【qq.com】大量迷惑ウェブフォームスパムを撃退せよ！【XSERVER】

ウェブフォームスパムの特徴

スパムメールの大半は、以下のような内容です。

お名前：郁董倪
旺達棋牌下載就送彩金
下載地址 https://url.cn/5M4q1RH
首存最高送318
天天分享，天天領金幣
烈??洗????茨?虐陌谷路?酌悍?樟?
メールアドレス：475941473@qq.com

お問い合わせ内容：郁董倪
旺達棋牌下載就送彩金
下載地址 https://url.cn/5M4q1RH
首存最高送318
天天分享，天天領金幣
烈??洗????茨?虐陌谷路?酌悍?樟?

迷惑メール設定

まず、迷惑メールを判定する設定をします。（※この設定のみでは迷惑メールはとまりませんので注意してください。）

①XServerのサーバーパネルにﾛｸﾞｲﾝします。

→サーバーパネル

②迷惑メール設定を開きます。

③迷惑メール設定を行うドメイン（メールドメイン）を選択します。

④「迷惑メール設定」タブをクリックして、「ONにする」をクリックします。最後に「設定する」ボタンをクリックします。

戻るをクリックします。

⑤「ブラックリスト設定」タブをクリックします。ブラックリストアドレスに「*@qq.com」を入力し、「確認画面へ進む」ボタンをクリックします。

「追加する」ボタンをクリックします。

ブラックリストの追加が完了します。

⑥メールソフトを起動して確認します。送信元アドレスが「xxxxx@qq.com」のメールの件名の頭文字に「[SPAM]」が追加されました。

メールの振り分け

スパム判定が完了しましたので、メールが送られてこないように振り分けを行います。

①サーバーパネルの「メールの振り分け」をクリックします。

②振り分けを行いたいメールアドレスのドメインを選択します。

③「メールの振り分け設定追加」タブをクリックします。以下のよに条件を入力します。

④設定が完了しました。

これで「xxx@qq.com」のメールはメールソフトに送信されてこなくなりました。ほかにも「@sina.com」や「@163.com」などの迷惑メールは送信されますが、SPAMメールの数は半分以下になるはずです。

※「@gmail.com」や「@yahoo.co.jp」など有名どころのドメインを使って送ってくる場合もあるため、非常に厄介です。

最終手段：IPアドレスごとブロック

先述の通り、有名ドメインを使ったSPAMを繰りつけてくるため、メールの振り分け機能では限界があります。そこで、ログを解析してIPアドレスごとアクセスをブロックしてみましょう。

①サーバーパネルの「アクセスログ」をクリックします。

②アクセスログを確認するドメインを選択します。

③本日も大量のスパムメールが来たので、当日分のログをダウンロードします。「アクセスログ一覧」タブをクリックして、「タウンロード」ボタンをクリックします。

④「ドメイン名.access_log」がダウンロードされますので、中身をメモ帳などで確認します。

www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:23:47 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:23:48 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:03 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:04 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:19 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:20 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:33 +0900] "POST /contact-confirm/ HTTP/1.1" 302 16 "https://hombre-nuevo.com/contact-confirm/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
www.hombre-nuevo.com 103.100.143.100 - - [25/Apr/2020:03:24:34 +0900] "GET /contact-thanks/ HTTP/1.1" 200 14695 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"

一部抜粋ですが、同じIPアドレスが頻繁にメールフォーム確認ページ・メールサンクスページにアクセスしています。

このIPアドレスを確認したところ、発信元の国籍がHK（香港）でした。香港のサーバーを踏み台にしている可能性もあるので、一概に香港からのSPAMとは限りません。しかし、わざわざ海外のサーバーを経由しているあたり不自然です。

⑤サーバーパネルの「htaccess編集」をクリックします。

⑥htaccessを編集するドメインを選択します。

⑦「.htaccessの編集」タブをクリックして以下のコードを入力します。入力したら「確認画面へ進む」をクリックします。

Order Deny,Allow
Deny from 103.100.143.100

最後に「実行する」ボタンをクリックして完了です。

これで一端はスパムメールが停止します。しかし、IPアドレスを変えて再び送ってくる可能性があるので引き続き経過観察は必要です。

次回

工事中。