zen.spamhaus.orgのreturn code list

postfixのログを見ていて、127.0.0.2ってなんだろう。
と思ったのが切っ掛けで、Geminiさんから教えてもらったり、spamhaus.orgで探したりした結果。

基本の問題、これはipをzen.spamhaus.orgへ投げることで、その返答集です。
dnsとして返してくる(packetが小さい)中、codeが簡潔なので判りやすい。
127.x.x.xなのは、絶対に外に出てこないipだからだそうです。(判りやすいですね)

これは基本的にmail server構築時に利用します。
postfixのmain.cf中で

のように使います。
postscreen_dnsbl_threshold = 3は3以上の数値になったらアウトで速攻DISCONNECTを発生、2以下なら交信を継続するって意味合いです。
この場合、zen.spamhaus.orgに引っ掛かったら*3が付いているのでほぼアウトです。

postscreenがないとダメなのかは知りません。うちのserverは使っているので問題ないです。それにpostscreenはとても便利ですしね。
これ(postscreen_dnsbl_sites)が動くと、こんな感じでログが楽しいことになります。

1行目、160.25.229.28が接続要求してきました。
2〜5行目、早速dnsblogが問い合わせをしています。
 zen.spamhaus.org as 127.0.0.4 → 感染してるか乗っ取られているよ
 zen.spamhaus.org as 127.0.0.11 → ウイルス感染PCだよ
 zen.spamhaus.org as 127.0.0.3 → 動的IPはダメだよ
 b.barracudacentral.org as 127.0.0.2 → spam ipだよ
6行目、DNSBL rank 5(zen.spamhaus.orgは3行あっても一つ扱い、*3が効いて3、それにb.barracudacentral.org*2でrank 5)と判定されます。
7行目、postscreenがrank 5(3以上だから)を理由に接続を切りました。
ね、楽しいでしょ。
b.barracudacentral.orgもzen.spamhaus.orgと同じような機能を持ったserverです。
横道にそれますが、b.barracudacentral.orgは127.0.0.2のみ返すそうです。(内容は「spam ipだよ」ですね)

Geminiさんの解説付きのコード表。

spamhous.org return code list

返答コード(IPTYPE本来の意味(正常なブラックリスト判定)
127.0.0.2(SBL) 直近でスパムを送信した確定IP。 踏み台にされたサーバーや、スパム業者のサーバーがここに叩き込まれます。
127.0.0.3(PBL) プロバイダの動的IP(一般家庭の回線など)。 「ここは普通の人がネットサーフィンに使う回線だから、直接メールサーバー(SMTP)を建てて外に送っちゃダメだよ」という立ち入り禁止エリアです。
127.0.0.4(XBL/CBL)マルウェア感染・脆弱性のあるサーバー。 Webサーバーの脆弱性を突かれたり、不正なスクリプトを仕込まれたりして、意図しない「踏み台・オープンプロキシ」にされてしまっている状態です。
127.0.0.9(SBL CSS)自動検出されたスパムボット。 Spamhausの自動検出システムによって「こいつはボットネットの一部か、スパム配信用に汚染されている」とリアルタイム判定されたIP。
127.0.0.10 / .11(XBL/NJABL)【過去の名残】ウイルス感染PC(ゾンビPC)。 以前組み込まれていた外部リスト(NJABL)の名残。本人が気づかないうちに裏で一斉にスパムを送信する一般PCなど。※現在は主に.4や.9に統合。
SBL(.2)➔ 確定犯
PBL(.3)➔ ポリシー違反(直出し禁止)
XBL / CBL(.4)➔ 脆弱性突かれた踏み台
CSS(.9)➔ 自動検知のボット
旧NJABL名残(.11)➔ 現役でログに出るワーム感染ゾンビ

SBL (Spamhous Blacklist)
PBL (Policy Blocklist)
CSS (Spamhaus Component Service Suite)
XBL (Exploits Blocklist)
CBL(Composite Blocking List)
NJABL(Not Just Another Black List)
ここまでが基本的にpostfixのログに載るcodeです。
これだけ知っていればpostfixのログを読んでいても意味が判ります。

こっから先はspamhaus.orgで見つけたretun codeを並べたもの。
意味合いが異なるものがあるが、後で個別に説明予定。

spamhous.org return code list (extra code)

Return CodeMeaningNote
127.0.1.2spam domain
127.0.1.3spammed redirector
/ url shortener
(Phased out on January 7th, 2015)
127.0.1.4phish domain
127.0.1.5malware domain
127.0.1.6Botnet C&C domain
127.0.1.102abused legit spam
127.0.1.103abused legit redirector
/ url shortener
127.0.1.104abused legit phish
127.0.1.105abused legit malware
127.0.1.106abused legit botnet C&C
127.0.1.255IP queries prohibited!
127.255.255.252Typing error in DNSBL Name
127.255.255.254Query via public/open resolver/generic unattributable rDNS
127.255.255.255Excessive Number of Queries
(英語読めれば多分不要)

127.0.1.xはdomainが対象らしい。
特に127.0.1.3は現在使われていない。
このcodeはspam siteへ飛ばす短縮url作成サイトのことらしい。確信犯を排除するcodeだったらしい。
現在、X(旧Twitter)やInstagramの短縮urlを利用して飛ばすspammerが多くいるため、このコードを使うとX等がアウトになりかねないのが原因。
その為に127.0.1.103が作られた模様。(こっちは悪用の可能性有りの正規の物件と指摘している)
mail serverでdomainは検索しないだろうから、要らないっちゃ要らない。
見つけたから書いてみた。

127.255.255.xは面白い。
127.255.255.252は「ドメイン(ホスト)名間違えているよ」と返事しているそうだ。
127.255.255.254は「Googleの8.8.8.8とか使って、こっち来るな」と公開サーバー経由の問い合わせ拒否。
127.255.255.255は「クエリ飛ばし過ぎ、もう返さない」との拒絶。
といったところ。
127.255.255.255はたまに出るらしい。きっと大きなserverなんだろう。(うちには関係ないcode)
127.255.255.254はgoogleさんが8.8.8.8を公開した時に、皆が皆使いまくって発生したらしい。

あとは英語のspamhaus.org読んで頂戴。

おまけでlist.dnswl.orgの返すコードを表にしておく。
こちらはwhite listとして、zen.spamhaus.orgで加点されたものを掬い取る(蜘蛛の糸的な?)部分。
上のpostscreen_dnsbl_sitesの最後に救いとなるのがここ。

list.dnswl.org return code list

dnswl.orgからの応答末尾の数字信頼度の定義本設定での配点(減点)
127.X.Y.00Low(信頼度:低)-2 (他の加点を相殺)
127.X.Y.11Medium(信頼度:中)-4 (より安全と判断)
127.X.Y.2 または .32 または 3High / Very High(信頼度:高)-6 (極めて安全と判断)
上の表はGeminiさんに作ってもらった。(コレばっかり(^_^;;)
「本設定での配点(減点)」の値は、postscreen_dnsbl_sitesにおける「*-2」等である。(これは自分で決める値で任意に設定できる)
zen.spamhaus.org*3で加点されたのに、ここで減点され救われる(まず有り得ないが)ことも有るかも知れない。(微レ存?)
127.x.y.1のxとyは色々変わるらしい。
ただ、原点の判定には関わらないので調べていない。(誰か判ったら教えてください)

最後に現在見つけた最高得点のログ。rank 7と6です。

当然ip range毎reject_cidr入り。
もう入って来ても、その場で弾きます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)