[ 122 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
---|
<<くまたろうさんのページ変なメールでBBSより、移動してきました>>
過去ログを見てみましたが、同じような事例が見つからず、ここに質問させていただきます。
先日何気なくSPAMメールのページを 見てしまったところ、その後から自分のメールアドレスを使い現在毎日2000~3000通のUndeliveredメールが入ってくるようになりました。同じような被害を受けた方がどのように対処されたか の事例がありませんでしょうか。
今回起こっていることは
会社のメールアドレスがドメインネーム付の (例としてminegishi@kaisya.co.jpだとします)もので、今回起こったのは、123@kaisya.co.jpや0123c@kaisya.co.jpと いったアドレスを使って、Spam mailを流されております。undelivered mailはすべて持ち主不在なため (123@kaisya.co.jpを持つ社員はいません)postmasterにあたる自分のアドレスに入ってくるといのが、現在起こっ ている現象です。このホームページを手がかりにMessage IDも調べてみましたが、2時間おき(ヘッダーのDate: で)くらいにMessage IDも変わり、とても調べられません。さらにMessage IDの国もあちこちの国に渡り、英語だけ ならまだしもフランス、イタリアとなると、調査依頼すらかけないのが現状です。Spam mailはいずれ送りきった段 階でとまるのでしょうか?このサイトでも貴重な例かも知れないので、今後の情報提供などこちらから提供できる ものがあれば、ご遠慮なく聞いてください。
ヘッダーのサンプルを以下にペーストします。
-----------------------------------------------
X-Status: RECV
Return-Path: <laura.toups@runtex.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 23270 invoked from network); 17 Feb 2002 14:07:46 -0000
Received: from scanner1.ihug.co.nz (203.109.254.21)
by kate.ihug.co.nz with SMTP; 17 Feb 2002 14:07:46 -0000
Received: from localhost ([127.0.0.1] helo=mx2.ihug.co.nz)
by scanner1.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16cRyk-0007sM-00
for <nori@scanner.ihug.co.nz>; Mon, 18 Feb 2002 03:07:46 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16cRyj-0004Uj-00; Mon, 18 Feb 2002 03:07:45 +1300
Received: from mx2.ihug.co.nz [203.109.252.10]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16cRyi-0001d1-00; Mon, 18 Feb 2002 03:07:44 +1300
Received: from webmail.runtex.com (runtex.runtex.com) [209.198.147.178]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16cRyi-0004Ud-00; Mon, 18 Feb 2002 03:07:44 +1300
Received: from [209.198.140.44] by runtex.runtex.com
(Post.Office MTA v3.5.3 release 223 ID# 0-63329U1000L100S0V35)
with ESMTP id com for <0c@xxx.co.nz>;
Sun, 17 Feb 2002 08:17:54 -0600
User-Agent: Microsoft-Outlook-Express-Macintosh-Edition/5.02.2022
Date: Sun, 17 Feb 2002 08:05:22 -0600
Subject: Re: Stop Your Hair Loss Today! Look Here To Find Out How.....
From: Laura Toups <laura.toups@runtex.com>
To: <0c@xxx.co.nz>
Message-ID: <B8951487.AE2%laura.toups@runtex.com>
In-Reply-To: <MAILFI2t07rzopPXxPs0000e3f8@mail.ocsc.go.th>
Mime-version: 1.0
X-Rcpt-To: 0c@xxx.co.nz
Content-type: text/plain; charset="US-ASCII"
Content-transfer-encoding: 7bit
-----------------------------------------------
高崎さん、ご丁寧にメールまでいただき、恐縮です。
高崎さんのメールでのご指摘通り、先程貼り付けたものは、
自分宛に返信されたメールのヘッダーです。以下にオリジナルの
ヘッダーを貼り付けます。これを見てもいろいろなところから発信
されているようで、追求しずらい物となっています。
ちなみにX-MAILER:を見ると
X-Mailer: Microsoft Outlook, Build 10.0.2627と
X-Mailer: Internet Mail Service (5.5.2650.21)
があるのですが、複数の人がやっているのでしょうか?
---------------------------------------メールその1
Return-Path: <09@xxx.co.nz>
Received: from 63.232.50.39 ([63.232.50.39])
by sel660b.hanjin.com (AIX4.3/8.9.3/8.9.3) with SMTP id WAA257250;
Sun, 17 Feb 2002 22:22:27 +0900
From: 09@xxx.co.nz
Message-Id: <200202171322.WAA257250@sel660b.hanjin.com>
To: <uu6u5azqhq@concentric.net>
Subject: Increase Your Ejaculation by 600%... Look Inside
Date: Sun, 17 Feb 2002 10:25:11 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Internet Mail Service (5.5.2650.21)
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
---------------------------------------メールその2
Return-Path: <00luke@xxx.co.nz>
Received: (qmail 11281 invoked by alias); 17 Feb 2002 18:13:16 -0000
Delivered-To: alias-tnet-tscotti@total.net
Received: (qmail 11022 invoked from network); 17 Feb 2002 18:13:13 -0000
Received: from unknown (HELO linuxweb.dcgift.com.tw) (203.204.166.250)
by pop.total.net with SMTP; 17 Feb 2002 18:13:13 -0000
Received: from 63.232.121.154 ([63.232.121.154])
by linuxweb.dcgift.com.tw (8.11.6/8.11.6) with SMTP id g1HIEQM21933;
Mon, 18 Feb 2002 02:14:27 +0800
Message-Id: <200202171814.g1HIEQM21933@linuxweb.dcgift.com.tw>
To: <j4enbdkxka@concentric.net>
From: 00luke@xxx.co.nz
Subject: Finally; a Serious Home Based Business....For More Info.
Date: Mon, 18 Feb 2002 02:07:46 -0500
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
---------------------------------------メールその3
Received: from luckybusan.com (unknown [211.219.246.25])
by tor-mta2.attcanada.ca (Postfix) with ESMTP
id 9ABBA3F8AB9; Sun, 17 Feb 2002 13:12:42 -0500 (EST)
Received: from 63.232.121.154 ([63.232.121.154]) by luckybusan.com with Microsoft SMTPSVC(5.0.2195.3779);
Mon, 18 Feb 2002 03:19:30 +0900
To: <b9a12sdlyvari@concentric.net>
From: 0024@xxx.co.nz
Subject: Why Not Make Extra Income? New Oppty. to Help You Make $$
Date: Mon, 18 Feb 2002 02:07:31 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Message-ID: <LUCKYBUSANnxARhnHcW00003fb3@luckybusan.com>
X-OriginalArrivalTime: 17 Feb 2002 18:19:35.0953 (UTC) FILETIME=[A78A4010:01C1B7DF]
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
---------------------------------------メールその4
Received: from mx.uni-klu.ac.at (mx.uni-klu.ac.at [143.205.180.45])
by www-edu.uni-klu.ac.at (Postfix) with ESMTP id A2C661674CC
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:14 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mx.uni-klu.ac.at (Postfix) with ESMTP id 71250D1EF0
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:11 +0100 (CET)
Received: from bigfoot.com (mail.bigfoot.com [64.15.239.140])
by mx.uni-klu.ac.at (Postfix) with SMTP id 61431D1EEA
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:09 +0100 (CET)
Received: from nurine ([211.115.212.208])
by BFLITEMAIL1A.bigfoot.com (LiteMail v3.02(BFLITEMAIL1A)) with SMTP id 17Feb2002_BFLITEMAIL1A_26801_62904485;
Sun, 17 Feb 2002 13:14:03 -0500 EST
Received: from 63.232.121.154 ([63.232.121.154])
by nurine (8.9.3+Sun/8.9.1) with SMTP id DAA27107;
Mon, 18 Feb 2002 03:13:40 +0900 (KST)
From: 0r5skikbkovi@xxx.co.nz
Message-Id: <200202171813.DAA27107@nurine>
To: <uqvhrvujebb7@concentric.net>
Subject: Finally; a Serious Home Based Business....For More Info.
Date: Mon, 18 Feb 2002 02:08:48 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
X-Virus-Scanned: by AMaViS snapshot-20010714
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
---------------------------------------
こんにちは
高崎です。
今は急ぎだと思いますので、要点だけ言いますが、
紹介していただいたメールはどれも
63.232.121.154
という番地から発信されています。
それはヘッダの読み方を知れば分かるのです。
取りあえず紹介された三つにはこの羅列を含んでいることが
確認できます。よく見て下さい。
できたら他のエラーメールでもこの羅列が
あることを確認して下さい。
でこれを
http://www.geektools.com/cgi-bin/proxy.cgi
というところで検索すると
Qwest Communications (NETBLK-NET-QWEST-63BLKS)
950 17th St. Suite 1900
Denver, CO 80202
US
Netname: NET-QWEST-63BLKS
Netblock: 63.232.0.0 - 63.235.255.255
Maintainer: QWDL
Coordinator:
Qwest, NOC (QN-ARIN) DIAProdMaint@qwestip.net
1-703-363-3001 (FAX) 1-703-363-3177
Domain System inverse mapping provided by:
DCA-ANS-01.INET.QWEST.NET 205.171.9.242
SVL-ANS-01.INET.QWEST.NET 205.171.14.195
ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Record last updated on 12-Apr-2001.
Database last updated on 16-Feb-2002 19:55:51 EDT.
−−−−−−−−
ここがspamが発信あるいは中継に使っているネット業者と
思われます。
上の
DIAProdMaint@qwestip.net
加えて、理由はともかく
abuse@qwest.net
(@マークを全角にしていますので半角に直すこと)
への同報配信で、早急にこのことを連絡して下さい。
NZにお住まいということで、英文を書くのは
大丈夫だと思いますが、
−−−−−
・自分が某ドメイン名のpostmasterであり、
この度、spamの発信者名として詐称されてしまったこと。
・その為にエラーが一日どれくらい来ていて
それが何日続き、重大な業務への支障になっていること。
・エラーメールの内容から(出来ることなら
10個ほど引用すればいいでしょう)
spammerは貴社から発信していることが明らかで
直ちに送信行為を停止させて欲しいこと。
−−−−−
それらを断固として述べて下さい。
早急になさることをお勧めします。
−−−−−−−−−
なお、よく読んでいないので分からないのですが
詐称アドレスに伴う問題は
http://www.cert.org/tech_tips/email_spoofing.html
で書いているようなのですが、
おそらく事後の被害報告だけだと思われます。
#うん?これは自分のアドレスを名乗られたときの話じゃない?
> 先日何気なくSPAMメールのページを 見てしまったところ、その後から自分のメールアドレスを使い現在毎日2000~3000通のUndeliveredメールが入ってくるようになりました。同じような被害を受けた方がどのように対処されたか の事例がありませんでしょうか。
質問なのですがSPAMメールのページを見るだけでそのようになるとは思わないのですが?
ある日突然詐称される事もあるようですがなんらかのきっかけがあるようですね。
解除する為にHPを見に行って閲覧後解除を行なった。
返信すると解除されるので返信した。
本文にある解除URLをクリックした。
(ページにトラップを仕掛けられていて受信者がメール本文にあるURLを
クリックするとアドレスが「生きている」と確認する方法があります。
通常は広告メールの解除を自動で行なう手法です。)
それとは関係なく掲示板やML等でみねぎしさんが発言をした際にアドレスを記載した。
的外れでしたらすいません。
スパムメールは本文を受け取って中身を見てもらうのが目的ですので
韓国やらカナダやらと各国あちこちにばら撒いていますし、
本文が無いので判りませんがsubを見る限りこれもバラバラのようで
送信者の目的はみねぎしさん(の会社)への嫌がらせかと思います。
スパマーはエラーメールを受け取るのが面倒なので詐称するのですが
そうでないような気がします。(根拠薄いですが(^^;;)
あ、適切なレスがついてますね?う〜ん(^^;;;;;
http://beers66.tripod.com/econtacts.htmを
探してきました。
> 質問なのですがSPAMメールのページを見るだけでそのようになるとは思わないのですが?
> ある日突然詐称される事もあるようですがなんらかのきっかけがあるようですね。
>
> 解除する為にHPを見に行って閲覧後解除を行なった。
(略させて頂きます)
> 的外れでしたらすいません。
> スパムメールは本文を受け取って中身を見てもらうのが目的ですので
> 韓国やらカナダやらと各国あちこちにばら撒いていますし、
> 本文が無いので判りませんがsubを見る限りこれもバラバラのようで
> 送信者の目的はみねぎしさん(の会社)への嫌がらせかと思います。
>
> スパマーはエラーメールを受け取るのが面倒なので詐称するのですが
> そうでないような気がします。(根拠薄いですが(^^;;)
確かにまる様の御指摘のような可能性はあります。
ただし今回の場合、元のメールがspamでないとはまだあまり言えません。
まずページを見たことと、今回の被害の相関ですが
それに関してはまる様の指摘の方が正しい可能性があります。
もっともそれも、今回の事例は@以降のドメイン名を
詐称されているということで
もしもページを見たときに相手の所に残る跡がそのドメイン名だったら
それをspammerが見て、なんとなしに詐称アドレスに使おうと
考えたとも考えられます
(ただし今回の場合は、まる様の言うとおり違う可能性が高いかと。
何故私がそういうかは適宜推測して下さい)
次にspamの送り先がばらばらsubjectもばらばらな
件ですが、英文spamはその場合も結構あるようです。
−−−−−−−−
1.まず送り先がばらばらな点
送り先がばらばらということですが、今回のメールの場合、
参考に上げた4つのうち、
spammerが送ろうとしたアドレスが明示的に分かるのは4番目の中の
for <amudge@edu.uni-klu.ac.at>;
だけだと思われます。
他のヘッダでもTo宛先はあるものの、これは恐らく送ろうとした
宛先ではなく、送信者が大量送信の際に便宜的につけた
送信者であると思われます。
すなわち韓国やらカナダやらなのはあくまで結果であって、
spammerがこの4例のメールに関して、どんなアドレスに送ろうとしていたのか
どれだけ「世界中にばらまいている」という意識があるのか、
全く分かりません。
私が先日から取り始めているアンケートでも
驚くべき事にspam被害者の40%の人が英文spamを受け取って
いることが分かります。
つまり英文spammer野郎は受信者の住んでいる国なんておかまいなしの
ところがあるのです。また実際、メールアドレスは国を越えて
使われてしまいますから、jpだのkrなどが仮にメルアドに
あっても、米国に住んでいないとは限りません。
また米国に住んでいなくても国を越えて広める価値のあるような
宣伝である可能性もあります。
(あ、アンケートで英文spamの被害を受けているのがjpアドレスか
聞く方が良いかも)
2.subjectがばらばらな点
これに関しては今まで受けた同様の相談事例でも
やはりバラバラなことがありました。
その上、私自身、英文spamの被害を受けていると、spamが届くときには
結構相次いで違う雰囲気のものが届く、という傾向を感じています。
すなわち英文spammerは可能性としてspam請負業をやっており、
発信するときには複数のspamを発信していることもえてしてある
(あくまで英文spamの場合)と感じています。
そのことを考えると必ずしもSubjectが違うからと言って
もともと発信されているものが、spamでないという断言はしにくいのです。
−−−−−−−−
以上の二点から私は必ずしも嫌がらせとは限らないと考えています。
ただこれに関しては断定できず、それが判別つくのは
実は今後の上の投稿者の方の被害の継続性にもよります。
仮に適切な連絡をして送信者の行為を中止させた場合、
もしspammerなら次も同じ詐称をすることは考えにくいです。
なぜなら、同じ詐称被害者は前回の事例をもとに対応に
少しは慣れているので、素早く対処をする可能性があります。
それは、なるべく長い時間、送信行為を停止されないことを願う
spammerにとってはデメリットです。
一方で嫌がらせならば当然そんなのはお構いなしです。
今まで受けた相談事例では、きちんと事後報告がないのも多いですが、
それも含めて推測するに、被害はパルス的、すなわち一回ボンッとあってから
收束していく、という形が多いようです。
こういうのは大変失礼ですが、
今回の被害者の方を見ると分かるようにヘッダやエラーメールの処理に
堪能でない方(おそらく大部分のエンドユーザ)が被害に遭うと、
何が起こったか認識できず、適切な処置が遅れてしまいます。
spammerにとってはそれが有り難いのです。
もし今後、同投稿者の方の被害が継続するなら、まる様の言うように
嫌がらせの可能性はだんだん大きくなるでしょう。
その場合には別な対処を考えねばなりません。
毎度詐称というと「嫌がらせ?」と推測する私ですが(^^;
薄っぺらな根拠としてるものがあります。
HPを公開してる、ネットや掲示板でアドレスを公開してる、女性と思われる
HNを使っているなど。
ほかにもありますが被害者に落ち度が有る、無いに関わらず加害者(スパムの最初の送信者)側の身勝手な行動によって問題が起こされるのですが、直接の加害者であるISPも被害者でもあるのですね。
>ただし今回の場合、元のメールがspamでないとはまだあまり言えません。
スパムメールだと思います。根拠はsubjectがハゲ治療やMLMであるからです。
スパムメールを宣伝する目的で送信したのか、みねぎしさんを落としいれようと
しているかは判断しかねる所です(^^;;
ふと思ったのですがまさかSMTPを乗っ取られたって事ではないですよね?
それだと思いっきり的外れなんで(^^;;
詐称されたとかの被害で奥歯に物が挟まったような言い方しか出来ないのは
一番上に書いていますが場合によっては被害者側に落ち度があったり無かったりで
被害も「メール爆弾(まがい)」「不正アクセス」とモロに犯罪だったりするからです(^^;;
もう書かれていますがメールサーバの管理人としての資質が問われるかもしれない
事由もあると思います。(詐称でも嫌がらせでも)
被害を受けているのにさらに色々と言われるのは
辛い部分もあるので詐称というか今回のはレスをつけるのをためらう部分が
あります(^^;;
送り先とsubjectがバラバラなのは納得しました。現在日本語スパムのみしか
受け取っていない(サーバで受け取り拒否)してるので英文スパマーの事情が
判りませんでした。
また数千のエラーメールが来るという事でかなりのメールをばら撒いていると
推測出来ますがドコ宛に出したかどうかは最初の受信サーバ側でないと
判らないですのでみねぎしさんから相手のサーバ側に聞くほかないですね。
継続性を含めて対処方法なのですが今回の場合ちょっと難しいかな?と
思っています。スパム発信業者の可能性があると推測されていますが
私もそう思ってるのも含めて場合によってはさらに増える可能性があるかと
思うからです。
http://easyweb.easynet.co.uk/~gcaselton/spam/wtc.html
↑はチェーンメールのサイトのようですがそこに
DIAProdMaint@qwestip.netが出ています。
安易に言えませんがスパムに寛容なISPなのか送信者なのか。。
抗議あるいは反応を見せることによってさらに増えるか減るかは私にはまったく予想出来ません。英語ダメダメなので相手ISPがどの程度の規模で今までどう対処をしていたかが見えないのでいつもどおりの
「自己責任で対処」というしか無いかと(^^;;
どちらにせよみねぎしさんからの情報と結果があると今後同様の被害を
受けた時に参考になると思います。
高崎さん、ご指示ありがとうございました。他にも英語で依頼文を書きたいが、どう書いて良いかわからない方もいるでしょうから、今回自分が依頼した内容を貼り付けておきます。英文に関してはそれほど自信はありませんが、こちらの希望は伝わるものと思います。
-----------------------英語の依頼文---------------
Dear Sir/Madam,
I am a postmaster of our domain ( @xxx.co.nz. )
This time, We are in a big trouble because spammer use our domain name
and send huge number of spam mail. (It looks like they send to anywhere in
the world as we are receiving about 2000 to 3000 returning undelivered mail).
It started on 15th of February and it is still going on.
We have a difficulty to operate our business.
I have investigated with spam advisor to find out which server is involed for
these spam mail.
Now, we found that spammer is most likely using your server to send.
Please help to stop to do this spam mail.
Please find attached spam mail header.
Await for your quick action.
Thanks Regards
あなたのお名前
--------------------------------Mail No1
Return-Path: <00luke@xxx.co.nz>
Received: (qmail 11281 invoked by alias); 17 Feb 2002 18:13:16 -0000
2月15日から今日で4日目ですが、いまだ一日3000通近いUndelivered
が続いております。引き続き新たに届いているものもヘッダーに共通点
がありましたので、63.232.119.91を高崎さんに教わった方法で検索したところ、同じ DIAProdMaint@qwestip.netさんの管理下のようですので、以下も
あわせて添付いたしました。嫌がらせの線はまったく考えておりませんでしたが、自分の身の回りに、こんなすごい事ができる人はおりません。どこかに
嫌がらせ請負業者でもあるのでしょうか?
-------------------------------Mail No4
Received: from jodal (<unknown.domain>[203.247.158.7])
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
To: <t6wuk1lscbuq@concentric.net>
From: 0imiiof@xxx.co.nz
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Date: Mon, 18 Feb 2002 16:05:08 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
Return-Path: 0imiiof@xxx.co.nz
Message-ID: <01aac0017081222GLOBALOFFICE@jodal>
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
--------------------------------Mail No5
Received: from jodal (<unknown.domain>[203.247.158.7])
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
To: <t6wuk1lscbuq@concentric.net>
From: 0imiiof@xxx.co.nz
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Date: Mon, 18 Feb 2002 16:05:08 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
Return-Path: 0imiiof@xxx.co.nz
Message-ID: <01aac0017081222GLOBALOFFICE@jodal>
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
--------------------------------Mail No6
Received: from jodal (<unknown.domain>[203.247.158.7])
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
To: <t6wuk1lscbuq@concentric.net>
From: 0imiiof@xxx.co.nz
Subject: <<POTENTIAL-SPAM>> New Pill makes your semen taste sweet-she'll swallow and
love it
Date: Mon, 18 Feb 2002 16:05:08 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
Return-Path: 0imiiof@xxx.co.nz
Message-ID: <01aac0017081222GLOBALOFFICE@jodal>
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
--------------------------------Mail No7
Return-Path: <0815@xxx.co.nz>
Received: (from root@localhost)
by localhost.localdomain (8.11.2/8.11.2) id g1I8J4W12797;
Mon, 18 Feb 2002 09:19:04 +0100
Received: from 63.232.119.91 (0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by localhost.localdomain (8.11.2/8.11.2) with SMTP id g1I8IuE12762;
Mon, 18 Feb 2002 09:18:57 +0100
From: 0815@xxx.co.nz
Message-Id: <200202180818.g1I8IuE12762@localhost.localdomain>
To: <vwx7sd32sl@concentric.net>
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Date: Mon, 18 Feb 2002 16:04:54 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
X-Virus-Scanned: by AMaViS perl-11
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
--------------------------------Mail No8
Received: from 63.232.119.91
(0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by mounties.com.au; Mon, 18 Feb 2002 19:18:04 +1100
To: <yjavpd32wn@concentric.net>
From: 01bb91dd.28554f20@xxx.co.nz
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Date: Mon, 18 Feb 2002 16:04:11 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
--------------------------------Mail No9
Received: from mx5-rwc.mail.home.com ([24.0.95.34])
by femail34.sdc1.sfba.home.com
(InterMail vM.4.01.03.20 201-229-121-120-20010223) with ESMTP
id
<20020218082010.SNDC2774.femail34.sdc1.sfba.home.com@mx5-rwc.mail.home.com>;
Mon, 18 Feb 2002 00:20:10 -0800
Received: from nms-hpov-01.tot.or.th ([203.113.32.131])
by mx5-rwc.mail.home.com (8.11.1/8.11.1) with ESMTP id g1I8K3C23547;
Mon, 18 Feb 2002 00:20:04 -0800 (PST)
Received: from 63.232.119.91 (0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by nms-hpov-01.tot.or.th (8.8.8+Sun/8.8.8) with SMTP id PAA25016;
Mon, 18 Feb 2002 15:17:14 +0700 (GMT)
From: 0oidonkah@xxx.co.nz
Message-Id: <200202180817.PAA25016@nms-hpov-01.tot.or.th>
To: <tayf65muwf16e@concentric.net>
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Date: Mon, 18 Feb 2002 16:05:13 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
送った英文メールの情報提供、誠に有り難うございます。
もう一系統のヘッダを見るに確かに同じネット業者で
別系列のエラーがあるようですね。
で、みねぎし様の受けているサービスが分からないのですが、
どこかのホスティングサービスを受けていて、サーバの設定などは
御自分でおやりになるのでしょうか?
それともやはりそんなことは出来ず、あくまで一ユーザですか?
というのはそれだけの被害だとメールボックスの容量が間に合わないなど、
危険だと思うのですが、大丈夫なのでしょうか?
もし大丈夫ではないなら、取りあえず、同様なメールを
自動でサーバなどから削除するように設定を設けるなりした方が良いでしょう。
自分にそのような権限がないなら受けているサービス会社に
御願いした方が良いでしょう。
無論これはあくまでサーバをダウンさせないが為の便宜的な
措置です。前述のように、エラーメールを解析して
そこから送信側へアプローチを行うことが根本的解決方法ですが
それはエラーメールがあってこそ出来るんで、
エラーメールを受け付けなくするのも問題ではあります。
もし容量的に大丈夫そうなら、気を付けながら
前述の送信側へのアプローチをした方が良いと思われます。
> 嫌がらせの線はまったく考えておりませんでしたが、
> 自分の身の回りに、こんなすごい事ができる人はおりません。
> どこかに嫌がらせ請負業者でもあるのでしょうか?
それほど「すごい事」ではないので(^^;;)
実生活で思い当たる人がいなくてもネット上でなんらかの恨み、
逆恨みを買った場合には起こらないことではありません。
ただ私は今回の場合、その可能性は前述のように必ずしも大きくないと
考えています。
そういえば言い忘れていましたが私も英文spamを良く受け取るのですが
苦情先のqwest.netはspam発信元として何回か苦情をした記憶があります。
日本の某無料プロバイダさんのように比較的spamに利用されやすい
企業なのかもしれません。
苦情はGeekToolsのページを検索して出てくるメルアドよりも
http://www.qwest.net/nav4/help/your_acct/abuse_rpt.html
に書いてあるようにやはりabuseの方が相応しいようです。
そういう事例もあったので、特にみねぎし様の報告から
嫌がらせの想定はしませんでした。
今まで受けた相談事例から考えても嫌がらせよりも
英文spam冤罪被害の方がぴったり来ます。
ただ、「spamおよびspamの冤罪被害」と「嫌がらせ被害」は
境目判定が難しく、まる氏の言うように
100%spam冤罪のみ(のみ?)だとも断定できません。
いずれにせよ、qwestの依頼の結果いかんで様子を見てからです。
まあspam冤罪だと私が思うのは願望も含んでいます。
想像して分かるように、spammerだったら単に気まぐれで
みねぎし様のドメイン名を名のっただけでしょうが
嫌がらせだったら「気まぐれ」では済まないでしょうから。
今の状態が続く限り、一日に一回、あるいは二日に一回、
qwest、というか同じ方法で送信元と思われるネット業者に
みねぎし様は苦情を送り続けた方がいいでしょう。
私が前に上げた事例のように、
このようなspam冤罪被害はネット業者にとって必ずしも珍しいことではないため、
それゆえにあまり真剣になってくれない場合もあるようです。
まったくもってひどいことですが。
日本でも同様な冤罪被害は発生していますが、ネット業者あるいは
(携帯電話だったらキャリア)の対応は冷たいと聞きました。
spamも困りものですが、まったくもってこのspam冤罪もひどいことです。
そういえば当サイトの一番古い記帳ログ
http://earth.endless.ne.jp/users/stakasa/spam/wforum/lajivisi.html
に、こまのり様という方がメールアドレスを詐称され毎日
100通以上のエラーが届き、メルアドを変えざるを得なくなった
という報告がされています。
この方はメルアドを変えてしまったわけですが、
spammerがみねぎし様のドメインを気まぐれで選んだのなら
今回の一連のspam発信に区切りがついたら、あるいはqwestから
なんらかの処置がされたあとは別なメルアドを名のる可能性があり、
そうなるまで耐えれば、嵐は止むと考えられます。
早くそうなることを願っております。
適切なレスが付いていますので私のほうは「いやがらせ?」の立場(^^;で
書こうと思います。
> 嫌がらせの線はまったく考えておりませんでしたが、
> 自分の身の回りに、こんなすごい事ができる人はおりません。
> どこかに嫌がらせ請負業者でもあるのでしょうか?
ハッカーとかクラッカーとかのレベルではなく、ちょっと考えると誰にでも出来るレベルと言う事です。具体的にちょっとだけ触れておきます。
知る限り日本のプロバイダはプロバイダで貰うアドレス以外では送信出来なかったり(詐称防止)
最初に受信してからでないと送信サーバが使えなかったりします(POP before SMTP)時間制限があるのもあります。
だがそうでないプロバイダもあります。それを責める事は出来ません。
請負業者はいるともいないとも言えないのがネットなんですが
こちらは知らなくとも相手は良く知っているなど思いもかけない場合があります。
多数と交流があるチャットや掲示板、ネットショップ(小規模)などが
不特定多数と交流するので嫌がらせを受けたりしやすいと思いますが
逆に少ない交流でもあり得るので罪の重さの割に安易にやりやすい方法でもあります。
えと、subがアダルトのようですが錠剤の宣伝?(^^;(ホント英語ダメダメだわ)
嫌がらせなら不愉快なメールにしますのでアダルト関係やら不健康そうなら
健康関係とキメ打ちしていくと思います。
2-3000のエラーですので送信した総数はアドレス名簿の精度によりますが
エラーが2割くらいだとすると1万から2万ほどが送信されていると思います。
今までのsubから推測するのも含めて「いやがらせ?」という推測は管理人さんの
言う通り外しているかと思いますまたそうであって欲しいと思っています。
特定のIPというかISPから連続して詐称送信するのは個人が特定しやすいので
遠回りな嫌がらせをする心理から言えばスパマー以上に警戒するからです。
スパマーであれば使えるSMTPはつぶれるまで使い倒し、ISPから警告停止を
受けるまで使うのが普通であったりします。
送信を阻害されない限り(みねぎしさんが措置を取るまで)続くと思いますので
今回の措置で止まると良いですね。短時間に何度か試すのが良いと思います。
本文は同じにしないで変えるとよいと思います。自動送信でなく、
手動で困っている事を相手に伝えるのが目的ですから。
高崎さん、まるさん、いろいろと応援ありがとうございます。
自分は単なる1ユーザーのため、サーバーから不要メールを削除する
ソフトを使い、ほとんどのUndelivered mailを消し、残った50通くらいを
受信して、ヘッダーを見ていますので、メールボックスは大丈夫です。
今回の苦情にたいし
From: Request Tracker <diaprodmaint@qwestip.net>
さんより以下のメールが返信されてきました
Greetings,
This message has been automatically generated in response to your
message regarding "Same more sample", the content of which ppears below. There is no need to reply to it now. Request Tracker has received your message and it has been assigned a ticket ID of [Request Tracker #39526]. Please include the string
[Request Tracker #39526]
In the subject line of all future correspondence about this Problem. To do so, you may reply to this message.
There is a 48 hour turnaround on all customer change management requests.
Thank you,
IP Network Services
自動送信ではありますが[Request Tracker #39526]という番号をつけ
分析をはじめますという内容です。これで止まると良いのですが。。。
ちなにみ自分の方は、メールアドレスを変えると、業務に支障がでる可能性
もあるため、このまま戦ってみる覚悟でおります。今朝も1300通のメールが届き、そのうち30通を受信したところ内容も5種類に渡り、
Subject: New Pill makes your semen taste sweet-she'll swallow and love it
Subject: STOP SNORING IMMEDIATELY....
Subject: Is loud snoring keeping you or loved ones awake?
Subject: Make smarter investment decisions! Optimize your returns.. for more info..
Subject: Reach your investment goals faster! Look here for more info..
Subject: New investment that pays 10% guaranteed interest per annum..for more info
やはり同じサーバーが使われていました。
皆さんの今後の参考にもなればと思い、このまま実況中継を続けさせていただきます。
私の方は的外れでしたので今回は参考になりませんで、すいません(^^;
自動応答で返事がきたようですね、早いところ措置が取られるといいですね。
subject見るとバラバラのようでやはり職業的スパマー?ですか。
日本語スパマーですと効率を考えるようでレスポンスが少ないアドレスには
送信しなかったりあらかじめ狙い撃ちで送信したりするのですが
英文(外人とは限りませんが)ですとなんというか数で勝負!てな感じです。
良く「当社比200%UP!!」とか謳うように数が多い方が良いのですかね(^^;
非効率だと思うのですが。。
あ、今回の事では当てはまらないです、以前受け取った時にそう思った記憶で書いてます。私宛に英語で来られてもわかりませんでしたから(^^;;
業務で支障が出る可能性があるならHPなりでその旨を掲示しておくと良いと思います。別にフリーアドレスかなにかあるならCCで送信してもらうように
書いておくとさらに良いかと。
まるさんレスありがとうございました。現在は自分宛のメールも他のスタッフにCCを入れてもらっているので、大事なメールの取りもらしは、かなり防いでいると思います。ただこれが個人のアドレスだったら、まるさんの方法が一番かと思います。ところで、勝手に実況中継ですが、今朝はメールの数が少し減りました。昨日まで、朝一番にメールボックスに1300通くらいたまっていたのですが、今朝は550だけになりました。このまま、消滅してくれるといいのですが、(件名も256色の無料の名詞が大部分になりました)。引き続き報告を入れたいと思います。
> ところで、勝手に実況中継ですが、今朝はメールの数が少し減りました。
今まで、みねぎし様のようなエラー量で詳細な報告はなかっただけに
今後の参考になると思いますので助かります。
私が半年以上前に
聞いた例は二桁の量だったので比較になりません。
biglobeなどのメールボックスは999通がMaxですので一晩で
オーバしてしまいます。
それにしてもいい感じに減ってきましたね。
御存じのようにエラーメールが返ってくるのは
届けられるサーバによって何日後か違います。
ですから発信自体が止まってもエラーが届くのは減りながらも
しばらく続く可能性があるでしょう。
エラーメールの中身のヘッダを見たときにDateはいい加減ですが
前に述べた四つの数字すなわちIPアドレスと同列にある
日付は実際に発信された時間と近いので
---------------------------------------メールその1
Return-Path: <09@xxx.co.nz>
Received: from 63.232.50.39 ([63.232.50.39])
by sel660b.hanjin.com (AIX4.3/8.9.3/8.9.3) with SMTP id WAA257250;
Sun, 17 Feb 2002 22:22:27 +0900
日本時間で2/17 22:22
---------------------------------------メールその2
Return-Path: <00luke@xxx.co.nz>
Received: (qmail 11281 invoked by alias); 17 Feb 2002 18:13:16 -0000
Delivered-To: alias-tnet-tscotti@total.net
Received: (qmail 11022 invoked from network); 17 Feb 2002 18:13:13 -0000
Received: from unknown (HELO linuxweb.dcgift.com.tw) (203.204.166.250)
by pop.total.net with SMTP; 17 Feb 2002 18:13:13 -0000
Received: from 63.232.121.154 ([63.232.121.154])
by linuxweb.dcgift.com.tw (8.11.6/8.11.6) with SMTP id g1HIEQM21933;
Mon, 18 Feb 2002 02:14:27 +0800
日本時間で2/18 03:14
---------------------------------------メールその3
Received: from luckybusan.com (unknown [211.219.246.25])←●
by tor-mta2.attcanada.ca (Postfix) with ESMTP
id 9ABBA3F8AB9; Sun, 17 Feb 2002 13:12:42 -0500 (EST)
Received: from 63.232.121.154 ([63.232.121.154]) by luckybusan.com with Microsoft SMTPSVC(5.0.2195.3779);
Mon, 18 Feb 2002 03:19:30 +0900
日本時間で2/18 03:19
---------------------------------------メールその4
Received: from mx.uni-klu.ac.at (mx.uni-klu.ac.at [143.205.180.45])
by www-edu.uni-klu.ac.at (Postfix) with ESMTP id A2C661674CC
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:14 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mx.uni-klu.ac.at (Postfix) with ESMTP id 71250D1EF0
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:11 +0100 (CET)
Received: from bigfoot.com (mail.bigfoot.com [64.15.239.140])
by mx.uni-klu.ac.at (Postfix) with SMTP id 61431D1EEA
for <amudge@edu.uni-klu.ac.at>; Sun, 17 Feb 2002 19:14:09 +0100 (CET)
Received: from nurine ([211.115.212.208])←●
by BFLITEMAIL1A.bigfoot.com (LiteMail v3.02(BFLITEMAIL1A)) with SMTP id 17Feb2002_BFLITEMAIL1A_26801_62904485;
Sun, 17 Feb 2002 13:14:03 -0500 EST
Received: from 63.232.121.154 ([63.232.121.154])
by nurine (8.9.3+Sun/8.9.1) with SMTP id DAA27107;
Mon, 18 Feb 2002 03:13:40 +0900 (KST)
日本時間で2/18 03:13
-------------------------------Mail No4
Received: from jodal (<unknown.domain>[203.247.158.7])←●
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
日本時間で2/18 17:17
--------------------------------Mail No5
Received: from jodal (<unknown.domain>[203.247.158.7])←●
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
日本時間で2/18 17:17
--------------------------------Mail No6
Received: from jodal (<unknown.domain>[203.247.158.7])←●
by prserv.net (in3) with ESMTP
id <2002021808202110304bfk29e>; Mon, 18 Feb 2002 08:20:52 +0000
Received: from 63.232.119.91 - 63.232.119.91 by jodal with Microsoft SMTPSVC(5.5.1775.675.
6);
Mon, 18 Feb 2002 17:17:00 +0900
日本時間で2/18 17:17
--------------------------------Mail No7
Return-Path: <0815@xxx.co.nz>
Received: (from root@localhost)
by localhost.localdomain (8.11.2/8.11.2) id g1I8J4W12797;
Mon, 18 Feb 2002 09:19:04 +0100
Received: from 63.232.119.91 (0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by localhost.localdomain (8.11.2/8.11.2) with SMTP id g1I8IuE12762;
Mon, 18 Feb 2002 09:18:57 +0100
日本時間で2/18 17:18
--------------------------------Mail No8
Received: from 63.232.119.91
(0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by mounties.com.au; Mon, 18 Feb 2002 19:18:04 +1100
日本時間で2/18 17:18
--------------------------------Mail No9
Received: from mx5-rwc.mail.home.com ([24.0.95.34])
by femail34.sdc1.sfba.home.com
(InterMail vM.4.01.03.20 201-229-121-120-20010223) with ESMTP
id
<20020218082010.SNDC2774.femail34.sdc1.sfba.home.com@mx5-rwc.mail.home.com>;
Mon, 18 Feb 2002 00:20:10 -0800
Received: from nms-hpov-01.tot.or.th ([203.113.32.131])←●
by mx5-rwc.mail.home.com (8.11.1/8.11.1) with ESMTP id g1I8K3C23547;
Mon, 18 Feb 2002 00:20:04 -0800 (PST)
Received: from 63.232.119.91 (0-1pool119-91.nas2.austin1.tx.us.da.qwest.net [63.232.119.91])
by nms-hpov-01.tot.or.th (8.8.8+Sun/8.8.8) with SMTP id PAA25016;
Mon, 18 Feb 2002 15:17:14 +0700 (GMT)
日本時間で2/18 17:17
----------------------------
などとなります。同様にして現在届いているものの発信時間を見て、
すでに随分以前のものが多くなったら取りあえず安心ですね。
ちなみにDateの期日は私の経験で言うとかなりいい加減、特に
英文のは無茶苦茶なことが多いのであまり頼りになりません。
う〜ん、なんかそれでも時差が日本と近い物が多いので「?」と
思ったら韓国や台湾やタイのサーバが踏み台にされているようですね。
今更になってしまいましたが、本当は発信だけでなく中継するような
とこにも苦情を送ればいいんですが、発信は少ない箇所でも
中継にはあちこち使っている形跡がありますねー。
もし御面倒でなければ同じSubjectので結構ですから
何通かエラーメールの中身のヘッダを同様に貼り付けて頂けます?
時間があるときでいいですので。
現在日本時間では午後7PMですが、たった今受信したメールヘッダーを貼り付けます。
-------------------------------------オリジナルのヘッダー
Return-Path: <08273732856852@xxx.co.nz>
Received: from spf2.us4.outblaze.com (205-158-62-24.outblaze.com [205.158.62.24])
by lamx01.mgw.rr.com (8.11.4/8.11.3) with ESMTP id g1K9uBN00590
for <mosher@san.rr.com>; Wed, 20 Feb 2002 01:56:11 -0800 (PST)
Received: from port.co.kr ([203.239.77.1])
by spf2.us4.outblaze.com (8.11.0/8.11.0) with SMTP id g1K9u9T16924
for <tmosher@iname.com>; Wed, 20 Feb 2002 09:56:10 GMT
Message-Id: <200202200956.g1K9u9T16924@spf2.us4.outblaze.com>
Received: from 63.232.113.25 (63.232.113.25)
by port.co.kr (203.239.77.1) with [Nmail V3.0 20010809(S)]
for <tmosher@iname.com> from <08273732856852@xxx.co.nz>;
Tue, 19 Feb 2002 07:53:08 +0900
To: <ge4b9b52aw22@concentric.net>
From: 08273732856852@xxx.co.nz
Subject: Make your money work for you! Find out how here..
Date: Wed, 20 Feb 2002 16:54:41 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: eGroups Message Poster
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
-------------------------------------Undeliveredのヘッダー
X-Status: READ
Return-Path: <>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 11770 invoked from network); 20 Feb 2002 09:56:34 -0000
Received: from scanner1.ihug.co.nz (203.109.254.21)
by kate.ihug.co.nz with SMTP; 20 Feb 2002 09:56:34 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner1.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dTUI-00077W-00
for <nori@scanner.ihug.co.nz>; Wed, 20 Feb 2002 22:56:34 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dTUI-0004SG-00; Wed, 20 Feb 2002 22:56:34 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dTUI-0003zg-00; Wed, 20 Feb 2002 22:56:34 +1300
Received: from lamx01.mgw.rr.com [66.75.160.12]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dTUH-0004S7-00; Wed, 20 Feb 2002 22:56:33 +1300
Received: from localhost (localhost)
by lamx01.mgw.rr.com (8.11.4/8.11.3) id g1K9uWN00641;
Wed, 20 Feb 2002 01:56:32 -0800 (PST)
Date: Wed, 20 Feb 2002 01:56:32 -0800 (PST)
From: Mail Delivery Subsystem <MAILER-DAEMON@lamx01.mgw.rr.com>
Message-Id: <200202200956.g1K9uWN00641@lamx01.mgw.rr.com>
To: <08273732856852@xxx.co.nz>
MIME-Version: 1.0
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
X-Rcpt-To: 08273732856852@xxx.co.nz
Content-Type: multipart/report; report-type=delivery-status; boundary="g1K9uWN00641.1014198992/lamx01.mgw.rr.com"
-------------------------------------オリジナルのヘッダー2
Received: from woolim.com ([211.236.73.195]) by odin.us.smartonline.com (Lotus SMTP MTA v4.6.7 (934.1 12-30-1999)) with SMTP id 85256B66.0036761D; Wed, 20 Feb 2002 04:54:52 -0500
Received: from 63.232.114.143 (63.232.114.143)
by woolim.com (211.236.73.195) with [Nmail V3.1 20010905(S)]
for <mlaird@smartonline.com> from <08otl8wunl@xxx.co.nz>;
Tue, 19 Feb 2002 13:26:09 +0900
To: <f7eir4innit@concentric.net>
From: 08otl8wunl@xxx.co.nz
Subject: Get 250 full-color business cards F R E E !
Date: Tue, 19 Feb 2002 12:04:13 -0500
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: The Bat! (v1.52f) Business
-------------------------------------Undeliveredのヘッダー2
Received: from (odin.us.smartonline.com) [12.107.197.228]
by mx1.ihug.co.nz with smtp (Exim 3.22 #1 (Debian))
id 16dTUj-0004Rx-00; Wed, 20 Feb 2002 22:57:01 +1300
From: POSTMASTER@odin.us.smartonline.com
To: 08otl8wunl@xxx.co.nz
Date: Wed, 20 Feb 2002 04:56:46 -0500
Subject: Undeliverable message
MIME-Version: 1.0
Message-Id: <E16dTUj-0004Rx-00@mx1.ihug.co.nz>
X-Rcpt-To: 08otl8wunl@xxx.co.nz
Content-Type: text/plain; charset=ISO-8859-1
-------------------------------------オリジナルのヘッダー3
Received: from 63.232.118.182 ([63.232.118.182]) by topexg01.topmost.com.tw with Microsoft SMTPSVC(5.0.2195.2966);
Sun, 17 Feb 2002 18:49:11 +0800
To: <rktgydead5u@concentric.net>
From: 007is1@xxx.co.nz
Subject: Is loud snoring keeping you or loved ones awake?
Date: Sun, 17 Feb 2002 18:45:19 -0500
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2615.200
Return-Path: 007is1@xxx.co.nz
Message-ID: <TOPEXG01Efjkf50yAlz0000510c@topexg01.topmost.com.tw>
X-OriginalArrivalTime: 17 Feb 2002 10:49:13.0320 (UTC) FILETIME=[BCCBAE80:01C1B7A0]
Content-Type: text/html; charset="iso-8859-1"
X-Content-Transfer-Encoding: quoted-printable
-------------------------------------Undeliveredのヘッダー3
X-Status: READ
Return-Path: <>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 15265 invoked from network); 20 Feb 2002 09:58:51 -0000
Received: from scanner1.ihug.co.nz (203.109.254.21)
by kate.ihug.co.nz with SMTP; 20 Feb 2002 09:58:51 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner1.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dTWV-0007Ak-00
for <nori@scanner.ihug.co.nz>; Wed, 20 Feb 2002 22:58:51 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dTWU-0004fE-00; Wed, 20 Feb 2002 22:58:50 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dTWI-0004Fy-00; Wed, 20 Feb 2002 22:58:38 +1300
Received: from sn6.seed.net.tw (seed.net.tw) [192.72.81.170]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dTWG-0004ds-00; Wed, 20 Feb 2002 22:58:36 +1300
Received: from [203.73.168.35] (helo=topexg01.topmost.com.tw)
by seed.net.tw with esmtp (Seednet MTA build 20010831)
id 16dTVs-0005cQ-00
for 007is1@xxx.co.nz; Wed, 20 Feb 2002 17:58:14 +0800
From: postmaster@mail.topmost.com.tw
To: 007is1@xxx.co.nz
Date: Wed, 20 Feb 2002 05:55:09 +0800
MIME-Version: 1.0
Message-ID: <xc1o8yfog00000155@topexg01.topmost.com.tw>
Subject: Delivery Status Notification (Failure)
X-Rcpt-To: 007is1@xxx.co.nz
Content-Type: multipart/report; report-type=delivery-status; boundary="9B095B5ADSN=_01C1B93C65EA1DD3000006F2topexg01.topmost"
最初に自分が DIAProdMaint@qwestip.netさんに苦情のメールを送ったのが
2月18日の日本時間7PMですので、何らかの処置をしてくれたのでしょうか、それともSPAMMERは通常1週間くらいでやめるのでしょうか?
明日の朝また実況中継を書き込みたいと思います。よろしくお願いします
いずれも日本時間。
> -------------------------------------オリジナルのヘッダー
(略させて頂きます)
> Received: from 63.232.113.25 (63.232.113.25)
> by port.co.kr (203.239.77.1) with [Nmail V3.0 20010809(S)]
> for <tmosher@iname.com> from <08273732856852@xxx.co.nz>;
> Tue, 19 Feb 2002 07:53:08 +0900
spammerが出したのが2/19 7:53
> -------------------------------------Undeliveredのヘッダー
> X-Status: READ
> Return-Path: <>
> Delivered-To: nori@n.pop.ihug.co.nz
> Received: (qmail 11770 invoked from network); 20 Feb 2002 09:56:34 -0000
エラーが届いたのが2/20 18:56
> -------------------------------------オリジナルのヘッダー2
> Received: from 63.232.114.143 (63.232.114.143)
> by woolim.com (211.236.73.195) with [Nmail V3.1 20010905(S)]
> for <mlaird@smartonline.com> from <08otl8wunl@xxx.co.nz>;
> Tue, 19 Feb 2002 13:26:09 +0900
spammerが出したのが2/19 13:26
> -------------------------------------Undeliveredのヘッダー2
> Received: from (odin.us.smartonline.com) [12.107.197.228]
> by mx1.ihug.co.nz with smtp (Exim 3.22 #1 (Debian))
> id 16dTUj-0004Rx-00; Wed, 20 Feb 2002 22:57:01 +1300
エラーが届いたのが2/20 18:57
> -------------------------------------オリジナルのヘッダー3
> Received: from 63.232.118.182 ([63.232.118.182]) by topexg01.topmost.com.tw with Microsoft SMTPSVC(5.0.2195.2966);
> Sun, 17 Feb 2002 18:49:11 +0800
spammerが出したのが2/19 19:49
> -------------------------------------Undeliveredのヘッダー3
> X-Status: READ
> Return-Path: <>
> Delivered-To: nori@n.pop.ihug.co.nz
> Received: (qmail 15265 invoked from network); 20 Feb 2002 09:58:51 -0000
エラーが届いたのが2/20 18:58
−−−−−−−−−−−−−−−−−−−−−−−−−−−−
前回の時と比べて一目瞭然ですが、一回目、二回目の時に報告して下さったのは
spammerの手から離れて長くて7時間ほど、ほとんど数時間前のものでした。
今回のものはお手元にエラーが届いたのはちょっと前でも
spammerが出したのは3つともほぼ24時間以上経っています。
3つだけでは分かりませんが、もはや送信を止めている可能性が高いでしょう。
> 最初に自分が DIAProdMaint@qwestip.netさんに苦情のメールを送ったのが
> 2月18日の日本時間7PMですので、何らかの処置をしてくれたのでしょうか、
> それともSPAMMERは通常1週間くらいでやめるのでしょうか?
う〜ん、それは分かりませんが、タイミング的には依頼をしてから
24時間程度のものしか届いていないということは
何かしてくれたのかもしれないですね。でも単に
spammerが十分に送り終わったかもしれません。
(まだ止まっていないのかも--;;)
このまま收束してくれると良いのですが。
引き続き勝手に実況中継ですが、今朝はかなり減りました。
144通のメールのうち、本当に自分宛てだったのが6通あったので
138通のみとなりました。全部は見てませんが、ほとんどのメールが
Subject: Get 250 full-color business cards F R E E !
だけになり、これが最後の広告ではないかと期待しています。ヘッダーのサンプルを貼り付けます。
-------------------------------------------オリジナル
Return-Path: <08otl8wunl@xxx.co.nz>
Received: (qmail 11600 invoked from network); 20 Feb 2002 18:17:25 -0000
Received: from woolim.com (211.236.73.195)
by 66.28.178.218 with SMTP; 20 Feb 2002 18:17:25 -0000
Received: from 63.232.114.143 (63.232.114.143)
by woolim.com (211.236.73.195) with [Nmail V3.1 20010905(S)]
for <darrylt@smartnfinal.com> from <08otl8wunl@xxx.co.nz>;
Tue, 19 Feb 2002 13:26:14 +0900
To: <f7eir4innit@concentric.net>
From: 08otl8wunl@xxx.co.nz
Subject: Get 250 full-color business cards F R E E !
Date: Tue, 19 Feb 2002 12:04:13 -0500
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: The Bat! (v1.52f) Business
-------------------------------------------Undelevered
X-Status: READ
Return-Path: <>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 19662 invoked from network); 20 Feb 2002 18:17:35 -0000
Received: from scanner2.ihug.co.nz (203.109.254.22)
by kate.ihug.co.nz with SMTP; 20 Feb 2002 18:17:35 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner2.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dbJ9-0005CO-00
for <nori@scanner.ihug.co.nz>; Thu, 21 Feb 2002 07:17:35 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dbJ9-0004gE-00; Thu, 21 Feb 2002 07:17:35 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dbJ8-0001uA-00; Thu, 21 Feb 2002 07:17:34 +1300
Received: from (animationlibrary.com) [66.28.178.218]
by mx1.ihug.co.nz with smtp (Exim 3.22 #1 (Debian))
id 16dbJ5-0004f6-00; Thu, 21 Feb 2002 07:17:31 +1300
Received: (qmail 11610 invoked for bounce); 20 Feb 2002 18:17:28 -0000
Date: 20 Feb 2002 18:17:28 -0000
From: MAILER-DAEMON@animationlibrary.com
To: 08otl8wunl@xxx.co.nz
Subject: failure notice
Message-Id: <E16dbJ5-0004f6-00@mx1.ihug.co.nz>
X-Rcpt-To: 08otl8wunl@xxx.co.nz
ほぼ確実に收束ですね。
で、みねぎし様、今更なのですがメーラに取り込んだエラーメールは
捨ててしまったでしょうか?
それならそれで良いのですが、もし残っていたら
今後参考までに転送していただきたく思うんですけど。
−−−
・被害に遭い始めて以降一日あたり10通以上
・つまりは全部で60通くらいですかね
(多ければ多いほど良い、ただし全部600通以内くらい^^;;)
・出来ることならタイトルが同じものもいくつか含めて、
すなわち上の10の中で同じ種類のものが2組3通ずつとか。
(中身の点検が面倒だったらやたらめったら送って下さって
良いです)
−−−
で送って頂けないでしょうか?もし消してしまっていたのなら
残っている分で構いませんし、もはやほとんど残っていないなら
残っている中の10通から20通ほどで構いません。
何十通も転送するのは大変だと思うんですが、
無論、何も書く必要なくバババババっと私宛に
して頂けば有り難いんですが。
どんなことを分析したいかというと
−−−−
・一つの種類(Subject)のspamに対して、
使っている中継サーバ等は同じであるか。
・spammerの送った種類の多さ
・spammerの送信の時間的遷移(これは
中継していただいたことで隨分分かりましたが
もう少し分析したいので)
−−−−
などです。
急がれる必要はありません。今度お時間があいたときで結構です。
今後の同様な被害例あるいはspammerそのものの行動の
分析の為に御協力頂けますか?
というのもですね、spamの性質上、受け取る側はあっちこっち
あるいはとっかえひっかえに「見える」形で受け取るわけですが、
日本の場合も英文spamの場合もおそらく送信者はいくつかの
グループに分かれていると考えられます。
現在追跡中のソニーテシオはそういう中の一グループですが
このspamに関しては内容的な特徴と、幅広い情報収集で
spam行動の実態が大体分かるんですが、英文spamの場合には
少なくとも日本では全く分かっていません。
一つのspamグループがどれくらいの種類の、
どれくらいの量のspamを、そして中継サーバなどを
使う際にはどういった単位で使うのかなども見えていません。
つまり受け取る側はあちこちから少しづつなんですが
送る側は一箇所からたくさんなわけです。ですから受信者側が
送信者側の状況を推定するのは困難で、今回のようなのは
一つのspammerの行動を掴む上で良いケーススタディなんです。
分析して何が良いかというと、冤罪被害に遭ったときも
今回は送信元にのみ依頼をしましたが、場合によっては
中継サーバに使われている業者に依頼する手もありました
(しかし世界中に散らばっている中継に弱いサーバを
突くので多分そういうところの管理人はきっちりしていないから
対処も望み薄)
そういうことが出来るかどうかも分析してみたいんです。
よろしければ御協力下さい。
なお送っていただく際には本文もタイトルも全く変更せず
ひたすら機械作業で私のアドレスに送りつけて下されば構いません。
見たいのは主にメールの中の元のspamのヘッダなんで
エラーメール自信のヘッダは必要ありません。つけられるなら
つけて頂くにこしたことはないですが、多分面倒でしょうし
特に欲しいのはspam自体のヘッダです。
高崎さんのレスの件、了解しました。まだ4〜50はとってあります。
近いうちに、拾い出して送らせていただきます。
ところで、今朝は168通のSPAMのジャンクで半分以上はヘッダーより15日に出されたものが、今帰ってきていることがわかりました。今回”手口が変わったかも”と書きましたが、Return-Path:だけptc.co.nzを使われ、From:は他の人(新しい犠牲者でしょうか)になっているものが2通ありました。ヘッダー
貼り付けます。
-----------------------------------------------------その1
Return-Path: <0164a8c0@xxx.co.nz>
Received: (qmail 26892 invoked from network); 21 Feb 2002 15:06:35 -0000
Received: from unknown (HELO spf12.us4.outblaze.com) (205.158.62.36)
by 205-158-62-64.outblaze.com with SMTP; 21 Feb 2002 15:06:35 -0000
Received: from spf4.us4.outblaze.com (205-158-62-26.outblaze.com [205.158.62.26])
by spf12.us4.outblaze.com (8.11.0/8.11.0) with ESMTP id g1LF6Zg20808;
Thu, 21 Feb 2002 15:06:35 GMT
Received: from kunhwaeng.co.kr ([203.231.78.10])
by spf4.us4.outblaze.com (8.11.0/8.11.0) with SMTP id g1LEv7147719;
Thu, 21 Feb 2002 14:57:57 GMT
Message-Id: <200202211457.g1LEv7147719@spf4.us4.outblaze.com>
To: <dudd4rsp2cfw@concentric.net>
From: 01bb91b2.7e887960@rosenholm.dk
Subject: Hot investment news
Date: Sun, 17 Feb 2002 00:09:34 -0500
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
--------------------------------------------------その2
Return-Path: <0ew7swr3dd@xxx.co.nz>
Received: (qmail 62330 invoked by alias); 21 Feb 2002 14:46:30 -0000
Received: from unknown (HELO kunhwaeng.co.kr) (203.231.78.10)
by mx3.mho.net with SMTP; 21 Feb 2002 14:46:30 -0000
From: postmaster@kunhwaeng.co.kr
To: 0ualdlhel@weblink.ru
MIME-Version: 1.0
Content-Type: multipart/report;report-type=delivery-status;
boundary="INCOMO"
Subject: return receipt (FAILURE) for gilad@webramp.net
Date: Wed, 20 Feb 2002 12:49:33 +0900
--------------------------------------------------
日付も新しく、新サブジェクトなので、いやな感じです。また以下のパターンも20通くらいありました。これはSPAMMERとして登録されてしまったのでしょうか。
--------------------------------------------------
X-Status: RECV
Return-Path: <dpo1@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32379 invoked from network); 21 Feb 2002 11:05:10 -0000
Received: from scanner2.ihug.co.nz (203.109.254.22)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:10 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner2.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2E-0005yS-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:10 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2D-0004r3-00; Fri, 22 Feb 2002 00:05:10 +1300
Received: from mx2.ihug.co.nz [203.109.252.10]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr2C-0002q0-00; Fri, 22 Feb 2002 00:05:08 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2B-00059W-00; Fri, 22 Feb 2002 00:05:07 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB55H02311;
Thu, 21 Feb 2002 06:05:05 -0500
Date: Thu, 21 Feb 2002 06:05:05 -0500
From: dpo1@cartworks.com
Message-Id: <200202211105.g1LB55H02311@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to dpo1@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
(自動返信、2度とあなたのメールは見ません)
--------------------------------------------------
ぜひお知恵を拝借したいと思います。
転送有り難うございました。
しかしまだ分析どころではなさそうですね。
まず前半の質問ですけれども両者とも
韓国の企業(co.kr)のサーバを通っています。
203.231.78.10
というやつですね。
最近の英文spamでは亞細亞のサーバを踏み台にするけしからん輩が
多いので、これは発信元ではなく中継元だと感じます。
しかし例の2通ではそれ以前の形跡が分かりません。
転送していただいた中も同様でした。
あ、そうか、このco.krがそれ以前の形跡を消す設定だったら
どうしようもないですね。ともかく、やるべきことは
−−−−−−−−−−−
1.203.231.78.10を通ってきているもので、
その前のサーバ情報が残されているもの、すなわち
Recieved:from co.kr(203.231.78.10) by云々
の下に
Recieved:from 云々(4つの数字IPアドレス)by co.kr(203.231.78.10)
もあるようなヘッダのメールはありませんか?
(しかし前述の通り、co.krを通るときにヘッダを残さない
可能性があり、そうであれば見つからない可能性が高い)
2.もし上のが無ければ、同じタイトル、あるいはそうでなくても
良いのでco.krを通ってきているのではない、spamのヘッダはありませんか?
−−−−−−−−−−−
もし1が駄目なら(まあたとえ見つかっても)
co.krに苦情を言うしかありません。踏み台にされるようなところは
管理がきちんとしていないのでメールが届くかも不安ですが
上のIPアドレスを前のGeekToolsで検索した結果
ENGLISH
[ ISP member ORG information ]
Org Name : PSINet Korea Inc.
Service Name : PSINet
Org Address : Seoul Inet Bldg, 738-37, Yoksam-dong, Kangnam-gu
[ Admin Contact Information ]
Name : Changseung LEE
Phone : 02-531-7700
Fax : 02-555-8127
E-Mail : mgr@kr.psi.net
[ IP Manager Contact Information ]
Name : Soojeong LEE
Phone : 02-531-7700
Fax : 02-555-8127
E-mail : ipadm@kr.psi.net
[ Hacking/SPAM Contact Information ]
Name : ABUSE
Phone : 02-531-7900
Fax : 02-555-8127
E-mail : abuse@kr.psi.net
(以上、@は全角にしていますので@に直して)
とでてきて、そこの会社にサービスを提供しているのは
不安のあるpsiネットですが、取りあえず上の一番下のように
spam等の苦情受付をしているので、そこに今回のことを伝えて下さい。
要旨は
−−−−−−−
一.中継(OpenRelay)をされているのか、発信元かは
分からないが、貴社がサービスを提供している
kunhwaeng.co.krからspamが発信されている。
二.そのspamはReturn-Pathに、
私が所有しているドメイン名を詐称しているので
spamのエラーメールがpostmasterである自分の
ところに大量に届いている。
三.日に何百通くらいで業務に支障、あるいは
大変困っているので、即刻対処(中継の停止、発信の停止)
をして頂きたい。
−−−−−−−
そのような内容です。仮に1番でco.kr以前のサーバが
見つかった場合には、やはりそのIPアドレスを
http://www.geektools.com/cgi-bin/proxy.cgi
に入れて、前回qwestの時にしたようなのと同じ苦情を入れて下さい。
これに関しては分からなければ1のようなメールヘッダが
見つかった場合私に連絡、あるいは再度掲示版に
貼り附けて下さい。
なお苦情の際には両者のメールとも単なるspam被害ではなく、
冤罪被害(って言葉はないと思うが)であることを強調して下さい。
−−−−−−−−−−−−−−−−−
で2をする目的ですが、言うまでもなくもしかすると
co.krとは別な方面から現在のspammerの
利用しているサーバを見つけられるかもしれないという発想です。
なお後半の質問に関してはMLに問い合わせ中です。
乱文ですが取りあえず。
後者の系統はspamではないので多分送って下さった中に
入っていないと思っていますが、
後者の系統に関してもっと、そうですね、
5通くらいを取りあえず公開して頂けますか?
「登録されてしまったのでしょうか」とおっしゃっていますが
確かにそれが気になります。
送信してきた方がネットワーク管理者レベルなのか、
個人レベルなのか、さらにはMAPSなど
spam関係データベースを作っているようなところなのかによって
対処の重要性が変わってきます。
まあ管理者レベル以上ならspam問題で
FromやReturnPathを素直に信じる愚者はいないかもしれませんが、
たとえ信じなくても、つまり詐称だと分かっていても
それ関係のspamがひどいなら、管理者の中には
緊急措置として取りあえず件のドメイン名は
拒絶する設定にしないとも限りません。
もしその旨を通知してきたメールがあれば、
完全に事が収まったときに無関係である旨、収まった旨を
伝えた方が良い気がします。
この辺に関しては現在MLで情報募集中です。
スレッドが隨分続いてしまった上、もう少しかかるかもしれないので、
こっちにレスして下さい。
スレッドが長くなると見にくくなる掲示版だったので
それを改良するのに良い機会でしたが、
今回に関してはもう少しかかるかもしれませんので。残念ながら。
今朝は70通くらいに減り、収束の兆しを感じております。さらにその70通
のうちほとんどが、同じサーバーから(昨日も見たもの)だったため、ついうっかり、サーバーからすべて消してしまいました。
毎日のメール削除が日課になり、何といいますか、手が勝手にリズムに乗って、あっという間に全部消してしまいました。トホホです。今までは消してもすぐに、新しいものがまた送られてきたのですが、今日はありません。
本来はSPAMが減ったので、うれしいはずなのですが、SPAM撲滅に燃えてしまったため、とても残念です。
昨日のReply toのみ使われているもののサンプルは他には見つかりませんでした。もう少しサンプルを集めてからサーバーに一報を入れたかったのですが、とりあえずこんなことがあったことをサーバーに伝えます。
今回自分が感じた事はどこのサーバーも1通だけでは何もしてくれないことで、自分のプロバイダーも最初は、うちが発送したものではないので何もできない、という返事でした。毎日”まだ続いている”と2通程度のサンプルを送っていたところ、昨日初めて解析のためメールヘッダーを送ってほしい旨のメールが着たので、高崎さんに送った100通をそのまま送りました。
自分の感覚では、10通のサンプルより1通のサンプルを10回送った方がサーバー側の協力を得やすいように思いました。
多分韓国のサーバーも1通だけでは、フフンという感じかもしれません。
後半の件サンプルを見つけましたので貼り付けます。
X-Status: RECV
Return-Path: <dbriggs@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32256 invoked from network); 21 Feb 2002 11:05:06 -0000
Received: from scanner2.ihug.co.nz (203.109.254.22)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:06 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner2.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2A-0005y4-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:06 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr29-0004qb-00; Fri, 22 Feb 2002 00:05:05 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr28-0002pG-00; Fri, 22 Feb 2002 00:05:04 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr27-0004qG-00; Fri, 22 Feb 2002 00:05:03 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB4wZ01984;
Thu, 21 Feb 2002 06:04:58 -0500
Date: Thu, 21 Feb 2002 06:04:58 -0500
From: dbriggs@cartworks.com
Message-Id: <200202211104.g1LB4wZ01984@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to dbriggs@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
---------------------------------------------------------------
X-Status: RECV
Return-Path: <nettrip@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32270 invoked from network); 21 Feb 2002 11:05:06 -0000
Received: from scanner1.ihug.co.nz (203.109.254.21)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:06 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner1.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2A-00028y-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:06 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2A-0004qi-00; Fri, 22 Feb 2002 00:05:06 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr29-0002pM-00; Fri, 22 Feb 2002 00:05:05 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr27-0004po-00; Fri, 22 Feb 2002 00:05:04 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB4wu01992;
Thu, 21 Feb 2002 06:04:58 -0500
Date: Thu, 21 Feb 2002 06:04:58 -0500
From: nettrip@cartworks.com
Message-Id: <200202211104.g1LB4wu01992@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to nettrip@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
---------------------------------------------------------------
X-Status: RECV
Return-Path: <lewis@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32339 invoked from network); 21 Feb 2002 11:05:08 -0000
Received: from scanner2.ihug.co.nz (203.109.254.22)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:08 -0000
Received: from localhost ([127.0.0.1] helo=mx2.ihug.co.nz)
by scanner2.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2C-0005yO-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:08 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2C-00059l-00; Fri, 22 Feb 2002 00:05:08 +1300
Received: from mx2.ihug.co.nz [203.109.252.10]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr2B-0002pj-00; Fri, 22 Feb 2002 00:05:07 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr29-00059I-00; Fri, 22 Feb 2002 00:05:05 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB53c02190;
Thu, 21 Feb 2002 06:05:03 -0500
Date: Thu, 21 Feb 2002 06:05:03 -0500
From: lewis@cartworks.com
Message-Id: <200202211105.g1LB53c02190@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to lewis@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
---------------------------------------------------------------
X-Status: RECV
Return-Path: <nelson@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32333 invoked from network); 21 Feb 2002 11:05:08 -0000
Received: from scanner1.ihug.co.nz (203.109.254.21)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:08 -0000
Received: from localhost ([127.0.0.1] helo=mx2.ihug.co.nz)
by scanner1.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2C-000296-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:08 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2C-00059k-00; Fri, 22 Feb 2002 00:05:08 +1300
Received: from mx1.ihug.co.nz [203.109.252.9]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr2B-0002pp-00; Fri, 22 Feb 2002 00:05:07 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr29-0004qZ-00; Fri, 22 Feb 2002 00:05:06 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB50T02023;
Thu, 21 Feb 2002 06:05:00 -0500
Date: Thu, 21 Feb 2002 06:05:00 -0500
From: nelson@cartworks.com
Message-Id: <200202211105.g1LB50T02023@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to nelson@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
---------------------------------------------------------------
X-Status: RECV
Return-Path: <dpo1@cartworks.com>
Delivered-To: nori@n.pop.ihug.co.nz
Received: (qmail 32379 invoked from network); 21 Feb 2002 11:05:10 -0000
Received: from scanner2.ihug.co.nz (203.109.254.22)
by kate.ihug.co.nz with SMTP; 21 Feb 2002 11:05:10 -0000
Received: from localhost ([127.0.0.1] helo=mx1.ihug.co.nz)
by scanner2.ihug.co.nz with esmtp (Exim 3.12 #1 (Debian))
id 16dr2E-0005yS-00
for <nori@scanner.ihug.co.nz>; Fri, 22 Feb 2002 00:05:10 +1300
Received: from smtp3.ihug.co.nz [203.109.252.17]
by mx1.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2D-0004r3-00; Fri, 22 Feb 2002 00:05:10 +1300
Received: from mx2.ihug.co.nz [203.109.252.10]
by smtp3.ihug.co.nz with esmtp (Exim 3.22 #2 (Debian))
id 16dr2C-0002q0-00; Fri, 22 Feb 2002 00:05:08 +1300
Received: from host8.christianwebhost.com [209.239.56.204]
by mx2.ihug.co.nz with esmtp (Exim 3.22 #1 (Debian))
id 16dr2B-00059W-00; Fri, 22 Feb 2002 00:05:07 +1300
Received: (from tmartin@localhost)
by host8.christianwebhost.com (8.10.2/8.10.2) id g1LB55H02311;
Thu, 21 Feb 2002 06:05:05 -0500
Date: Thu, 21 Feb 2002 06:05:05 -0500
From: dpo1@cartworks.com
Message-Id: <200202211105.g1LB55H02311@host8.christianwebhost.com>
X-Authentication-Warning: host8.christianwebhost.com: tmartin set sender to dpo1@cartworks.com using -f
To: 1.0.7@xxx.co.nz
Subject: Re: New Hair Loss Treatment that Actually Works! Get More Info Here.....
References: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
In-Reply-To: <SRVADCONSAstPGtPrPr00000bef@srvadconsa.ADCONSA.COM>
X-Loop: default@cartworks.com
Precedence: junk
X-Rcpt-To: 1.0.7@xxx.co.nz
--------
This is an autoresponder. I'll never see your message.
よろしくお願いいたします。
レス位置が違っていたら移動願います。
もう高崎さんのHPに書かれているかもしれませんが
http://hスパムとともに排除されるアジアからのメール
eadlines.yahoo.co.jp/hl?a=20020220-00000005-wir-sci
韓国のサイトがヘッダーに含まれていたので気になっていたのですがこういう方向が
出ているとは知りませんでした。スパムを考えるに「根が深い」問題ですね。
http://www2g.biglobe.ne.jp/~stakasa/spam/zhuanlan.html#xiaojiに書かれているリンク先
http://www.gmo.jp/policy/aboutmail.htmlに判りやすい図があります。
MAPSが使われているのかそうでないかは判りませんが「排除」されつつあることは確かなようですね。
ただ、実際この件について絡めると(?)と思う所あります。
送信元がアジアで無い場合中継が各国に渡ってますね?韓国だったりカナダだったり。。
国内宛てのメールのやり取りしかしていないので私のメールヘッダーは
判るのですが、「中継先を指定する」のは出来るのでしょうか?
ネットの仕組みはなんとなく判るのですがメールを中継するのに
最短を選ぶとか普段から付き合いがあるとか(笑)基準があるのでしょうか?
今朝はUndeliveredが11通のみとなり、しかもサーバーからのメッセージで、5日間送れなかったので返信すると書いてありました。どうやらこれで一段落のようです。高崎さん、まるさん本当にありがとうございました。
いや〜、すっかり收束ですね。良かったです。
前回のには返事をし損ない恐縮です。
「受け付けない」メールは本当に一箇所からのものだったんですね。
cartworks.comの管理人の人が自分のところのユーザ名に
届くspamに業を煮やして、取りあえず受け取らないことを
決めてしまったんでしょうか。
これに関する情報提供をMLで募ったのですが
誰も反応してくれませんでした(^_^;;)。
多分上のような推測のところでしょう。
その管理人も冤罪であることは了承しつつ、
取りあえず拒否の形を取ったのかもしれません。
みねぎし様が気になるようでしたらcartworks.comの管理人をみつけ
件のspamが終わった旨をつげれば良いでしょうし、
万が一その管理人の人がフィルターをつけたままでも
広いネット上でそこの方とやり取りすることは
希でしょうからあまり気になさらなくとも良いでしょう。
頂いたメールはまだ一部しか目を通していないのですが
やはり中継サーバに送るという方法もあったかもしれませんね。
ただし、
http://web.kyoto-inet.or.jp/people/eisaku/spam.html
にも書いてあるように、このかたは主にいくつかの中継サーバに
連絡をとったようですが、きちんとした返事がなかったようですね。
そもそも踏み台にされるようなところは管理が杜撰だからされるんで
直ちに適切な処置をとってくれるとは限りませんし。
ともあれ、本当に良かったです。
今回の被害は毎日エラー3000通という相当ひどいレベルのものでしたが、
ドメイン変更などをすることなく、またサーバを溢れさせることなく、
きちんと対処できて本当に良かったですね。
そういえば、一つだけお聞きしたいのですが、
サーバから直接メールを消すソフトを使ったとのことですけど、
メーラー(電信8号?)付属のものですかね。
それだったら別に返事は必要ありませんが
もし他のソフトがあったのならば一応教えておいて下さると助かります。
実際のところは分かりませんけど、終盤にあたっては
みねぎし様の一種勝ち誇ったような気分が感じられて、
通常だと「しくしく」としか言いようがない冤罪被害なのですが
なんか気持ちよく終わる方が出来そうですね(^^;)
さて、後處理としては、相変わらずまだ読んでいないのですが
最初に紹介した
http://www.cert.org/tech_tips/email_spoofing.html
がアドレス詐称の被害報告受付があると聞きました。
私の場合、そこは知らないんですけど、少なくとも日本では
IPAセキュリティセンター
http://www.ipa.go.jp/security/index.html
でアドレス詐称の被害報告を受け付けています。
日本在住の方にはここへの届け出を勧めるのですが、
国外在住だとどうなのか分かりません(^_^;;)。
実は今回の件があったときに検索してみつけていたのですが
IPAの過去の記録の中に
http://www.ipa.go.jp/security/crack_report/20001013/0009hyo.html
の表の下の方で同様な被害事例が報告されています(役だたんが)。
もし余力がありましたら、そちらの方に連絡してみて下さい。
−−−−−−−−−
最後ですが、今回、たくさんのヘッダをバシバシ投稿していただいた結果、
@ptc.co.nzのメルアドがたくさん掲示されることになってしまいました。
spamのメルアドリスト作成の一手段として
掲示版でのロボット巡回もささやかれていますから
数ヶ月後になって、今度は件のドメイン名のメルアドに
spamが届くようになるというのも厄介でしょうから
念のため@ptc.co.nzは@xxx.co.nzに置き換えておきました。
ただし、みねぎし様が投稿の際に名のられた部分だけは
そのままにしたつもりです。
では本当に御苦勞さまでした(_o_)