스팸메일발송지 IP리스트.

관련 자료
Post Reply
User avatar
bh
등록 사용자
등록 사용자
Posts: 124
Joined: 2004/02/26 01:38
Location: 경북 울진군 평해읍 오곡1리 735번지
Contact:

Post by bh » 2004/12/07 00:25

아참 글고요,, 이라지 말고,,
누가 rbl데이터베이스 섭 맹그는거 어때요?
한 사람만 rbl데이터베이스 섭 잘 맹글어놓으면,,
수천명의 대한민국 qmail 관리자들이 편해질거 같아욤;;
전 옌날에 저거 맹글다가 djbdns 가 바보되는 바람에.. 흐흑.. ㅡㅜ

홍덕기님이 관련 URL을 정보/팁 게시판에 소개시켜놨더군욤;;
http://ladro.com/docs/dns/rblsmtpd.html

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/12/07 08:28

스팸을 보내는 서버라고 단정하는 기준은
제가 확인하는 이메일주소가 job@, sales@, webmaster@ 입니다.
그리고 그 제목들을 직접 보고 확실치 않으면 본문의 내용까지 확인해봐서 자동툴로 보낸다고 판단되거나 수동으로 보냈다고 하더라도 거짓내용이 적혀있는 메일을 스팸메일로 간주하며 그 메일을 최종적으로 보내는 서버를 스팸메일을 보내는 서버로 간주합니다.
의도적으로 보냈든 릴레이가 오픈되어서 보냈든 말이죠.
그리고 x.x.x.x/24 대역에서 2~3개의 ip가 발견되면 그 대역을 다 잠재적으로 스팸메일을 보낼수 있는 ip라고 판단해서 역시 다 막아버립니다.

그리고 고객들의 요청이나 이곳 게시판에서 요청이 있을 경우 화이트리스트를 추가하고 있습니다.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2004/12/08 18:43

결국 제 쪽에서 문제가 생겨버렸네요. 몇달 잘되나 했더니만...
사장님과 부장님이 합심해서.. 받아야할 메일을 못받았다고 그러네요.
메일이 안오는것 같으면 미리 이멜주소를 알려달라고 했더니만... 결국 알려주지도 않다가 제가 ip를 블럭해서 못받았다고 책임을 전가해버리는군요. 젠장 시간이 며칠동안 간격이 있었는데도.... 예기안하고선..
뭐 어쩌겠어요. 까라면 까야지....
하지만 리스트는 계속 운영될겁니다.
^^; 그래도 제 새낀데.. 계속 끌고 가야죠. :)

User avatar
bh
등록 사용자
등록 사용자
Posts: 124
Joined: 2004/02/26 01:38
Location: 경북 울진군 평해읍 오곡1리 735번지
Contact:

Post by bh » 2004/12/09 07:52

ironiris wrote:결국 제 쪽에서 문제가 생겨버렸네요. 몇달 잘되나 했더니만...
사장님과 부장님이 합심해서.. 받아야할 메일을 못받았다고 그러네요.
메일이 안오는것 같으면 미리 이멜주소를 알려달라고 했더니만... 결국 알려주지도 않다가 제가 ip를 블럭해서 못받았다고 책임을 전가해버리는군요. 젠장 시간이 며칠동안 간격이 있었는데도.... 예기안하고선..
뭐 어쩌겠어요. 까라면 까야지....
하지만 리스트는 계속 운영될겁니다.
^^; 그래도 제 새낀데.. 계속 끌고 가야죠. :)
파이팅~!

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

정말 오래간만의 업데이트입니다. ^^;;; 한해가 지나가 버렸네요

Post by ironiris » 2005/01/07 11:19

이번 리스트는 기존 리스트와 또 다릅니다.
기존에는 x.y.z.0/24 대역에서 2개 이상의 스팸메일 발송 ip가 확인되면 그 대역을 다 막았었는데.. 선의의 피해자가 많겠다고 생각되어 실제 스팸메일을 보내는 것이 확인된 ip만 리스트에 담았습니다.

제가 관리하는 메일서버 유저들에게 물어봐도.. 구문을 통해 필터링후 제목을 바꿔주는 것을 좋아하는 사람이 있는가 하면.. 아예 ip단에서 막는 것을 좋아하는 사람도 있고... 애혀~ 어쩌겠습니까? 그래도 메일이 다 도착하는 방향으로 해야죠. :)

기존처럼 쓰시려면 이 파일을 받아서 개인적으로 편집해서 사용하시면 됩니다.
예를 들어 리스트에
211.222.177.113:deny
211.222.177.116:deny
211.222.177.118:deny
211.222.177.126:deny
211.222.177.133:deny
211.222.177.135:deny
211.222.177.151:deny
211.222.177.154:deny
211.222.177.157:deny
211.222.177.184:deny
211.222.177.20:deny
211.222.177.210:deny
211.222.177.211:deny
211.222.177.217:deny
211.222.177.220:deny
211.222.177.223:deny
211.222.177.246:deny
211.222.177.248:deny
211.222.177.253:deny
211.222.177.3:deny
211.222.177.32:deny
211.222.177.46:deny
211.222.177.69:deny
211.222.177.79:deny
211.222.177.87:deny
211.222.177.9:deny
211.222.177.96:deny
이런 ip들이 종종있는데.. 이것을 211.222.177.:deny 이렇게 변경하면 그 대역을 다 막아버립니다.

수고하세요~
You do not have the required permissions to view the files attached to this post.

offree
등록 사용자
등록 사용자
Posts: 58
Joined: 2004/08/10 17:43

Re: 정말 오래간만의 업데이트입니다. ^^;;; 한해가 지나가 버렸

Post by offree » 2005/01/14 02:15

감사합니다. 오랜만이네요.

그런데요. 궁금한 것이 있어서 글을 남깁니다.

적용시키다 보니. 한메일에서 메일이 안와서 확인해 보니..

smail-103.hanmail.net : 211.43.197.25 더라구요.

tcp.smtp 리스트를 확인해 보니..

211.43.197.:allow 로 되어 있는데.

위 IP 211.43.197.25:deny 로 되어 있습니다.

이 경우 . 메일이 안옵니다.
1. 적용되는 방식은 어느것이 우선순위가 되는 것인가요?

2. 또한 위와 같이 메일이 오지 않아 반송되는 경우 서버측에서 확인할 방법은 있는지요?
즉, 어떤 로그에 어떤식으로 기록이 남는다 하는 것이요.
몇몇 메일이 오지 않는 경우 , 일일이 서버로 메일을 보낼 수가 없는데, 서버측에서 확인할 방법은 없나 해서요.
-------------------------------------------------------------------
ps. 1번 allow , deny 에 대한 부분을 테스트 해 보았는데요.
deny 로 지정된것은 무조건 막아버리는 것 같습니다.

211.43.197.:allow
211.43.197.25:deny

이렇게 되어 있으면, 위 25는 메일이 오지 않습니다.

211.43.197.25:deny
211.43.197.:allow

이렇게 위/아래가 바뀌어도 마찬가지이구요.

원래그런것인지, 설정이 잘못되어서 그런것인지 모르겠지만, 테스트 해보니,
위 처럼 적용이 되네요.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2005/01/14 08:32

다른 분들도 그런가요?
윗부분에서 allow 되어 있으면 들어오는 것으로 알고 있는데... 음...
다른 분들의 리플 부탁드리겠습니다.
전 관리하는 서버에 IP를 막아볼수가 없어서..

paek
등록 사용자
등록 사용자
Posts: 4
Joined: 2005/01/24 10:52

Post by paek » 2005/01/24 10:54

ironiris wrote:며칠만에 업데이트를 하는군요.
확실히 스팸메일이 대폭 줄었습니다.
만족스럽네요.
아직 메일이 안보내진다거나 못받는다는 전화하는 고객들도 없고... :)
보통 막았다고 해서 1,2일 만에 고객에게 전화오는 경우가 없었습니다. (제 운영경험상)

보통 1-2달 사이에 전화가 오더군요. 어디서 특정메일이 안날라온다... 라는....

문론 이런 경우가 아니라면 매우 훌륭하다고 생각 되어지네요..

어쩌면 그냥 유동IP에서 메일 발송을 위한 IP 접속 시도를 전부 막아버리는게 더 효과적일지도 모를듯 싶네요.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

Post by ironiris » 2005/01/25 17:56

paek wrote:
ironiris wrote:며칠만에 업데이트를 하는군요.
확실히 스팸메일이 대폭 줄었습니다.
만족스럽네요.
아직 메일이 안보내진다거나 못받는다는 전화하는 고객들도 없고... :)
보통 막았다고 해서 1,2일 만에 고객에게 전화오는 경우가 없었습니다. (제 운영경험상)

보통 1-2달 사이에 전화가 오더군요. 어디서 특정메일이 안날라온다... 라는....

문론 이런 경우가 아니라면 매우 훌륭하다고 생각 되어지네요..

어쩌면 그냥 유동IP에서 메일 발송을 위한 IP 접속 시도를 전부 막아버리는게 더 효과적일지도 모를듯 싶네요.
솔직히 유동IP대역이 어디서부터 어디인지는 개인이 알수는 없죠.
그나마 나라에서 실시하고 있는 것에서도 빠져버린 유동IP대역에 포함된 고정IP도 있거든요.
어쩔수 없는 것입니다. 블랙리스트와 화이트리스트... 누가 리스트업을 하느냐만 차이가 있을 뿐이지요.

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

2005년 2월 12일자 최신 리스트 및 악질IP리스트

Post by ironiris » 2005/02/14 12:20

안녕하세요~
오랜만에 업데이트하는군요.
오늘 올리는 파일은 첫째로 스팸메일을 한번이라도 보낸적이 있는 IP리스트,
두번째로 같은 IP대역안에 10개 이상의 IP에서 스팸메일을 보낸 IP대역을 통째로 막아버린 리스트와 세번째로 화이트리스트입니다.
사용하시는 방법은 화이트 리스트를 /etc/tcp.smtp 의 가장 상단에 넣으시고
첫번째 리스트나 두번째 리스트를 선택해서 넣으시면 됩니다.
행복하세요~
You do not have the required permissions to view the files attached to this post.

offree
등록 사용자
등록 사용자
Posts: 58
Joined: 2004/08/10 17:43

Re: 2005년 2월 12일자 최신 리스트 및 악질IP리스트

Post by offree » 2005/02/16 17:19

ironiris wrote:안녕하세요~
오랜만에 업데이트하는군요.
오늘 올리는 파일은 첫째로 스팸메일을 한번이라도 보낸적이 있는 IP리스트,
두번째로 같은 IP대역안에 10개 이상의 IP에서 스팸메일을 보낸 IP대역을 통째로 막아버린 리스트와 세번째로 화이트리스트입니다.
사용하시는 방법은 화이트 리스트를 /etc/tcp.smtp 의 가장 상단에 넣으시고
첫번째 리스트나 두번째 리스트를 선택해서 넣으시면 됩니다.
행복하세요~
감사합니다. 올려주셨군요.

요즘 스팸필터링에 대해 보고 있는데, 우선 procmail 으로..

이거 필터링 정책 세우는 것이 만만치 않네요.
설정해놓고 보니, 몇 군데에서 메일이 안된다고 하고.. ^^;
며칠동안 자체적으로만 테스트 하다가 적용해야 겠습니다.

보다보니, xxx.oicp.net , xxx.vicp.net , xxx.xicp.net 에서
메일을 보내려고 시도하는 것인지, 경유지로 쓸려고 시도하는 것인지.
엄청나게 접속하고 있습니다.

정상적인 메일인지 알수있는 방법이 없을까요? ^^;;

ironiris
expert
expert
Posts: 728
Joined: 2004/04/08 08:58

스팸메일 판별법.

Post by ironiris » 2005/02/24 10:35

저도 최근에 서핑하다가 알아낸 것인데요...
kldp의 정태영님의(?) 불로그에 보시면 해당 내용이 있는데
스팸메일은 대부분 메시지ID가 없거나 mutipart/alternative 임에도 불구하고
text/html 만 있거나 html/text 만 있는 경우가 많습니다.
딱 이 2개만 설정했더니 아주 잘걸러내더군요. 몇개 메일링리스트에서만 메일이 메시지ID가 없어서 걸러질뿐 대체로 만족스럽더군요.
역시 procmail 사용하는 방법이구요

Code: Select all

:0 HB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/plain
{
    LOG = "[Fake] "
    :0
    /dev/null
}

:0 EHB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/html
{
    LOG = "[Fake] "
    :0
    /dev/null
}

:0
* !^X-Mailer: KTMail
* !^X-Mailer: eMsSMTP
* !^From:.*sirak.or.kr
* !^From:.*ntfaq.co.kr
* !^Message-ID:
{
    LOG = "[NoID] "
    :0
    /dev/null
}

:0
* !^Subject:
{
    LOG = "[NoSubject] "
    :0
    /dev/null
}
개인적으로 이렇게 설정하고 있고요.. 음.. 그래도 /dev/null 이라고 적긴했는데 실제로는 제 메일함중 스팸메일함으로 들어가게 설정되어있습니다.
항상 제목과 내용을 확인하고 정리하죠.

thumb01
등록 사용자
등록 사용자
Posts: 39
Joined: 2004/06/21 11:01
Location: 서울

Post by thumb01 » 2005/02/25 13:53

스팸 아이피 발송 리스트 눈빠지게 기다렸습니다.

오늘 확인을 하고 적용을 했습니다.. ( 3개 파일 모두 적용했습니다.. ^^ )

최근에 스팸메일이 엄청 들어왔는데...

나이 지겠죠 ^^
You do not have the required permissions to view the files attached to this post.

offree
등록 사용자
등록 사용자
Posts: 58
Joined: 2004/08/10 17:43

Re: 스팸메일 판별법.

Post by offree » 2005/02/25 23:23

ironiris wrote:저도 최근에 서핑하다가 알아낸 것인데요...
kldp의 정태영님의(?) 불로그에 보시면 해당 내용이 있는데
스팸메일은 대부분 메시지ID가 없거나 mutipart/alternative 임에도 불구하고
text/html 만 있거나 html/text 만 있는 경우가 많습니다.
딱 이 2개만 설정했더니 아주 잘걸러내더군요. 몇개 메일링리스트에서만 메일이 메시지ID가 없어서 걸러질뿐 대체로 만족스럽더군요.
역시 procmail 사용하는 방법이구요

Code: Select all

:0 HB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/plain
{
    LOG = "[Fake] "
    :0
    /dev/null
}

:0 EHB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/html
{
    LOG = "[Fake] "
    :0
    /dev/null
}

:0
* !^X-Mailer: KTMail
* !^X-Mailer: eMsSMTP
* !^From:.*sirak.or.kr
* !^From:.*ntfaq.co.kr
* !^Message-ID:
{
    LOG = "[NoID] "
    :0
    /dev/null
}

:0
* !^Subject:
{
    LOG = "[NoSubject] "
    :0
    /dev/null
}
개인적으로 이렇게 설정하고 있고요.. 음.. 그래도 /dev/null 이라고 적긴했는데 실제로는 제 메일함중 스팸메일함으로 들어가게 설정되어있습니다.
항상 제목과 내용을 확인하고 정리하죠.

http://www.itinside.net/tips/045.html

관련 원문인것 같습니다.

아주 좋네요. ^^

혹시 자신의 계정으로 넣고자 하시는 분은.

Code: Select all

## my option offree
# check evn
MYHOMES=`echo $HOME | sed 's!/$!!g'`
MYDATES=`date +%Y%m%d`

:0 ic
  * ? test ! -d "${MYHOMES}/myspam"
  | mkdir -p ${MYHOMES}/myspam; \
    chown $LOGNAME ${MYHOMES}/myspam;

:0 HB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/plain
{
    LOG = "[Fake] "
    :0
    ${MYHOMES}/myspam/myspam-${MYDATES}
}

:0 EHB
* ^Content-Type: *multipart/alternative
* !^Content-Type: *text/html
{
    LOG = "[Fake] "
    :0
    ${MYHOMES}/myspam/myspam-${MYDATES}
}
#    /dev/null
## my option offree
사용하기 전에 꼭 테스트 해보세요.

참조 : http://devel.oops.org/viewforum.php?f=5 ( oops.org 의 byspam )

ps. 그런데, 이 정보가 스패머 들에게 가면, 곤란하겠네요. 이 방법도 피해가려 하겠죠.

이운억
등록 사용자
등록 사용자
Posts: 297
Joined: 2000/04/29 00:00

Re: 정말 오래간만의 업데이트입니다. ^^;;; 한해가 지나가 버렸

Post by 이운억 » 2005/03/03 18:24

offree wrote:감사합니다. 오랜만이네요.

그런데요. 궁금한 것이 있어서 글을 남깁니다.

적용시키다 보니. 한메일에서 메일이 안와서 확인해 보니..

smail-103.hanmail.net : 211.43.197.25 더라구요.

tcp.smtp 리스트를 확인해 보니..

211.43.197.:allow 로 되어 있는데.

위 IP 211.43.197.25:deny 로 되어 있습니다.

이 경우 . 메일이 안옵니다.
1. 적용되는 방식은 어느것이 우선순위가 되는 것인가요?

2. 또한 위와 같이 메일이 오지 않아 반송되는 경우 서버측에서 확인할 방법은 있는지요?
즉, 어떤 로그에 어떤식으로 기록이 남는다 하는 것이요.
몇몇 메일이 오지 않는 경우 , 일일이 서버로 메일을 보낼 수가 없는데, 서버측에서 확인할 방법은 없나 해서요.
-------------------------------------------------------------------
ps. 1번 allow , deny 에 대한 부분을 테스트 해 보았는데요.
deny 로 지정된것은 무조건 막아버리는 것 같습니다.

211.43.197.:allow
211.43.197.25:deny

이렇게 되어 있으면, 위 25는 메일이 오지 않습니다.

211.43.197.25:deny
211.43.197.:allow

이렇게 위/아래가 바뀌어도 마찬가지이구요.

원래그런것인지, 설정이 잘못되어서 그런것인지 모르겠지만, 테스트 해보니,
위 처럼 적용이 되네요.
설마 하고 있다가 당하고 보니 찾아보게 되네요 -_-;;

211.43.197.1-254:allow
211.43.197.25:deny

이렇게 설정하면 211.43.197.25 IP는 allow가 됩니다.

211.43.197.:allow 만으로도 원하는 동작을 할거라 생각했는데, 할수 없이 위에처럼
설정해야만 바라는 데로 동작하네요.

Post Reply

Who is online

Users browsing this forum: No registered users and 4 guests