Re: ½ºÆÔ ¸ÞÀÏ °ü·ÃÇؼ­ µµ¿ÍÁֽʽÿÀ.

[Pyun YongHyeon <yongari@xxxxxxxxxxx>]

On Thu, Apr 17, 2003 at 11:27:32PM -0400, Min-Soo Kim wrote:
 >> 
 >> > 맞습니다. 단순한 IP blocking으로는 큰 의미가 없습니다.
 >> > 단순한 blocking이 아니라 SMTP daemon처럼 동작하기 때문에
 >> > sender에게 원하는 메세지를 보낼 수 있습니다(return code 450 or 550).
 >> > 스펨메일의 경유지로 이용당한 관리자가 아마 이 메세지를 보게될것
 >> > 이기 때문에 관리자가 해당하는 조치를 치할수 있을것으로 생각합니다.
 >> 
 >> 이 내용이 현재의 악성 스팸과 같은 경우에도 해당하나요?
 >> 초기 메일 헤더는, 다음과 같고 To:도 없었습니다...
 >> 
먼저 헤더정보에 잘못된 정보를 입력할 경우 이를 sendmail의 rule set
에서 감지하여 어느정도의 필터링이 가능합니다.
그러나 가장 근본적인 문제는 PTR lookup 이 되지 않는 시스템이 대분분
이라 이것이 가장 큰 문제입니다. PTR lookup이 되지 않는 시스템
은 헤드정보를 검사하는데 한계가 있습니다.
(하지만 국내의 현실이 PTR lookup이 되지 않는 시스템으로 부터의
메일을 막으면 저를 포함해서 대부분의 메일이 수신되지 않을겁니다.)
메일헤더는 보내는 사람의 의도대로 얼마든지 조작가능합니다.
이를 spammer가 이용하는 겁니다.

 >> --------------------------------------------------------
 >> Return-Path: <minsukim@xxxxxxxxx> <<<--- 열 받은 부분!
이건 ruleset에서 걸러낼 수 있습니다.
 >> Received: from song ([61.33.233.127])
 >>  by jikji-home.jikji.org (8.12.9/8.12.9) with ESMTP id h3H7qdYw087406
 >>  for <minsukim@xxxxxxxxx>; Thu, 17 Apr 2003 16:52:45 +0900 (KST)
 >>  (envelope-from minsukim@xxxxxxxxx)
 >> Received: from 61.33.233.127 ([61.248.2.124]) by song with Microsoft
 >> SMTPSVC(5.0.2195.5329);
 >>   Thu, 17 Apr 2003 16:54:40 +0900
 >> from: 꽃마담    <<<< - 제대로된 주소가 아닙니다.
이것도 ruleset에서 걸러낼 수 있습니다.

 >> Subject: 아직두 국내 싸이트 보세요?
 >> Content-Type: text/html
 >> Content-Transfer-Encoding: 7bit
 >> Bcc:
 >> Message-ID: <SONGrRjbDt3HvoFOAmE00000065@xxxx>
 >> X-OriginalArrivalTime: 17 Apr 2003 07:54:40.0716 (UTC)
 >> FILETIME=[99C920C0:01C304B6]
 >> Date: 17 Apr 2003 16:54:40 +0900
 >> X-UIDL: <L~!!&b`"!6o1!!,#h!!
 >> ==========
 >> 
 >> 이 메일로 인해 제가 받은 것 중에 다음과 같은 것이 있습니다.
 >> 
 >> ===========
 >> Return-Path: <MAILER-DAEMON>
 >> Received: from song ([61.33.233.127])
 >>  by jikji-home.jikji.org (8.12.9/8.12.9) with ESMTP id h3H7qdZ0087406
 >>  for <minsukim@xxxxxxxxx>; Thu, 17 Apr 2003 16:53:00 +0900 (KST)
 >> From: postmaster@xxxx
 >> To: minsukim@xxxxxxxxx
 >> Date: Thu, 17 Apr 2003 16:54:43 +0900
 >> MIME-Version: 1.0
 >> X-Security: MIME headers sanitized on jikji-home.jikji.org
 >>  See http://www.impsec.org/email-tools/sanitizer-intro.html
 >>  for details. $Revision: 1.135 $Date: 2002-05-26 21:19:33-07
 >> Content-Type: multipart/report; report-type=delivery-status;
 >>  boundary="9B095B5ADSN=_01C30345B5B9311000000194song"
 >> Message-ID: <5b6KZmcK800000139@xxxx>
 >> Subject: Delivery Status Notification (Failure)
 >> X-UIDL: (6$!!M3W!!&XD"!dXY"!
 >> ====
 >> 
 >> 저는 스팸 발송자나, 스팸 발송에 사용된 IP(61.33.233.127 인지 61.248.2.124
 >> 인지?)의 관리자인
 >> 보라넷과 신비로 통신(온세 통신인가요?)에 무슨 메일이 같을 거라고는 생각하지
 >> 않습니다.
 >> 
분명 보라넷, 신비로 자체에서 스펨을 보내는건 아니겠죠.
단지 이들 ISP의 회선을 사용하는 사람들중에서 이런일을 하는 것입니다.
국내의 PTR lookup이 제대로 되지 않는다고 했는데, 이 상태에서는
메일의 내용을 보고 막는 수 밖에는 없습니다. 또 하나의 방법으로는
사용된 각 IP별 기록을 만들어 놓고 spamd와 연결하는 방법도 있을 수
있습니다. 물론 이때는 sendmail의 milter와도 연계가 되어야 합니다.
언제나 PTR lookup이 정착될지는 모르겠지만 ISP조차 PTR lookup이 뭔지도
모르는 경우가 너무 많아서 제약이 있습니다.

 >> Pf가 whois를 쿼리해서 ipadm@xxxxxxxxxxxx 또는 ip@xxxxxxxxxxxxxxxxxx 에게
 >> 메일을 보내나요?
 >> 
spamd는 fake SMTP서버입니다. 모든 메일은 spamd를 거치게 pf에서 redirect하게
되고 spamd에서 먼저 주소검사를 하게 됩니다. spamd에서는 바로 거부하는
게 아니라 spammer가 시간을 최대한 낭비하게끔 메일의 수신을 지연시키고
관리자가 설정한 메세지를 상대편의 smtp서버에 전송합니다.
그러나 이경우에도 메일의 contents를 검사하지는 않으니까 제약은
있습니다.

 >> 
 >> 현재 저 스팸은 참 악의적이고 스마트한 스팸 방법 아닌가요?
 >> 
 >> 
SMTP에 대해서 조금만 안다면 누구나 그렇게 했을 겁니다.
어짜피 국내에선 PTR lookup이 되지 않으니까요.

-- 
============================================================
// Korea Telecom Internet Solutions, Inc.
//   FreeBSD/Linux Professional Consulting/Tech. Support
// 
// Pyun YongHyeon
//
// WWW: http://www.kt-is.co.kr/
//
// TEL: +82-2-597-0600
// FAX: +82-2-581-2983
============================================================
--
Please look and take part in KFUG FAQ: <http://www.kr.freebsd.org/FAQ-kr/>
To Unsubscribe: send mail to majordomo@xxxxxxxxxxxxxx
with "unsubscribe questions" in the BODY of the message