cNotes 検索 一覧 カテゴリ

Amazon EC2のアドレスブロックのブラックリスト登録状況

Published: 2010/03/28

クラウド系のサービスがたくさん登場し、いろいろなことができるようになっていますが、悪用された結果もしくは悪用されることを未然に防ぐための対応も淡々と行われているようです。

たとえばAmazon EC2のアドレスブロックは、以下のようなブラックリストに登録されています。(これ以外にもアドレス個別に別のリストに登録されているものがあるかもしれません。)
addressAREAspamhous PBLSORBSMAPS DUL
216.182.224.0/20US EASTHITHITHIT
72.44.32.0/19US EAST noneHITHIT
67.202.0.0/18US EAST HITHITHIT
75.101.128.0/17US EASTHITHITHIT
174.129.0.0/16US EAST HITHITHIT
204.236.192.0/18US EASTHITnonenone
184.73.0.0/16US EAST nonenoneHIT
204.236.128.0/18US WESTHITnonenone
184.72.0.0/18US WESTnonenoneHIT
79.125.0.0/17EUHITHITHIT

それぞれの登録理由はこちら。

spamhous PBL

 The first thing to know is: THE PBL IS NOT A BLACKLIST. You are not 
 listed for spamming or for anything you have done. The PBL is simply
  a list of all of the world's dynamic IP space, i.e: IP ranges normally 
 assigned to dialup and broadband ISP customers (DSL, DHCP, PPP, cable,
  dialup). It is perfectly normal for dynamic IP addresses to be listed
  on the PBL. In fact all dynamic IP addresses in the world should be on
 the PBL. Even static IPs which should not send mail may be listed in 
 the PBL. 

MAPS DUL

 データベースDULには、過去にスパムメールの送信に利用されたことがあり、
 IPアドレスインターネットサービスプロバイダなどによって動的にユーザに
 割り当てるIPアドレスが登録されています。他の 4 つのデータベースが個々
 のIPアドレスが登録されているのに対し、DULにはサブネットにてマスクされ
 る幅を持ったIPアドレス群として、IPアドレスが登録されています。

sorbs

   old.spam.dnsbl.sorbs.net - List of hosts that have been noted as sending
			      spam/UCE/UBE to the admins of SORBS within the last
			      year. (includes recent.spam.dnsbl.sorbs.net).
       spam.dnsbl.sorbs.net - List of hosts that have been noted as sending
			      spam/UCE/UBE to the admins of SORBS at any time, 
			      and not subsequently resolving the matter and/or
			      requesting a delisting. (Includes both
			      old.spam.dnsbl.sorbs.net and escalations.dnsbl.sorbs.net).
 escalations.dnsbl.sorbs.net - This zone contains netblocks of spam supporting
			      service providers, including those who provide
			      websites, DNS or drop boxes for a spammer.  Spam
			      supporters are added on a 'third strike and you are
			      out' basis, where the third spam will cause the
			      supporter to be added to the list.

過去にスパム送信に利用されたことのある動的アドレスレンジということで、アドレスブロックがごっそり登録されているようです。

いわゆるゾンビさん扱いってことですね。

ブラックリストではないと書かれているものもありますが、これらのリストは、長年スパム対策で利用されてきたリストおよびゾンビPCからのSMTPアクセス判定手法であるのでいろいろな規制に利用されているでしょう。

これだとたとえばEC2を使ってメールサーバーを立ち上げてもメール送信できない場合が多々あるわけですね。メールサーバー関連では、これ以外にもDNS逆引き設定がない場合や、正逆が一致しない場合SMTP接続を拒否されることがあります。あとはSPFの設定なども。

なので、EC2でちゃんとメールサーバーを立ち上げるには、このようなことをする必要があります。

  • Elastic IPの取得/解放を繰り返してブラックリストに載っていないIPアドレスを確保
  • もしくは、取得したElastic IPがブラックリストに載っている場合は解除依頼をだす。
  • AWSに対して、取得したElastic IPのDNS逆引き設定を依頼

ブラックリストへの登録理由そのまま、動的IPのユーザーがメールサーバーを立ち上げるための手順とほぼ同じなわけです。ただ、今現在動的IPでのメールサーバー立ち上げはOP25BやMTAでの各種フィルタによる規制の対象とされるわけですので、上記の対策を行っても完全なメールサーバーを立ち上げることは不可能ではないかと思います。ま、配送を受け入れてくれるリレー先を見つけて設定すればいいかもしれませんが、それじゃスパマと同じじゃ。。。

複数のブラックリストがAmazon EC2のアドレスをこのようなDUL登録している状況は、クラウドサービスというものが今現在はADSLやブロードバンドなどのサービスの先に接続されている端末と同等のもので、悪用されやすいという判断なのかもしれませんね。その結果、それらと同等の規制が適用されてしまうため実はサーバーやサービスを立ち上げるにはいろいろ不便な状況かもしれません。

[カテゴリ:botnet観察日記]

by jyake