| [ 9052 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:pgxFW9V9fi6(本記事は03/03-04:35に修正されました) 2003/02/28頃から、 海外に送信拠点を置く日本語スパムメールの受信量が増加しています。 明らかにメールアドレスのHarvestも日本国内のプロバイダで接続 しているホストによって行われているのですけどね。 送信だけは海外からというところが巧妙というか・・・。 >X-Envelope-From: <ririka@pro.hu> >X-Recipient: <??????@?????.?????> >Received: from server (200-171-213-186.customer.telesp.net.br [200.171.213.186]) > by mx92.?????.??.jp (xxxx) with SMTP > id E?????; Fri, 28 Feb 2003 23:53:56 +0900 (JST) >From: 里梨香 <ririka@pro.hu> >To: Recipient >Subject: 里梨香 14才(中2) >MIME-Version: 1.0 >Content-Type: text/plain; charset=iso-2022-jp >Message-Id: <??????????????????????????????@里梨香> >X-Priority: 1 >X-Sender: ririka@pro.hu >X-Mailer: obaka-MAIL1.2 > > >写真がいっぱいあるよ >消される前に早く見て! > >http://www.ririka.maddsites.com/ >http://www.100-free-sex.com/ririka >http://ririka80.muvc.net/ >http://galileo.spaceports.com/~ririka/ > >名古屋団地とか少女の道草とか知ってる? > >http://book-i.net/ririka80/ 2003/02/28 1 21:15:09 217.218.15.156 2 21:15:14 khipu1.net 3 21:15:32 dial207-11.awalnet.net 4 21:15:32 dial207-11.awalnet.net 5 21:15:37 dial207-11.awalnet.net 6 21:15:37 khipu1.net 7 21:15:39 khipu1.net 8 21:15:40 200-171-213-186.customer.telesp.net.br 9 21:15:41 203.135.21.35 10 21:15:48 200-171-213-186.customer.telesp.net.br 11 21:15:55 dial207-11.awalnet.net 12 21:15:58 dial207-11.awalnet.net 13 21:16:20 217.218.15.156 14 21:16:38 dial207-11.awalnet.net 15 21:16:42 dial207-11.awalnet.net 16 21:17:32 dial207-11.awalnet.net 17 21:18:02 dial207-11.awalnet.net 18 22:50:32 host217-40-99-129.in-addr.btopenworld.com 19 22:53:53 211.142.52.74 20 22:54:43 host217-40-99-129.in-addr.btopenworld.com 21 23:09:06 dial207-11.awalnet.net 22 23:09:46 200-171-213-186.customer.telesp.net.br 23 23:28:27 211.142.52.74 24 23:43:26 225111.bsb.virtua.com.br 25 23:53:27 200-171-213-186.customer.telesp.net.br 26 23:53:28 200-171-213-186.customer.telesp.net.br 27 23:53:29 217.218.15.156 28 23:53:31 203.135.21.35 29 23:53:35 200-171-213-186.customer.telesp.net.br 30 23:53:36 217.218.15.156 31 23:53:40 217.218.15.156 32 23:53:40 200-171-213-186.customer.telesp.net.br 33 23:53:41 217.218.15.156 34 23:53:45 khipu1.net 35 23:53:56 200-171-213-186.customer.telesp.net.br 36 23:54:07 203.135.21.35 37 23:54:13 dial207-11.awalnet.net 38 23:54:48 203.135.21.35 39 23:54:50 dial207-11.awalnet.net 40 23:55:03 khipu1.net 41 23:55:06 200-171-213-186.customer.telesp.net.br 42 23:55:28 khipu1.net 43 23:55:53 dial207-11.awalnet.net 44 23:55:56 dial207-11.awalnet.net 45 23:56:04 200-171-213-186.customer.telesp.net.br 46 23:57:42 200-171-213-186.customer.telesp.net.br 2003/03/01 1 00:58:54 217.218.15.156 2 00:58:56 216.63.173.117 3 00:58:56 host217-40-99-129.in-addr.btopenworld.com 4 00:58:59 200.167.225.111 5 00:59:00 212.235.5.96 6 00:59:16 200.167.225.111 7 00:59:22 212.235.5.96 8 00:59:23 khipu1.net 9 00:59:23 211.142.52.74 10 00:59:39 200.167.225.111 11 00:59:43 200-171-213-186.customer.telesp.net.br 12 00:59:45 203.135.21.35 13 00:59:47 200-171-213-186.customer.telesp.net.br 14 00:59:56 host217-40-99-129.in-addr.btopenworld.com 15 01:00:26 200.167.225.111 16 01:00:33 host217-40-99-129.in-addr.btopenworld.com #余談ですがこの手のものはSubjectが適切にエンコードされていないので MTAによっては8Bitヘッダを弾く設定だけでブロックできるようです。
ID-code:kBfpKF6U/mI(本記事は03/03-23:14に修正されました)
先ほど着弾しました。
これも"★★わたし、飛びます!★★"や"未承諾広告※ほっとマガジン"と同一spammerの可能性が高いです。
#subjectや本文がquoted-printableでエンコードされている点と、HELOに無関係なIPアドレスを指定している点が共通しています。
以下、メールのソース。
Return-Path: <ririka@pro.hu>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 25542 invoked from network); 3 Mar 2003 22:40:03 +0900
Received: from unknown (HELO 76.39.49.03) (211.130.132.27)
by *****.********.ne.jp with SMTP; 3 Mar 2003 22:40:03 +0900
From: ririka@pro.hu <ririka@pro.hu>
To: ***@*****.********.ne.jp
Reply-To: ririka@pro.hu
Subject: =?iso-2022-jp?q?=97=A2=97=9C=8D=81=81@=82P=82S=8D=CB=81i=92=86=82Q=81j?=
Date: Mon, 03 Mar 2003 22:40:35 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="7e823c30-2e51-4913-b168-62cc8c15e3c7"
This is a multi-part message in MIME format
--7e823c30-2e51-4913-b168-62cc8c15e3c7
Content-Type: text/plain; charset=iso-2022-jp
Content-Transfer-Encoding: quoted-printable
=8E=CA=90^=82=AA=82=A2=82=C1=82=CF=82=A2=82=A0=82=E9=82=E6
=8F=C1=82=B3=82=EA=82=E9=91O=82=C9=91=81=82=AD=8C=A9=82=C4=81I
http://ririka80.muvc.net/
http://ririka.6server.com/
http://www.sultryserver.com/teen/ririka/
http://www.royalfreehost.com/teen/ririka/
http://www.pornhostz.com/users/ririka/
=96=BC=8C=C3=89=AE=92c=92n=82=C6=82=A9=8F=AD=8F=97=82=CC=93=B9=91=90=82=C6=82=
=A9=92m=82=C1=82=C4=82=E9=81H
http://book-i.net/ririka80/
http://host.deluxnetwork.com/~ririka/
http://www.free-xxx-server.com/sites/asians/ririka/
--7e823c30-2e51-4913-b168-62cc8c15e3c7--
ID-code:pgxFW9V9fi6 ウチにもNo.9052のメール群が着弾したものとは別のサーバに TCE氏の挙げてくださったものと同様ヘッダのメールが着信。 Return-Path: <ririka@pro.hu> Received: from 79.06.22.03 (f-tokyo-132027.zero.ad.jp [211.130.132.27]) by euro (DIGISPARK MTA Gateway) with SMTP id BBFB8A80AA for <user??@xxx.xxx.xx.jp>; Mon, 3 Mar 2003 23:05:56 +0900 (JST) From: ririka@pro.hu <ririka@pro.hu> To: user??@xxx.xxx.xx.jp Reply-To: ririka@pro.hu Subject: =?iso-2022-jp?q?=97=A2=97=9C=8D=81=81@=82P=82S=8D=CB=81i=92=86=82Q=81j?= Date: Mon, 03 Mar 2003 23:06:23 +0900 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="9a560588-773e-431b-962f-15f6190bacf6" 海外設備ばっかり動員しやがって面倒だなぁ、、と思っていたけれど Zeroを使ってくれたのでいろいろと調査が進みそうです。 ふふん。
ID-code:INa8lO/WIRE
> Zeroを使ってくれたのでいろいろと調査が進みそうです。
当方にもZero経由で着信しました。
「広告社」メールしか届かなかったアドレスに、
着弾していることを鑑みると、
ムトー氏が顧客にリストを引き渡したのでしょう。
(引き渡していないなら届かない)
まぁ、Zeroなので即座にアカウントを切れます。
ID-code:pgxFW9V9fi6 うーん複数のIPアドレスから来てるなぁ。。。 Envelope-From(Return-Path)アドレスも 別のになったなぁ。。 Envelope-From: <ririka@email.it> Received: from 10.29.09.04 (f-tokyo-135090.zero.ad.jp [211.130.135.90]) by mta-gw.xxxxxxxxx.xx.jp (DIGISPARK MTA Gateway) with SMTP id E16612; Tue, 04 Mar 2003 00:28:50 +0900 (JST) From: ririka@email.it <ririka@email.it> To: user???????@xxxxxxxxx.xx.jp Reply-To: ririka@email.it Subject: =?iso-2022-jp?q?=97=A2=97=9C=8D=81=81@=82P=82S=8D=CB=81i=92=86=82Q=81j?= Date: Tue, 04 Mar 2003 00:29:10 +0900 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="f8611eed-4ec1-4a94-9b72-81fc6c1bcc09" #sage
ID-code:tMBO8O9c3vI
> これも"★★わたし、飛びます!★★"や"未承諾広告※ほっとマガジン"と同一spammerの可能性が高いです。
"ほっとマガジン"はかなり古いアドレスリストを(も)使っています。
今回の"里梨香 14才(中2)"と"★★わたし、飛びます!★★"は
ムトー氏が収集したアドレスリスト宛に送付されています。
#sage
ID-code:Wk3aJRoVvYw
> 今回の"里梨香 14才(中2)"と"★★わたし、飛びます!★★"は
> ムトー氏が収集したアドレスリスト宛に送付されています。
私のところにもこれが、ムトーさんからのスパムしか受信しなかったアドレスに来ています・・・。
表示義務違反で日本データ通信協会に情報を送りたいのですが、添付ファイルがついているためこわくて開けません。この添付ファイルは何なのでしょう・・・。メールを開くと何か良からぬことが起きてしまうのでしょうか?
ID-code:CkJudqkaXPo
ウチにも3通も来ました。
> 表示義務違反で日本データ通信協会に情報を送りたいのですが、添付ファイルがついているためこわくて開けません。この添付ファイルは何なのでしょう・・・。メールを開くと何か良からぬことが起きてしまうのでしょうか?
quoted-printable
のテキストがくっついているだけですから大丈夫のはずです。
ID-code:LhRmwRZ10ls
#9087で私は、うちに届いた「里梨香spam」は、「飛びますspam」などとは違うアドレスに届いたと書きました。
しかし、さっき、「飛びます」と同じ4アドレスに届きました、やはり同じリストですね。
#9087は修正しておきます……。
#sage
ID-code:WqS8oRbfjFw
おいらもこのspam受信しました。
日本データ通信協会と日本産業協会だけでいいのですか?
なんか児童ポルノみたいなので,警察に申し出た方がいいような気もするのですが?
zeroには対処要望メールを出しました。
ID-code:cwyFAwbTGmc
> 日本データ通信協会と日本産業協会だけでいいのですか?
> なんか児童ポルノみたいなので,警察に申し出た方がいいような気もするのですが?
都道府県警察本部のハイテク犯罪相談窓口等一覧
http://www.npa.go.jp/hightech/soudan/hitech-sodan.htm
ご自宅に近いところを選んで電話かメールで相談してはどうでしょう?
ID-code:e/wHFdm0MTY
> > 日本データ通信協会と日本産業協会だけでいいのですか?
> > なんか児童ポルノみたいなので,警察に申し出た方がいいような気もするのですが?
ビデオの業者わかったよ。やはりうちで送信してた昔の客だったようちで申し込みして送られてきたビデオの住所が一緒だ。
こいつ内職商法もやっている。うちでやらなくなったので自分たちでやりだしたんだよ。
エロビデオだけど児童ポルノじゃないな。ちくしょう、どうして
やるか、、近くだから行くよ。アドレスはどこかで買ったんじゃ
ないかな、うちじゃないよ。
下記のヤツは現在迷惑メールでおくっているヤツだよ。
<事業者><送信者>JS Co.,Ltd.
港区西新橋2-22-1
麻布オフィス トマリス Div
tomaris@tomaris.jp
-----------------------------------------------------
特定商取引法施行規則 受け取りを希望しない場合の連絡方法
弊社からの広告メールの配信停止を希望の場合は、
@下記URLよりアドレスをお知らせください。
http://www.tomaris.jp/kaijyo2.html
A件名を「配信停止」と書き換え
このメールを返信してください。
その返信元のアドレスに対する配信は停止いたします。
tomaris@tomaris.jp
★★★★★★PC在宅スタッフ募集★★★★★★
【文章・データ入力スタッフの急募】
★業務委託契約にてお仕事をお願いします★
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
詳細・資料請求は下記URLから
http://www.tomaris.jp/
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
在宅Word・Excelでお仕事の出来る方を募集しています。
【募集内容】
【時間】5時間/週 以上のお時間の取れる方
【収入】3〜15万円/月 位の収入を希望する方
(時給1,500円〜2,500円)
●1年以上継続できる方
●キーボードの打てる方
●ワードでお仕事をしたい方
●エクセルでお仕事をしたい方
★業務委託契約にて安定したお仕事が可能です★
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
詳細・資料請求は下記URLから
http://www.tomaris.jp/
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
ID-code:cwyFAwbTGmc
わたしは
・メールアドレスA(ジオメール)
ほとんどのスパムはこちらに来ます
・メールアドレスB(他社の無料メール)
こちらは一時的に公開していたもので、日本語のスパムがたまに届く程度です。
このふたつのアドレスでスパムを受け取ってます。
> Subject: ★★わたし、飛びます!★★
> 未承諾広告※ほっとマガジン
上記の2件はメールアドレスBに届いています。
Bは現在どこにも公開しておりません。
去年秋ごろまでにアドレスを収集されたものと考えられます。
> 里梨香 14才(中2)
これアドレスA、Bともに届いてません。
#sage
ID-code:no_id
買っても偽なんですね
> 2003/02/28頃から、
> 海外に送信拠点を置く日本語スパムメールの受信量が増加しています。
> 明らかにメールアドレスのHarvestも日本国内のプロバイダで接続
> しているホストによって行われているのですけどね。
> 送信だけは海外からというところが巧妙というか・・・。
>
> >X-Envelope-From: <ririka@pro.hu>
> >X-Recipient: <??????@?????.?????>
> >Received: from server (200-171-213-186.customer.telesp.net.br [200.171.213.186])
> > by mx92.?????.??.jp (xxxx) with SMTP
> > id E?????; Fri, 28 Feb 2003 23:53:56 +0900 (JST)
> >From: 里梨香 <ririka@pro.hu>
> >To: Recipient
> >Subject: 里梨香 14才(中2)
> >MIME-Version: 1.0
> >Content-Type: text/plain; charset=iso-2022-jp
> >Message-Id: <??????????????????????????????@里梨香>
> >X-Priority: 1
> >X-Sender: ririka@pro.hu
> >X-Mailer: obaka-MAIL1.2
> >
> >
> >写真がいっぱいあるよ
> >消される前に早く見て!
> >
> >http://www.ririka.maddsites.com/
> >http://www.100-free-sex.com/ririka
> >http://ririka80.muvc.net/
> >http://galileo.spaceports.com/~ririka/
> >
> >名古屋団地とか少女の道草とか知ってる?
> >
> >http://book-i.net/ririka80/
>
> 2003/02/28
> 1 21:15:09 217.218.15.156
> 2 21:15:14 khipu1.net
> 3 21:15:32 dial207-11.awalnet.net
> 4 21:15:32 dial207-11.awalnet.net
> 5 21:15:37 dial207-11.awalnet.net
> 6 21:15:37 khipu1.net
> 7 21:15:39 khipu1.net
> 8 21:15:40 200-171-213-186.customer.telesp.net.br
> 9 21:15:41 203.135.21.35
> 10 21:15:48 200-171-213-186.customer.telesp.net.br
> 11 21:15:55 dial207-11.awalnet.net
> 12 21:15:58 dial207-11.awalnet.net
> 13 21:16:20 217.218.15.156
> 14 21:16:38 dial207-11.awalnet.net
> 15 21:16:42 dial207-11.awalnet.net
> 16 21:17:32 dial207-11.awalnet.net
> 17 21:18:02 dial207-11.awalnet.net
> 18 22:50:32 host217-40-99-129.in-addr.btopenworld.com
> 19 22:53:53 211.142.52.74
> 20 22:54:43 host217-40-99-129.in-addr.btopenworld.com
> 21 23:09:06 dial207-11.awalnet.net
> 22 23:09:46 200-171-213-186.customer.telesp.net.br
> 23 23:28:27 211.142.52.74
> 24 23:43:26 225111.bsb.virtua.com.br
> 25 23:53:27 200-171-213-186.customer.telesp.net.br
> 26 23:53:28 200-171-213-186.customer.telesp.net.br
> 27 23:53:29 217.218.15.156
> 28 23:53:31 203.135.21.35
> 29 23:53:35 200-171-213-186.customer.telesp.net.br
> 30 23:53:36 217.218.15.156
> 31 23:53:40 217.218.15.156
> 32 23:53:40 200-171-213-186.customer.telesp.net.br
> 33 23:53:41 217.218.15.156
> 34 23:53:45 khipu1.net
> 35 23:53:56 200-171-213-186.customer.telesp.net.br
> 36 23:54:07 203.135.21.35
> 37 23:54:13 dial207-11.awalnet.net
> 38 23:54:48 203.135.21.35
> 39 23:54:50 dial207-11.awalnet.net
> 40 23:55:03 khipu1.net
> 41 23:55:06 200-171-213-186.customer.telesp.net.br
> 42 23:55:28 khipu1.net
> 43 23:55:53 dial207-11.awalnet.net
> 44 23:55:56 dial207-11.awalnet.net
> 45 23:56:04 200-171-213-186.customer.telesp.net.br
> 46 23:57:42 200-171-213-186.customer.telesp.net.br
> 2003/03/01
> 1 00:58:54 217.218.15.156
> 2 00:58:56 216.63.173.117
> 3 00:58:56 host217-40-99-129.in-addr.btopenworld.com
> 4 00:58:59 200.167.225.111
> 5 00:59:00 212.235.5.96
> 6 00:59:16 200.167.225.111
> 7 00:59:22 212.235.5.96
> 8 00:59:23 khipu1.net
> 9 00:59:23 211.142.52.74
> 10 00:59:39 200.167.225.111
> 11 00:59:43 200-171-213-186.customer.telesp.net.br
> 12 00:59:45 203.135.21.35
> 13 00:59:47 200-171-213-186.customer.telesp.net.br
> 14 00:59:56 host217-40-99-129.in-addr.btopenworld.com
> 15 01:00:26 200.167.225.111
> 16 01:00:33 host217-40-99-129.in-addr.btopenworld.com
>
> #余談ですがこの手のものはSubjectが適切にエンコードされていないので
> MTAによっては8Bitヘッダを弾く設定だけでブロックできるようです。
ID-code:cwyFAwbTGmc
> >写真がいっぱいあるよ
> >消される前に早く見て!
> >
> >http://www.ririka.maddsites.com/
> >http://www.100-free-sex.com/ririka
> >http://ririka80.muvc.net/
> >http://galileo.spaceports.com/~ririka/
これ、さっき 2ch のどこかのスレッドに書き込まれてるのを見ました。
スパムの送信者がやっているのか、誰かがおもしろがって書いているのかはわかりませんが。
#sage
ID-code:rkyZ9mWPhxQ
> 明らかにメールアドレスのHarvestも日本国内のプロバイダで接続
> しているホストによって行われているのですけどね。
> 送信だけは海外からというところが巧妙というか・・・。
・全く同一のメールが国内のzero.ad.jpから送られている
・送信元IPが変わりすぎている
ので,確証はありませんが,海外から送信しているのではなく,海外のopen proxyを用いてSMTP接続をしているのではないでしょうか。
例えば,3/1の「host217-40-99-129.in-addr.btopenworld.com」は今でも8080番にopen proxyが立っているように見えます。
http://spam.h1r.org/openproxy.html
open proxyでSPAMを送ることができる説明がこのへんにあります。
ID-code:pOoxOobGZGk
> http://spam.h1r.org/openproxy.html
> open proxyでSPAMを送ることができる説明がこのへんにあります。
この詳細が知りたい…
ふーむ…、スパムに関する勉強は まだまだ必要な様だ
#sage
ID-code:kBfpKF6U/mI
> この詳細が知りたい…
> ふーむ…、スパムに関する勉強は まだまだ必要な様だ
Open Proxyサーバを使うと、Proxyサーバ経由で任意のホストにSMTPセッションを張ることが出来ます。
この場合、Proxyサーバより前はSMTPを使わないので、Receivedフィールドに経路情報が記録されません。
受け取ったメールは、Proxyサーバから直接メールが送信されたように見えます。
Open Proxyスキャンは日常的に行われているようで、私が立ち上げているサーバにも時々来ています。
ev-null.cyberangels.nl - - [26/Feb/2003:17:11:43 +0900] "CONNECT 64.157.4.84:25
HTTP/1.1" 405 305 "-" "-"
dev-null.cyberangels.nl - - [27/Feb/2003:16:25:03 +0900] "CONNECT 207.46.181.13:25 HTTP/1.1" 405 307 "-" "-"
218.65.238.4 - - [01/Mar/2003:07:17:52 +0900] "CONNECT 65.54.166.99:25 HTTP/1.1" 405 306 "-" "-"
toronto-hse-ppp3670568.sympatico.ca - - [03/Mar/2003:00:34:19 +0900] "CONNECT maila.microsoft.com:25 / HTTP/1.0" 405 313 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
#sage
ID-code:pOoxOobGZGk
> > この詳細が知りたい…
> > ふーむ…、スパムに関する勉強は まだまだ必要な様だ
>
> Open Proxyサーバを使うと、Proxyサーバ経由で任意のホストにSMTPセッションを張ることが出来ます。
> この場合、Proxyサーバより前はSMTPを使わないので、Receivedフィールドに経路情報が記録されません。
> 受け取ったメールは、Proxyサーバから直接メールが送信されたように見えます。
>
> Open Proxyスキャンは日常的に行われているようで、私が立ち上げているサーバにも時々来ています。
まぁ〜色々考えるもんですね
この労力と言うか、能力と言うか、才能と言うか、応用力と言うか…
そんなモノを、他の有意義な物に使う事を考えないのだろうか?
非生産的と言うか、なんと言うか…
#sage