ホーム >  インフラ > XSERVER >  【qq.com】大量迷惑ウェブフォームスパムを撃退せよ!【XSERVER】

投稿日:   |  最終更新日:

【qq.com】大量迷惑ウェブフォームスパムを撃退せよ!【XSERVER】

XSERVERインフラ

今回は、ウェブフォームからメールソフトに送られてくる大量スパムを防ぐ方法を紹介します。

「qq.com」ウェブフォームスパム

当方、XServerでWordPressブログを開始して6年目になります。当ブログはメールフォームを設けており、閲覧者様よりご質問・ご感想のメールをいただきます。徐々にPreview数も伸び、誠にブロガー冥利に尽きます。

しかし、ある日(2019年の暮れごろ)を境に、ウェブフォームから大量のスパムメールが送られてきました。

1分おきに、5通のメールがブログのメールフォームから送られてきます。放置しておけば、メールソフトが1日に7千件近くの迷惑メールで溢れます。ふざけんな。

ウェブフォームスパムの特徴

スパムメールの大半は、以下のような内容です。

お名前:郁董倪
旺達棋牌下載就送彩金
下載地址 https://url.cn/5M4q1RH
首存最高送318
天天分享,天天領金幣
烈??洗????茨?虐陌谷路?酌悍?樟?
メールアドレス:475941473@qq.com

お問い合わせ内容:郁董倪
旺達棋牌下載就送彩金
下載地址 https://url.cn/5M4q1RH
首存最高送318
天天分享,天天領金幣
烈??洗????茨?虐陌谷路?酌悍?樟?

スパムメールの特徴

特徴としては、以下の通りです。

  • 名前 「登陆980585.com住册宋188彩金・・・」で始まる中国語(簡体字)の文字列
  • メールアドレス xxxxx@qq.com (xxxxxの部分はランダムな数字)
  • 実在の電話番号が記載されている

迷惑メールに記載されている「電話番号」は、多くの場合実在の番号です。スパムとは無関係の会社の電話番号であるため、クレームを入れるのはやめましょう。


迷惑メール設定

まず、迷惑メールを判定する設定をします。(※この設定のみでは迷惑メールはとまりませんので注意してください。)

①XServerのサーバーパネルにログインします。

サーバーパネル

②迷惑メール設定を開きます。

③迷惑メール設定を行うドメイン(メールドメイン)を選択します。

④「迷惑メール設定」タブをクリックして、「ONにする」をクリックします。最後に「設定する」ボタンをクリックします。

戻るをクリックします。

⑤「ブラックリスト設定」タブをクリックします。ブラックリストアドレスに「*@qq.com」を入力し、「確認画面へ進む」ボタンをクリックします。

「追加する」ボタンをクリックします。

ブラックリストの追加が完了します。

⑥メールソフトを起動して確認します。送信元アドレスが「xxxxx@qq.com」のメールの件名の頭文字に「[SPAM]」が追加されました。

メールの振り分け

スパム判定が完了しましたので、メールが送られてこないように振り分けを行います。

①サーバーパネルの「メールの振り分け」をクリックします。

②振り分けを行いたいメールアドレスのドメインを選択します。

③「メールの振り分け設定追加」タブをクリックします。以下のよに条件を入力します。

条件1(キーワード) [SPAM]
条件1(場所) 件名
条件1(一致) から始まる
処理方法(宛名) gomibako
処理方法(配送方法) 転送

④設定が完了しました。

これで「xxx@qq.com」のメールはメールソフトに送信されてこなくなりました。ほかにも「@sina.com」や「@163.com」などの迷惑メールは送信されますが、SPAMメールの数は半分以下になるはずです。

※「@gmail.com」や「@yahoo.co.jp」など有名どころのドメインを使って送ってくる場合もあるため、非常に厄介です。

最終手段:IPアドレスごとブロック

先述の通り、有名ドメインを使ったSPAMを繰りつけてくるため、メールの振り分け機能では限界があります。そこで、ログを解析してIPアドレスごとアクセスをブロックしてみましょう。

①サーバーパネルの「アクセスログ」をクリックします。

②アクセスログを確認するドメインを選択します。

③本日も大量のスパムメールが来たので、当日分のログをダウンロードします。「アクセスログ一覧」タブをクリックして、「タウンロード」ボタンをクリックします。

④「ドメイン名.access_log」がダウンロードされますので、中身をメモ帳などで確認します。

www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:23:47 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:23:48 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:03 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:04 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:19 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:20 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:33 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:34 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"

一部抜粋ですが、同じIPアドレスが頻繁にメールフォーム確認ページ・メールサンクスページにアクセスしています。

このIPアドレスを確認したところ、発信元の国籍がHK(香港)でした。香港のサーバーを踏み台にしている可能性もあるので、一概に香港からのSPAMとは限りません。しかし、わざわざ海外のサーバーを経由しているあたり不自然です。

⑤サーバーパネルの「htaccess編集」をクリックします。

⑥htaccessを編集するドメインを選択します。

⑦「.htaccessの編集」タブをクリックして以下のコードを入力します。入力したら「確認画面へ進む」をクリックします。

Order Deny,Allow
Deny from 103.100.143.100

Order Deny,Allow

デフォルトアクセスを許可を意味します。

Deny from xxx.xxx.xxx.xx1

特定IPアドレスからのアクセスだけ拒否を意味します。

最後に「実行する」ボタンをクリックして完了です。

これで一端はスパムメールが停止します。しかし、IPアドレスを変えて再び送ってくる可能性があるので引き続き経過観察は必要です。

次回

工事中。


トラックバック用のURL
プロフィール

名前:イワサキ ユウタ 職業:システムエンジニア、ウェブマスター、フロントエンドエンジニア 誕生:1986年生まれ 出身:静岡県 特技:ウッドベース 略歴 20

最近の投稿
人気記事
カテゴリー
広告