reject_unknown_clientの設定を行ってから、1件も来ていなかったspamが今日きたので、AWSのVPCにあるネットワークACLという、セキュリティ機能を利用してリジェクトしました。

spamの件名は「【重要なお知らせ】AEON ご利用確認のお願い」です。「aeon」をキーワードにpostfixのlogを確認すると、他のメンバー宛のを含めて2通届いていて、ipアドレスは160.16.146.224と160.16.113.249でした。逆引きできていて、***.vs.sakura.ne.jp.となっています。この2つのipアドレスをネットワークACLで拒否します。

届いたメールの本文に書かれている「■ご利用確認はこちら」のジャンプ先はs.aoencaomcour.icuです。chromeで接続すると、偽サイトだと警告が出ました。さすがchromeさん。

ちなみにsafariさんは、何の反応も無く偽サイトを表示していました。safariさん、相変わらずだめだめです。

飛び先は、AEONのログインページをコピーしていて、IDとパスワードを盗み取ろうというものでした。以下は本当のログインページのスクショですが、偽物も全く同じでした。

こういう重要なページは、真似されないような工夫をしたほうがいいかもですね。

わざわざsakuraでvpsかクラウドの契約をして、サーバーを立ち上げ、逆引き対策をしてspamを送ってくるとは、敵も進化しています。

このメールをpostfix側でリジェクトには、下記のうようなブラックリストで弾く方法があります。/etc/postfix/main.cfで以下のようにします。

smtpd_recipient_restrictions =
 reject_invalid_hostname,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
 reject_unauth_pipelining,
 permit_mynetworks,
 reject_unauth_destination,
 reject_rbl_client bl.spamcop.net,
 check_client_access hash:/etc/postfix/reject_client
 permit

赤字の行を追加し/etc/postfix/reject_clientにipアドレスを追加してpostmapすればいいです。

$vi /etc/postfix/reject_client
160.16.113.249 REJECT
160.16.146.224 REJECT

$postmap /etc/postfix/reject_client

しかし今回はAWSのネットワークACLを使いました。

AWSのコンソールからVPCを選択し、セキュリティのネットワークACLを選びます。ここで、インバウンドルールを編集します。具体的には以下のようにしました。

ルール番号95と96がその設定です。reject_clientで設定するのとそれほど手間は変わりませんが、ポートすべての接続を拒否できるのでより強力ともいえます。

ちなみに、その下にあるipはsmtpポートやpopポートへやたらと接続をしてくるipです。そういったものをリジェクトするのにも、ネットワークACLは使えます。

以上です。