| [ 22 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
今日来たspamは「迷惑メ−ル規制」対応spamです。
発信元は始めてのところです。
@登録依頼があったから送っている。
A成りすましによる登録かも分からないので、確認のために送っている。
B登録した覚えがないなら解除せよ。
ということで、広告ではないといいたいようですが、
届いたアドレスは、3年前から使っておらず、現在はspamしか来ないアドレスで(殆ど英文)、成りすますにしても友人知人は知らないはずで、勿論現在は公開もしていません。
成りすましようが無いアドレスです。
SpamCopに放り込みました。
英文アダルトspamに良くある
「Note: this is not a spam email. This email was sent to you because your email was entered in on a website requesting to be a registered subscriber. If you would would like to be removed from our list, CLICK HERE TO CANCEL YOUR ACCOUNT and you will *never」
からヒントを得たものと思います。
これから、この形式のspamが増える予感がします。
-------ここから------
Received: by j.asahi-net.or.jp (ATSON-1) ; 8 Feb 2002 08:39:06 +0900
Received: by puma (awsmtp) ; 8 Feb 2002 08:39:06 +0900
Return-Path: <koretaka@mbr.sphere.ne.jp>
Received: from mx3.asahi-net.or.jp (mx3.asahi-net.or.jp [202.224.39.166])
by chandlar.asahi-net.or.jp (8.11.6/3.7W) with ESMTP id g17Nd5n02154
for <***@***>; Fri, 8 Feb 2002 08:39:05 +0900 (JST)
Received: from Radish (pl193.nas911.sendai.nttpc.ne.jp [210.139.41.65])
by mx3.asahi-net.or.jp (Postfix) with SMTP id 4E6196135
for <***@***>; Fri, 8 Feb 2002 08:39:05 +0900 (JST)
Received: from friends ([127.0.0.1]) by Radish(2.2.8) with SMTP; Wed, 6 Feb 2002 03:14:02 +0900
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Date: Wed, 06 Feb 2002 03:17:10 +0900
Subject: =?ISO-2022-JP?B?GyRCIiEiISIhGyhCU0VYIEZyaWVuZHMbJEIwRkZiPXFAQTVhJDUkbCQ/MydNTSRYIiEiISIhISEbKEIgICA=?=
From: Sex Friends <koretaka@mbr.sphere.ne.jp>
To: 1 <***@***>
Message-Id: <20020207233905.4E6196135@mx3.asahi-net.or.jp>
Delivery-Agent: @(#)$Id: local.c,v 1.59 2000/04/24 08:01:16 atson1 Exp $ on puma
SEX Friends(入会・紹介完全無料)の案内書請求ありがとうございます。
データベース登録フォームをご案内いたしますのでこちらよりご登録を行ってください。
登録案内書を請求されていない方でも入会したい方はこちらより登録できます。
http://210.139.41.65/
当会はSEXフレンドが欲しい女性に、身元が確実で安心な男性を紹介するという趣旨のもとに立ち上がりました。決して営利目的ではなく、その精神は今も一貫して貫かれています。したがって入会費用や紹介料といったものを後から請求されるといったことはまったくありません。
男性の方はご存知でしょうか?SEXフレンドを求める女性が実に多いことを。女性からしてみれば自分からSEXフレンドを求めてさまようなんてことは到底出来るわけありませんし、仮に性に関して積極的であったとしても知らない男性と知り合うなんてことは恐ろしくリスクを伴うことなのです。
ここにこそ当会の存在意義があります。性の相手を求めるには余りにも危険が多すぎる女性たちのために、私たちが出来る限り安心の出来る男性を紹介しているのです。
このメールは当会への登録案内書請求をされた方に配信しています。
(悪質な成り済まし登録を防止するためこのようにしております。)
SEX Friends登録申請の申し込みをした覚えのない方はそのまま削除してください。
↓こちらから入会禁止登録されますと成り済まし登録されることはありません。
http://210.139.41.65/antidm/reg.html
> 今日来たspamは「迷惑メ−ル規制」対応spamです。
> 発信元は始めてのところです。
まるです、こんばんわ。引用がヘンですが寝る寸前ということで(^^;
本文とかに連絡が取れる住所や電話番号の記載が無いので
対応スパムとは言えないと思います。
通信販売事業者等が出会い系や通販などの電子メールによる商業広告を送るときは、既に義務付けられている住所、電話番号等の表示に加えて、以下の表示が新たに義務づけられます。
@広告主の電子メールアドレス
Aメールの件名欄に「!広告!」
B受信拒否の場合の連絡方法(連絡方法がない場合は、件名欄に「!連絡方法無!」)
経済産業省のHPの一部
http://www.nissankyo.or.jp/tpc/tp101.html
210.139.41.65がURLにありますね?IPサーチなんぞ掛けると
InfoSphere (株式会社NTTPCコミュニケーションズ)
とか出ます、プロバイダですね?う〜ん、プロバに開設した個人HP??
理由判る人いましたら解説お願いします(^^;;;
ついでに登録するページに行ったのですが
住所や本名をセキュリティ無しで送信するかメールで登録するようですね。
登録するとスパムではなく、リアルで広告が送付されるか脅迫のネタに
されそうですね(^^;
>>1.登録依頼があったから送っている。
>>2.成りすましによる登録かも分からないので、確認のために送っている。
>>3.登録した覚えがないなら解除せよ。
>>ということで、広告ではないといいたいようですが、
スパムの言うデタラメぶりは昔からです。
http://www2g.biglobe.ne.jp/~stakasa/spam/huangtang.html
悪質spammerはデタラメ言うか、開き直って、言い訳もしないか
どちらかです。
真正直に「不特定多数に配信させて頂いて...」という場合には
大体初心者spammerです。そういうのは少なくなりましたが。
> 210.139.41.65がURLにありますね?IPサーチなんぞ掛けると
> InfoSphere (株式会社NTTPCコミュニケーションズ)
> とか出ます、プロバイダですね?う〜ん、プロバに開設した個人HP??
> 理由判る人いましたら解説お願いします(^^;;;
う〜ん、自前サーバ持ちかもしれません。
nslookupでドメイン逆引きをすると
Name: pl193.nas911.sendai.nttpc.ne.jp
Address: 210.139.41.65
などと出ますし、メールヘッダからもそんな感じがうかがえますので。
良く分からないですが。
ある意味、かなり大胆なspamですね。
> > 210.139.41.65がURLにありますね?IPサーチなんぞ掛けると
> > InfoSphere (株式会社NTTPCコミュニケーションズ)
> > とか出ます、プロバイダですね?う〜ん、プロバに開設した個人HP??
> > 理由判る人いましたら解説お願いします(^^;;;
>
> う〜ん、自前サーバ持ちかもしれません。
> nslookupでドメイン逆引きをすると
>
> Name: pl193.nas911.sendai.nttpc.ne.jp
> Address: 210.139.41.65
>
> などと出ますし、メールヘッダからもそんな感じがうかがえますので。
> 良く分からないですが。
>
> ある意味、かなり大胆なspamですね。
間違いないです。これは自前サーバ持ちです。http://210.139.41.65:80/と打って
アクセスしてみた所、webページが開きました。
アダルトでした。
お粗末。
皆さん詳しいですね?(もしかすると常識?)
> 間違いないです。これは自前サーバ持ちです。http://210.139.41.65:80/と打って
> アクセスしてみた所、webページが開きました。
> アダルトでした。
:80/はポートですね?回線はInfoSphere (株式会社NTTPCコミュニケーションズ)で、独自サーバを建ててhttp://210.139.41.65と宣伝してるのか。。IPをもらって回線を開設してると言う解釈で良いでしょうか?
再度ヘッダーを見ると
Message-Id: <20020207233905.4E6196135@mx3.asahi-net.or.jp>
Delivery-Agent: @(#)$Id: local.c,v 1.59 2000/04/24 08:01:16 atson1 Exp $ on puma
とあり、asahi-netは判りませんが(^^;「puma」と名づけたPCを
送信サーバにしてるかそこから送信しているかですね?
>ある意味、かなり大胆なspamですね。
大胆とは??えっと普通のスパマーと違うと言う意味なのか、スパマーとして落ち度?があるのでしょうか?
サーバ関連は詳しくないので意味が判らないです(^^;;;
良かったら再度解説お願いします。
>> 皆さん詳しいですね?(もしかすると常識?)
> > 間違いないです。これは自前サーバ持ちです。http://210.139.41.65:80/と打って
> > アクセスしてみた所、webページが開きました。
> > アダルトでした。
>
> :80/はポートですね?回線はInfoSphere (株式会社NTTPCコミュニケーションズ)で、
> 独自サーバを建ててhttp://210.139.41.65と宣伝してるのか。。IPをもらって回線を
> 開設してると言う解釈で良いでしょうか?
>
> 再度ヘッダーを見ると
> Message-Id: <20020207233905.4E6196135@mx3.asahi-net.or.jp>
> Delivery-Agent: @(#)$Id: local.c,v 1.59 2000/04/24 08:01:16 atson1 Exp $ on puma
> とあり、asahi-netは判りませんが(^^;「puma」と名づけたPCを
> 送信サーバにしてるかそこから送信しているかですね?
ヘッダは下から付けられるんでpumaとかは多分受信側の
環境関係でついた部分だと思いますよ。
spammerのパソコンはfriends ([127.0.0.1])とかいう
部分だと思いますが。
一番上と一番下にpumaの入った行があるのは意味不明ですが
受信者側でぐちゃぐちゃするメールシステムなんじゃないかな。
改めてヘッダ見てasahiがメールサーバに使われたのかなと
思い直しましたが、
http://mathom.jp/cgi-bin/as/msgbrd.cgi
の同様な例、というか同一spamを見ると、
どうもこのspamは送信先のメルアドに関するプロバ名を
Meessage-IDに付けるようですね。ふ〜ん。こういうのもあるんですね。
> >ある意味、かなり大胆なspamですね。
> 大胆とは??えっと普通のスパマーと違うと言う意味なのか、スパマーとして落ち度?があるのでしょうか?
> サーバ関連は詳しくないので意味が判らないです(^^;;;
> 良かったら再度解説お願いします。
私もサーバは詳しくないので知りませんが...
よくあるspammer例だと、独自のドメイン名を名のることで
素人にどこのサービスを受けているかを気づかせない。
さらに確信犯は動的DNSサービスとかを使って、
URLは同じだけど、サイト接続しているところを変えることで
ネット業者に処罰される危険性を減らす(テシオ氏が代表。
テシオ氏はNSまで工夫しているからさらに悪質ですけど)
そういうようなことができますが、
IPアドレスを示したら使っているプロバに関して動かぬ証拠ですからねえ。
また動的DNSに関する知識とかは被害者の中で持っている人は
そんなに多くないかもしれないけれど、
IPアドレスをWhoisに入れて検索するくらいのことは
知っている人が増えているでしょうから、苦情も行きやすいでしょうし。
しかも前述のようにメールサーバもインフォソフィアを使った
形跡があるから、この苦情はどう考えてもインフォソフィアに行くしかなく、
苦情を受けたインフォソフィアも、メルサバは勿論、
サイトの接続まで自分のところを使っている顧客だから
苦情者に対して「うちでは処罰できません」とか
「サイト主とメール送信者が一致するかは
断定が難しいものがあり云々」
とかの言い訳をしようがないでしょう。
「インフォソフィアを解約される覚悟でやっとるんだろうか?」
「一回のspamくらいでは即処罰はないことを見込んで
一発だけspamを試みる『お試しspammer』なんだろうか」
そういう意味で「大胆」と言いました。
私もサーバは詳しくないですが、要は被害者として
告発しやすいspamということです。
> ヘッダは下から付けられるんでpumaとかは多分受信側の
> 環境関係でついた部分だと思いますよ。
> spammerのパソコンはfriends ([127.0.0.1])とかいう
> 部分だと思いますが。
> 一番上と一番下にpumaの入った行があるのは意味不明ですが
> 受信者側でぐちゃぐちゃするメールシステムなんじゃないかな。
>
> 改めてヘッダ見てasahiがメールサーバに使われたのかなと
> 思い直しましたが、
>
> http://mathom.jp/cgi-bin/as/msgbrd.cgi
>
> の同様な例、というか同一spamを見ると、
> どうもこのspamは送信先のメルアドに関するプロバ名を
> Meessage-IDに付けるようですね。ふ〜ん。こういうのもあるんですね。
> リンク先のhttp://mathom.jp/cgi-bin/as/msgbrd.cgi?p=1の
NO183ですね、良く見ますとニフティですので私のプロバと同じなので元投稿と比較出来て
良く判りました。最初の投稿にあるasahiですが受信側のISPってことのようですね。
送信ソフトはradishというネットに接続したPCを送信サーバにするソフトを
使ってますね。
Received: from friends ([127.0.0.1]) by Radish(2.2.8) with SMTP; Wed, 6 Feb 2002 03:14:02 +0900
↑あたりがそうだと思います。
Received: from Radish (pl193.nas911.sendai.nttpc.ne.jp [210.139.41.65])
↑を見ると判りますが仙台と地名が出ておりHPのバナーリンク先の
http://www5b.biglobe.ne.jp/~payback/index1.htmlに書いてあるお店の地名が宮城県仙台市と
あり、かんりにんさんが書いてあるとおり「ある意味大胆なスパマー」っていうのが
改めて判りました(笑)告発しやすいというか直接訪問も出来そうですね。
ここに来ている人はしないでしょうが絶対に!!登録するのは危険です(^^;;
理由は↑の私の発言を参照する通りです。
ヘッダーというのは受信側によってだいぶ違うと言う事が判りました。
ありがとうございます。
Radishというソフトは知らなかったので、参考になります。なお
スパム拒否
http://www.joy.hi-ho.ne.jp/sdc1/
さんのところでそれで検索したら、今回の事例と
同じspamが昨年12月にまかれています。
で、今回と同じようにIPさらしなんですが、
それがBIGLOBEの宮城APです。
どうも相当脳天気なspammerさんですな。
まあ隠れる方が悪質なのか隠れない方が悪質なのか
分かりませんが。
レス位置がずれてるかと思いますがご容赦下さい。
> まあ隠れる方が悪質なのか隠れない方が悪質なのか
> 分かりませんが。
ほんとそうですね。まあ隠すというか、消してしまっても判ったりするのですが。archive.orgはご存知だと思いますがとっくに削除されていたり消えているサイトのURLを入れるとあら不思議、昔のページが出てきたりします。
キャッシュというか保存されているんですね。
そんなわけで後日私はその相手の銀行口座が分かりましたので
何らかの関連があるかもしれないとその銀行にメールを出すでしょう。
幸いな事にメールアドレスも判りましたので警察に通報せず銀行サイトからの
圧力というか動きを待ってみようと思います。
えーと、IPやらヘッダーやら調べようかと思いつつサイトを
探って(見学して)いたらこうなりました(^^;;
http://210.139.41.65/へ行きます。そしてそこにあるリンク先
http://www5b.biglobe.ne.jp/~payback/index1.htmlへ飛びます。
恐らく同一人物でしょう。
その中に中古下着販売とありますがご存知の通り
「中古下着販売」のあ場合は「古物商」の免許と表示の義務があります。勿論そんなものはありません(^^;;
またリンクバナーに「出会い系サイト利用者メールアドレス販売」と
「他人名義口座販売」とあります。
http://moon.endless.ne.jp/users/cathand/です。
http://www.endless.ne.jp/index.htmに違反しているようなんですが
架空名義あるいは他人名義の口座の販売、譲渡は「完全に違法」ですので
検索除けでしょうか、HPには「<TITLE>l他人名義口座販売</TITLE>」と
なってて「|」ですか?ヘンな記号がつけてありますね。
どちらにせよ、登録した情報は真っ当に扱われず¥100で売り飛ばされると
推測出来ますね。
ISPに通報するより先に警察ですか?(笑)
スパンの話題とはそれますが、ご容赦を。
>>・・・
>>預金通帳・印鑑・キャッシュカード・暗証番号一式
>>全てお送りしますので安心です。
安心でも何でもありません。危ないですねー。
代理人カードを作られていたら、全部引出されて泣き寝入り。
泣き寝入りしなくて済む輩が、買うのでしょうが(^^;;
> ISPに通報するより先に警察ですか?(笑)
でしょうね。
> 皆さん詳しいですね?(もしかすると常識?)
> > 間違いないです。これは自前サーバ持ちです。http://210.139.41.65:80/と打って
> > アクセスしてみた所、webページが開きました。
> > アダルトでした。
>
> :80/はポートですね?回線はInfoSphere (株式会社NTTPCコミュニ
>ケーションズ)で、独自サーバを建ててhttp://210.139.41.65と宣伝
>してるのか。。IPをもらって回線を開設してると言う解釈で良いでし
>ょうか。
Received: from Radish (pl193.nas911.sendai.nttpc.ne.jp [210.139.41.65])
ここを見ると、単なるフレッツISDNによる動的割り当てです。
(リモートホストがADSL用でなかった)
しかもサーバはwindowsという事まで割れています。
(Radishというwinの簡易smtpサーバソフトを使っています)
DDNS(動的割り当てIPによるドメインの正引き)を、
使っていないところを見るとサイト自体は単発で、摘発を逃れようとしているのが見え見えです。
因みに210.139.41.65を、
nanet.co.jpの不正中継テストにIPを放り込んだら、
メールサーバの反応が有りました。
現在もサーバは生きているようです。
このスパマーのサーバーは、接続形式は、
私のafelandra.comと同様のシステムです。
afelandra.com内に、
チョコッとした自営サーバのスペック解説があるので、
そちらを参照して見ては?
レス遅れてしません。Hp見させて頂きました。
う〜む。。。ちょっと(かなり)勉強が足りないようです<私(^^;;;;
>DDNS(動的割り当てIPによるドメインの正引き)を、
使っていないところを見るとサイト自体は単発で、摘発を逃れようとしているのが見え見えです。
IPを宣伝していますがISPからIP貰ってる接続形式と理解していいのでしょうか?
ドメイン名が無いようなので単発っぽいのか意図して隠そうとしてるのか。。。
管理人さんの発言引用すると
>どうも相当脳天気なspammerさんですな。
ですね。。「相当脳天気」ってのがマイブームになりつつあります(笑)
どうも、210.139.41.65は停止したようです。