스팸메일발송지 IP리스트.

관련 자료
Post Reply
ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

스팸메일발송지 IP리스트.

Post by ironiris » 2004/08/23 14:41

안녕하세요~
스팸메일을 발송하는 IP를 등록한 것입니다.
스팸메일 발송지가 아닌곳도 있을수 있지만 제가 직접 추출한것이라 99% 확신합니다.
(아직 메일사용자들의 메일발송이나 수신때문에 전화온적이 없습니다. 적용시킨 일주일동안)
(IP가 계속 바꾸면서 보낼수도 있지만 그런 기미가 보이면 대역을 막아버렸습니다.)
xinet.d 를 사용하시는 분들이라면 바로 적용할수 있을겁니다.
귀찮지만 계속 추가하고 업데이트 해보렵니다.
다른 리스트들은 사용하기 귀찮아서리... --; 이거 저거 패치하기도 설정하기도.. :)

사용법은 /etc/hosts.deny 파일을 이것으로 교체하고
# /etc/init.d/xinet.d restart [Enter]
로 다시 서비스를 다시 시작하면 됩니다.

원래는 25번 포트만 접속불가시키면 되지만 그냥 다 막아버렸습니다. :)

행복하세요~
Last edited by ironiris on 2007/08/14 11:13, edited 1 time in total.

이운억
등록 사용자
등록 사용자
Posts: 297
Joined: 2000/04/29 00:00

Post by 이운억 » 2004/08/24 15:11

개인적으로는 블랙리스트 보다 화이트리스트를 모아보는게 어떨까 합니다.
TMDA 같은 경우도 화이트리스트를 관리하는 방식이지요.

최근에 관심을 가지고 있는 graylisting의 경우에도 대형 메일링 서비스에 대한
화이트리스트만 있다면 바로 적용해도 될듯 하구요.

메일 호스팅 고객들의 협조를 구하면 될듯 한데, 아직은 검토중입니다.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/08/24 17:55

회사 하나만 사용하는 메일서버를 운영한다면 화이트리스트가 효과적이겠지만..
제가 관리하는 서버는 여러 회사가 같이 쓰기 때문에 어느 나라.. 어떤 사람이 보낼지 전혀 알수가 없고 고객들이 대부분 컴맹인지라 메일을 보내는 곳의 IP를 취합하기도 어렵고.. 그렇다고 고객들의 메일을 읽어보는 것도 좀 그렇고.. 안읽어보고 정규식으로 긁자니 스팸인지 정상적인 메일인지도 모르겠고..
이상한 나라의 문자를 써서 알아볼수도 없는 메일도 있고.. ^^;
그래서 위의 리스트는 저희 회사 홈페이지에 노출되어 있는 메일주소로 들어오는 스팸메일의 IP만을 추출한 것입니다.(help@, webmaster@ 등등)

이운억
등록 사용자
등록 사용자
Posts: 297
Joined: 2000/04/29 00:00

Post by 이운억 » 2004/08/24 18:33

일반 qmail 구성에서 관리한다는 의미가 아니구요.
TMDA 같은 경우는 발송자가 확인메일에 답신만 하면 자동으로 화이트 리스트에
추가되니까 상관은 없습니다.

graylisting 패치를 적용한 경우에, 일반적인 메일서버에서 보내오는 메일들은
잘 수신되므로 별도의 화이트리스트가 필요치는 않습니다.

문제는 국내 대형 메일링 서비스의 경우 스팸발송기 처럼 일회성 메일로 처리하는 경우가 많아서,
tempfail 을 만나면 일정시간후 재전송 하는것이 아니라, 그걸로 땡입니다.
그래서 graylisting 을 도입하면서 탈이 없도록 이러한 메일링 서비스에 대한 화이트리스트를 모으면 어떨까 하는겁니다.

하루 2-3만개 들어 오는 바이러스/스팸이 2-3천개로 줄어든다는거...
mail from, rcpt to 단계에서 처리하기 때문에 2-3천개만 필터링 하는거지요.

규모가 클수록 더 표가 나겠지요. 멋지지 않습니까?

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/08/25 08:22

음~ 수동으로 블랙리스트를 작성하다보니 화이트리스트작성도 수동으로 할거라고 미리 짐작해버리다니..
--;;; 반성. :)

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

스팸메일발송지 IP리스트. 2004년 8월 30일자입니다.

Post by ironiris » 2004/08/30 11:33

스팸박멸!
유동IP대역이 좀 많이 포함되었네요. 어쩔수없습니다. 그 유동 IP들은 25번포트만 막던가 해야겠습니다.

저는 웁스~방화벽을 사용하고 있으며 user.conf 파일에

Code: Select all

%-A INPUT -s 99.27.93.71 -p tcp --dport 25 -j DROP
등으로 ip를 막고 있습니다.
Last edited by ironiris on 2007/08/14 11:14, edited 1 time in total.

jamesby
등록 사용자
등록 사용자
Posts: 6
Joined: 2004/08/31 11:18

좋은 자료 감사합니다.

Post by jamesby » 2004/08/31 11:20

지속적으로 hosts.deny 파일을 update시켜 주실 수 있나요?
아니면, 메일링 리스트라도 운영하시면 감사하겠습니다.

User avatar
홍덕기
expert
expert
Posts: 702
Joined: 2001/12/08 00:00
Location: 신촌

Post by 홍덕기 » 2004/08/31 11:37

rbldns 를 사용하시는 것이 좋을 것 같습니다.
http://qmail.kldp.org/phpbb/viewtopic.php?t=5135

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

2004년 9월 1일자 스팸전송IP목록입니다.

Post by ironiris » 2004/09/01 11:05

2004년 9월 1일자 스팸전송IP목록입니다.
오늘은 좀 양이 많이 늘었네요. :)
You do not have the required permissions to view the files attached to this post.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/09/01 11:10

참고로 inetd 나 xinetd 를 통한 데몬만 hosts.deny 에 들어있는 ip를 막는다고 하는군요.
qmail 은 daemontools 를 통해서 구동되어 해당사항이 없으니 iptables 등을 이용해서 막길바랍니다.

User avatar
홍덕기
expert
expert
Posts: 702
Joined: 2001/12/08 00:00
Location: 신촌

Post by 홍덕기 » 2004/09/01 11:39

ironiris wrote:참고로 inetd 나 xinetd 를 통한 데몬만 hosts.deny 에 들어있는 ip를 막는다고 하는군요.
qmail 은 daemontools 를 통해서 구동되어 해당사항이 없으니 iptables 등을 이용해서 막길바랍니다.
qmail 에서는 주로 ucspi-tcp 를 이용하거나 rbldns 를 이용합니다.

편하게 사용하는 방법은
개인이 업데이트하는 whitelist + rbl 서버에서 제공하는 blacklist 를 사용하는 것입니다.

개인이 일일이 업데이트하는 것은 한계가 있습니다. 화이트 리스트는 그래도 블랙리스트보다는 적을테니 그것을 업데이트 하는 것이 좋을 것 같습니다.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

2004년 9월 3일자 스팸전송IP목록입니다.

Post by ironiris » 2004/09/03 11:37

2일만에 업데이트입니다.
Last edited by ironiris on 2007/08/14 11:14, edited 1 time in total.

jchw
등록 사용자
등록 사용자
Posts: 1
Joined: 2004/09/03 15:35

Re: 2004년 9월 3일자 스팸전송IP목록입니다.

Post by jchw » 2004/09/03 15:45

ironiris wrote:2일만에 업데이트입니다.
스팸을 보내는 서버라고 단정하신 기준에 대해서 알고 싶습니다.

저도 항상 여기와서 좋은정보를 얻고 있는데

막상 ip리스트를 보고 놀라지 않을수가 없네요.

제가 관리하고 있는 서버의 ip가 있어서요..

^^ 시비 거는건 아닙니다. 저희는 정보성 메일만 회원에게 보낸다고

생각하고 있었는데 이런곳에 해당서버가 스팸발송지로 올라와 있으니

참 황당합니다. (그래도 인터넷 업계에서 알려진 사이트를 운영하고 있는데

음.. -- 그냥 황당할 뿐입니다. )

발송정책을 좀더 보완해서 스팸발송지로 나오지는 말아야 겠다는

생각도 들면서 , 이걸 작성하신 분이 어떤 기준을 가지고 정리를 하신건지

알고 싶습니다...?

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/09/03 18:37

확실히 무고한 IP가 들어있을수 있습니다.
판단 기준은
1. 제가 관리하는 서버에 없는 ID로 메일을 보내서 반송된 메일이 또 없는 사용자라고 해서 반송될때(스팸메일러가 메일주소를 마음대로 적은것이라고 판단했습니다.)
2. 동일 IP대역(좀 크게잡은 감이 있지만 넷마스크255.255.255.0 에 해당되는 부분)에서 3개의 IP가 검출될 경우 해당 IP대역을 막았습니다.
3. 제목이 분명히 티가 나는 스팸메일일 경우 막았습니다.

위의 IP목록은 무조건 스크립트나 그런 것을 돌려서 추출한 것이 아닙니다. 직접 헤더를 보면서 제목과 메일을 보낸 IP를 보면서 추출해낸 것입니다.

리스트에 IP가 잘못추가된것 같으면 제게 메일을 보내주세요. 확인해보고 IP리스트에서 빼도록 하겠습니다.
(ironiris@empal.com)

참고로 한메일의 IP를 모르고 있다가 한메일을 2일 동안 막아버렸다지요.

수고하세요~

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/09/07 11:05

며칠만에 업데이트를 하는군요.
확실히 스팸메일이 대폭 줄었습니다.
만족스럽네요.
아직 메일이 안보내진다거나 못받는다는 전화하는 고객들도 없고... :)
Last edited by ironiris on 2007/08/14 11:14, edited 1 time in total.

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest