open http proxyによるspam中継

open http proxyによるspam

最近、目立って増えているのがopen proxyを使ったspamです。

ZDNet |UK| - News - Networking Central - Story - Proxy servers boost spam

典型的なヘッダーを以下に示します。


Return-Path: <customerservice8434m72@septictank.com>

Received: (qmail 12098 invoked from network); 6 Jun 2002 11:32:43 -0000

Received: from unknown (HELO septictank.com) (211.216.??.?)  by otis.h1r.org with SMTP; 6 Jun 2002 11:32:43 -0000

Received: from pet.vosni.net ([181.160.116.86]) by q4.quickslow.com with QMQP; Thu, 06 Jun 0102 04:26:32 +0300

Received: from rly-xr01.nihuyatut.net ([110.11.17.8]) by anther.webhostingtotalk.com with NNFMP; 06 Jun 0102 07:23:25 +0400

Reply-To: <customerservice8434m72@septictank.com>

Message-ID: <025e14a13b8e$4443e7e0$4dc83db0@rdyhyo>

From: <customerservice8434m72@septictank.com>

To: SepticTank Owner

Subject: Solve Septic Tank Problems                                  6987hC-6

Date: Thu, 06 Jun 0102 03:02:19 +0800

MiME-Version: 1.0

Content-Type: multipart/mixed; boundary="----=_NextPart_000_00B4_58D61D8B.D0046B31"

X-Priority: 3 (Normal)

X-MSMail-Priority: Normal

X-Mailer: AOL 7.0 for Windows US sub 118

Importance: Normal

これはopen proxy(211.216.??.?)から、こちらのMTAに直接送られているもので、それ以降のヘッダは偽造です。

211.216.??.?がクライアントとしてdirect to MXで送ったもののようにも見えますが、このアドレスはクライアントに割り当てられたものではなく、またspamの内容・組織とも無関係のようであり、さらに調べてみるとopen http proxyでした。

spam中継に使われるopen proxy

設定のまずいhttp proxy/httpdが、spamに使われるということを知らないかたが、まだ多いようです。(open socksはあたりまえなのでここでは除外します)

以下の条件にあてはまるhttp proxyは、メールに限らず多くのプロトコルを中継してしまいます。

外部からの利用制限が無い
CONNECTメソッドの宛先ポートに制限が無い

ほとんどのかたは、上記の条件で見当がつくと思いますし、当サイトには逆ベクトルのかたも多くみえますので、ヒントになるような詳しい解説はやめておきます。
以下をご覧ください。

open proxyの問題点

spam中継に使われるopen proxyはMTAの不正中継以上に問題があります。

ヘッダ情報から真の送信元を隠してしまう。(spam被害者は追跡が困難)
open proxy管理者に連絡しても、open proxyによる送信であることを理解させないと、MTAのログだけを見て「記録にない」ということになってしまう。
open proxyのログには、最低限の情報しか残らない
spam以外にも、なんでもありの足場として使われる
open proxyと同一組織の、本来は不正中継をしないMTAが、open proxyを介することで中継を許してしまう。(MTAに限らず同一ネットワーク内のホスト・ネットワーク機器のIPアドレスによるアクセス制限が骨抜きになる可能性が高い)

open proxyの調査

送信元がopen proxyかどうかは以下の方法で、ほぼ確認ができます。
(ただしin/outでIPアドレスが異なるものが少なからず存在します)

open proxy系blacklistを検索してみる
GoogleでIPアドレス/host名を検索してみる(「串リスト」や「HTTP代理」というようなリストが出てくる)
proxyチェッカなどでチェックする
80,81,3128,6588,8000,8080などのポートにアクセスしてみる

対処と対策

被害を与えないために

上記2つの条件を潰す。特にCONNECTメソッドの宛先ポートを443(https)[,563(snews)]だけに絞る。 (組織外だけでなく、組織内からのものも制限しないと、組織内からの「裏口」を作ることになってしまいます。)

squidなら(squid.conf.defalutに入ってるはず)
`acl SSL_ports port 443 563 acl CONNECT method CONNECT http_access deny CONNECT !SSL_ports acl localnet src 202.212.33.48/255.255.255.248(組織のnetwork) acl localhost src 127.0.0.1/255.255.255.255 http_access allow localhost http_access allow localnet http_access deny all`

spam被害を受けたら

open proxy管理者に、open proxyによる中継であることを理解させ、真の送信者を追跡させる
spam以外にも不正使用が可能な「危険な足場」であることから、open proxy管理者の理解が得られない場合は、各国のCERT等の組織も活用する。
被害の拡大を防ぐために、open proxy系blacklistに登録すると良いかも

spam予防策

open proxy系blacklistを使ってdirect to MX(現状ではほとんどこれです)のspamを防ぐ