールをDISCARDしたログ(9月11日分)
・・・9月10日分はログファイルが途中で変わり0件+29件=29件でした。
# cat /var/log/maillog-20170910 | grep 'Sep 10' | grep 'discard: header' | wc -l 0 # cat /var/log/maillog-20170917 | grep 'Sep 10' | grep 'discard: header' | wc -l 29 # cat /var/log/maillog-20170917 | grep 'Sep 11' | grep 'discard: header' | wc -l 501 # cat /var/log/maillog-20170917 | grep 'Sep 12' | grep 'discard: header' | wc -l 435 # cat /var/log/maillog-20170917 | grep 'Sep 13' | grep 'discard: header' | wc -l 471 # cat /var/log/maillog-20170917 | grep 'Sep 14' | grep 'discard: header' | wc -l 428 # cat /var/log/maillog-20170917 | grep 'Sep 15' | grep 'discard: header' | wc -l 250 # cat /var/log/maillog-20170917 | grep 'Sep 16' | grep 'discard: header' | wc -l 0 # cat /var/log/maillog-20170917 | grep 'Sep 17' | grep 'discard: header' | wc -l 0 # cat /var/log/maillog | grep 'Sep 17' | grep 'discard: header' | wc -l 0 # cat /var/log/maillog | grep 'Sep 18' | grep 'discard: header' | wc -l 0 #
一旦、増え始めたものの、以前のように、千件を超えることはなく、収束へ。
9月16日からは、迷惑メールが来なくなりました。
フリーメールを提供しているqq.comが悪い訳ではありません。
それを悪用する輩が悪いのです。
この記事を見て、再び、送り始めることが無いことを願います。