rootパーティションの容量が月ごとに減っていくので、logrotate されていない LOG があるのかと、心配しディレクトリ毎の容量をチェックした。 結果は、squid(PROXY)の cache ディレクトリが、原因。 古いキャッシュが捨てられないのが原因だけど、設定では cache_dir の容量が、 大きすぎるため、古いファイルを捨てる必要が無かっただけ。 ということで、2月前のデータ残っていても意味が無いので、cache_dir の容量を減らす。

SPAM が届いたけど、"info@olat.ag" だとさ。んで、「agってどこの国ドメイン？」 (メール文面はしっかり日本語だけど..) 調べてみると、アンティグア・バーブーダだそうな。

社会はあんまり好きじゃなかったけど、雑学として国名ぐらいは幅広く知っているつもり だったけど、それっぽい国名さえも聞いた覚えもない。中米の小さな島国みたい。ふーん…

mail.log の履歴をみてみた。
# grep qmail mail.log | grep " to local " | awk '{print $14}' | sort | uniq -c | sort -r

≪ greylist 入れる前 ≫
約100件 丹南ケーブルの私宛に届くメール
約 10件 自宅サーバの私に直送
約  5件 OCNのママ宛に届くメール
:
≪ greylist 入れた後 ≫
約 2件 自宅サーバの私に直送

greylist の効果は、他のサイトのデータとも一致して 1/5 程度に削減できている ことが確認できた。 でも、その10倍の SPAM が ISP 宛に届いているんだから、頭が痛い。 といっても、SPAM の From に合わせて書いた .procmail による手書きフィルタと、 Thunderbird のフィルタのおかげで、通り抜けた SPAM は数通程度。

.procmail によるフィルタが効果的だったので、ママのアカウントにも入れたろ… と思っていたけど、私宛の SPAM に比べれば、目立つほどじゃない…

昨日の朝から風邪を引いたのか、微熱＆咳＆関節痛。 食事以外、ほとんど寝ていたけど、まだ体が痛い…

greylist を入れたら、2日間とはいえ自宅サーバ直送のSPAMはなくなった…と思ったが、

Return-Path:
Delivered-To: XXXXXX@XXXXX.XXX
Received: (qmail 3453 invoked from network); 28 Oct 2007 06:48:39 +0900
Received: from unknown (HELO so-net.ne.jp) (221.206.44.70)
by YYYY.YYY with SMTP; 28 Oct 2007 06:48:39 +0900
Received: from czhbt9 (unknown [161.11.126.19])
by smtp3 (Coremail) with SMTP id t1Pf3Ps1Pgp3JyqH.1
for ; Sun, 04 Feb 2001 21:03:44 +0800 (CST)
X-Originating-IP: [161.11.126.19]
Subject: =?iso-2022-jp?B?GyRCJCpOaSRPQ0YkXyReJDkhIxsoQg==?=
From: =?shift-jis?B?eXVsaQ==?=
To:
X-Mailer: Microsoft Outlook Express 6.00.2800.1478

なんてえのが送られてきた。本文も base64 エンコーディングしてある。 greylist を抜けているんだし、まじめに再送したんだろーな…
# IPアドレスは、アメリカのアルバニーだそーな…国別遮断も困難か…

SPAM のチェックをしていると、"so-net.ne.jp" から…といいつつ実際は、中国からの ネタが増えてきた。 思わず、iptables で国ごとパケット遮断してもいいんじゃないかと思ってきた。 過激な方は、 韓国まるごと遮断 といった対処の人もいる。 しかしこれだと、iptables が巨大になるしなぁ….

ひとつの方法は iptables のフィルタ LOG やら、SPAM の Received タグを読んで、 国判定してした結果を追記していく方法が無難かなぁ…

qgreylist 設定

ということで、無難な除去方法 s25r+greylist を導入する。
BOT 化されたパソコンから送られてくる SPAM は、メール送信失敗時に再送までは しないことを使った方式で、一旦メールが送られてくると IP アドレスをメモして、 「一時的に送信失敗(450)」を返し、メールを一旦受け付けない。 一定時間後に同一アドレスから送られてくれば、まともなメールサーバのはずだから、 メールをうけつける…という手法。

一旦、メールを受け取らないという手法のため、 whitelist にうまく登録しないと、どのメールも遅延する… ということで、まともそうなサイトをチラホラと登録せねば…まずは、au さんか…

遮断という意味では効果てきめん。so-net 偽装などが止まった。

W-ZERO3 で自宅にて携帯の通信費や通信時間削減のために、画像データの圧縮などの Proxy を してくれる airproxy を動かす。 だけど、圧縮＆サイズ変更後の最大画像が 150×150 といった値になっているので、 あまりにも絵がつぶれすぎ。ボチボチ設定を触っていこう。 ひとまずは、debian での起動スクリプト。
# start-stop-daemon の使い方の勉強になった…

DIR=/usr/local/etc/airproxy
PORT=80XX
WEBPORT=80YY
USER=proxy
PIDFILE=/var/run/airproxy.pid
. /lib/lsb/init-functions
. /etc/default/rcS
case "$1" in
start)
if [ -x /usr/bin/java -a -f $DIR/airproxy.jar ]; then
log_daemon_msg "Starting airproxy daemon" "airproxy"
/sbin/start-stop-daemon --start --quiet \
--pidfile $PIDFILE --make-pidfile \
--chuid $USER --background \
--chdir $DIR \
--exec /usr/bin/java -- -jar $DIR/airproxy.jar
log_end_msg $?
fi
;;
stop)
if [ -x /usr/bin/java -a -f $DIR/airproxy.jar ]; then
log_daemon_msg "Stopping airproxy daemon" "airproxy"
/sbin/start-stop-daemon --stop --quiet --oknodo --pidfile $PIDFILE
log_end_msg $?
fi
;;
esac