[掲示板に戻る] [HTML化ログ 大目次へ] [ツリー一覧0025番へ]
[ 13133 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2003 Jul 09 01:13:41
記事No.13133/タイトル:送信者欄に空白
投稿日:2003/07/09(Wed) 01:13:41 / 投稿者:鹿島郡神栖町
★ツリー/親記事[13133]
-レス記事[13135][13145]

ID-code:Yqj0vTci37E(本記事は07/09-01:15に修正されました)

始めまして。最近よく来る送信者なしのスパムなのですが、こんな事って簡単にできるのですか?

注) 当方への宛先<**@***.com>のみ編集しましたが、それ以外は編集していません。
=======================< ヘッダー >=======================
Return-Path: <>
Received: from MailUser ([218.9.149.62] (may be forged)) by biwa6.he.net (8.8.6p2003-
03-31/8.8.2) with SMTP id IAA19081 for <**@***.com>; Tue, 8 Jul 2003 08:41:51 -0700
Message-Id: <200307081541.IAA19081@biwa6.he.net>
Reply-To: ""<>
From: ""<>
To: "" <**@***.com>
Subject: Re:Re:
Sender: ""<>
Mime-Version: 1.0
Content-Type: text/plain; charset="Shift_JIS"
Date: Mon, 9 Jul 2001 00:36:01 +0900
X-UIDL: M4>"!QT+"!<cj"!'-m!!
=======================< ここまで >=======================
=======================< ほんぶん >=======================
----- Original Message -----
To: <**@***.com>
Sent: Monday, July 09, 2001 12:36 AM
Subject: Re:Re:

★------------------------------------------------------------------★
  ====== JPGIRL Laboratory News vol.4 ======
★------------------------------------------------------------------★
♪♪♪♪バド娘乱交Fuck無料サンプル動画公開中です〜〜〜♪♪♪♪
CLICK→ http://man.8800.org/adultcontents/movie/fuck/actress/jpgirl-lab/
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
超有名女優の最新動画満載!!もちろん流出もあります!!
それだけじゃない!!複数ぶっかけ・青姦・中出し・スカトロ…実に豊富です!!
それに加えてオメコ超ドアップ☆しかもイキのいい射精(だし)っぷりです!!
もちろんモザイクは一切なしです!!顔も口のすぼみ具合もくっきり!!
極め付けに当サイトは日本語対応サイトでは国内最大級なので実に安心して
ご利用いただけます☆
ただいまキャンぺーン中につきダイジェストサンプル多数ご用意しております!!
ここまでのサイトは国内には他に存在しません!!是非、今すぐにご覧ください!!
JPGIRL Laboratory ホームページへまずは来てみてください!
CLICK→ http://man.8800.org/adultcontents/movie/fuck/actress/jpgirl-lab/
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
発行元:JPGIAL Laboratory
発行者:無料動画振興会
URL: http://man.8800.org/adultcontents/movie/fuck/actress/jpgirl-lab/

=======================< ここまで >=======================


記事No.13135/タイトル:長・長文ですごめんなさい
投稿日:2003/07/09(Wed) 05:56:53 / 投稿者:
★ツリー/親記事[13133]+前記事[13133]
-レス記事[13138]

ID-code:jk7.pri9OFw

 初めまして、Dと申します。
すでにおやりになられていたら申し訳ありません。
前述のヘッダをhdpar解析とGeekToolsにかけたところ、
----------------------------------------------------
IPアドレス「218.9.149.62」は
・hdparでは上策の苦情先は見つからず。
・GeekToolsでは
inetnum: 218.7.0.0 - 218.10.255.255
netname: CNCGROUP-HL
country: CN
descr: CNCGROUP Heilongjiang province network
admin-c: CH444-AP
tech-c: LZ31-AP
status: ALLOCATED NON-PORTABLE
changed: dmkou@publicf.bta.net.cn 20030704
mnt-by: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-HL

source: APNIC

person: CNCGroup Hostmaster
nic-hdl: CH444-AP
e-mail: dmkou@publicf.bta.net.cn
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
phone: +86-10-66418025
fax-no: +86-10-66429694
country: CN
changed: dmkou@publicf.bta.net.cn 20021209
mnt-by: MAINT-NEW
source: APNIC

person: Liu Zhiyong
address: Data Communication Bureau of HLJ
country: CN
phone: +86-451-542931
nic-hdl: LZ31-AP
mnt-by: MAINT-NULL
changed: liuzy@public.hr.hl.cn 19981005
source: APNIC
----------------------------------------------------
このIPアドレス、中国の接続のようです。
で、ヘッダ内のMessage-IDにある@biwa6.he.netなんですけど、

ドメイン名 :biwa6.he.net
IPアドレス:64.71.137.10

と変換できまして、このIPアドレスから苦情先を探すと、
--------------------------------------
OrgName: NT Technology
OrgID: NTTECH-1
Address: 8625 Evergreen Way #103
City: Everett
StateProv: WA
PostalCode: 98208
Country: US

NetRange: 64.71.137.8 - 64.71.137.15
CIDR: 64.71.137.8/29
NetName: HURRICANE-CE0023-0B12
NetHandle: NET-64-71-137-8-1
Parent: NET-64-71-128-0-1
NetType: Reassigned
Comment:
RegDate: 2000-12-06
Updated: 2000-12-06

TechHandle: TW488-ARIN
TechName: Watkins, Jim
TechPhone: +1-425-353-7103
TechEmail: mrjim@nttec.com
--------------------------------------
NT Technology、アメリカの接続みたいです… 以下注意書きです。

入力ドメイン名「biwa6.he.net」と
逆引きドメイン名「biwa6.he.net」はほぼ一致しました。
メールで宣伝されているサイトURLが「biwa6.he.net」のみで、
それ以上の続きが無いならばスパマー自身が自前でサーバを
立てている可能性が高く、上のサイトもスパマー自身のサイトの
可能性があります。閲覧には注意して下さい。

(ヘッダより抜粋)
Received: from MailUser ([218.9.149.62] (may be forged))
by biwa6.he.net (8.8.6p2003-03-31/8.8.2)
with SMTP id IAA19081 for <**@***.com>;
Tue, 8 Jul 2003 08:41:51 -0700
Message-Id: <200307081541.IAA19081@biwa6.he.net>
Reply-To: ""<>
From: ""<>

ヘッダ全文を改めて見ましたが、Recieved行が簡単すぎますね・・・
もう何行か隠れてると見たほうが良いのでしょうか。
それと一番上のIPアドレスの隣りの英文、may be forgedですけど
直訳すると「偽造されているかもしれない」。
こんなところに余計な事書いてあるヘッダは初めて見ました。
スパマーのいたずら???あと最後の方の

X-UIDL: M4>"!QT+"!<cj"!'-m!!

というのは、プロバイダのコンピュータ(POP3サーバ)が
メールの識別のために自動で付ける「ID」のことです。他の
項目はスパマーが偽造できてもこれだけは受信時につけられる
ヘッダなので変えられないみたいです。
って、そういう話じゃなかった・・・


えっと、長々とすみません。自分なりにまとめると、このメールは

(送信者)→米国の接続先→中国の接続先→(鹿島郡さんのPC)
      [218.9.149.62]  [64.71.137.10]

の経路で来てると思われます。苦情先としては
中策 :mrjim@nttec.com(米)
中策?:dmkou@publicf.bta.net.cn(中)
かと。

・・・間違いだらけかも。何かあればご指摘頂けると嬉しいです。


記事No.13138/タイトル:Message-Idを鵜呑みにするのは危険かと…?
投稿日:2003/07/09(Wed) 23:40:50 / 投稿者:OBA
★ツリー/親記事[13133]++前記事[13135]
-レス記事[13143]

ID-code:u.BgXJ1nVxM

> IPアドレス「218.9.149.62」は

ここは苦情先として正しいです。

http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=218.9.149.62&targetnic=auto

本来であれば,

> tech-c: LZ31-AP

で登録されている方のメールアドレスに苦情を送るべきなのですが,アドレスが登録されていないので,

> person: CNCGroup Hostmaster
> nic-hdl: CH444-AP
> e-mail: dmkou@publicf.bta.net.cn

このメールアドレスに対処依頼を英語で送れば良いと思います。
(中国語が出来れば,それに越したことはないが…)

> で、ヘッダ内のMessage-IDにある@biwa6.he.netなんですけど、
>
> ドメイン名 :biwa6.he.net
> IPアドレス:64.71.137.10
>
> と変換できまして、このIPアドレスから苦情先を探すと、
(以下略)

Message-Idなんて簡単に偽造できますので,ここの情報を鵜呑みにするのは非常に危険です。
ですから,Message-Idの情報から苦情先を探すのは止めた方が良いです。

あと余裕があれば,spamメール本文中のURLに関係する箇所に対処依頼を送る手もあります。

http://afelandra.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=man.8800.org

ここもChinaですね。

-----
「鹿島郡神栖町」さんへ:

メールのFromヘッダを改竄してメールを送ることは簡単に出来ますので,Fromを空にして送ることも当然可能です。


記事No.13143/タイトル:Re: Message-Idを鵜呑みにするのは危険かと…?
投稿日:2003/07/10(Thu) 07:32:57 / 投稿者:
★ツリー/親記事[13133]+++前記事[13138]

ID-code:jk7.pri9OFw(本記事は07/10-07:34に修正されました)

 おはようございます。

> Message-Idなんて簡単に偽造できますので,ここの情報を鵜呑みにするのは非常に危険です。
> ですから,Message-Idの情報から苦情先を探すのは止めた方が良いです。

そうでしたね… 過去に自分が受信したメールを見ても、ID自体
偽造されているものがありました。

OBAさん、ご指摘大変ありがとうございます。
#sage


記事No.13145/タイトル:Re: 送信者欄に空白
投稿日:2003/07/10(Thu) 08:25:43 / 投稿者:鹿島郡神栖町
★ツリー/親記事[13133]+前記事[13133]
-レス記事[13149]

ID-code:Yqj0vTci37E(本記事は07/10-08:26に修正されました)

始めまして。
皆様、迅速丁寧な回答をありがとう御座いました。
送信者がいないので「送信者を禁止する」にも登録できず、
ただ削除するしか手がない事に、やり場のない怒りが...

質問時に付け足すのを忘れていました。
<biwa6.he.net>これは当方への宛先<**@***.com>のサーバー
になっています。当方所有のドメインHPを置いてあるサーバー
です。「hdpar解析とGeekTools」は確かに実行しましたが、
出てきた結果を理解する事ができないんです....すいません。


記事No.13149/タイトル:Re^2: 少し解説 (送信者欄に空白
投稿日:2003/07/10(Thu) 10:16:15 / 投稿者:桑木野
★ツリー/親記事[13133]++前記事[13145]
-レス記事[13160]

ID-code:NrppobISv22

> 出てきた結果を理解する事ができないんです....すいません。
始めまして、桑木野と申します。
横レスで申し訳ないですが、少し解説みたいな事を・・

今回の鹿島郡神栖町さんの示されたヘッダですが
所謂、上策(通常苦情窓口が登録されている場合は赤字で表示される)が出てこない場合ですね。
上策が表示される場合は、そこへ処置依頼を送ればよいのですが、出てこない場合は、
送信元の登録情報(GeekTools結果)から、処置依頼先を探さなければなりません。

#恐らくは、上策が出てこない場合に、迷っておられると推測しましたが・・

----------------今回のヘッダ
Return-Path: <>
Received: from MailUser ([218.9.149.62] (may be forged)) by biwa6.he.net (8.8.6p2003-
03-31/8.8.2) with SMTP id IAA19081 for <**@***.com>; Tue, 8 Jul 2003 08:41:51 -0700
Message-Id: <200307081541.IAA19081@biwa6.he.net>
Reply-To: ""<>
From: ""<>
To: "" <**@***.com>
Subject: Re:Re:
Sender: ""<>
Mime-Version: 1.0
Content-Type: text/plain; charset="Shift_JIS"
Date: Mon, 9 Jul 2001 00:36:01 +0900
X-UIDL: M4>"!QT+"!<cj"!'-m!!

ヘッダの中で、貴方が契約しているISPが受取って記録した
IPアドレス以外は信用できないと言っても過言では有りません。
注)この部分「Received: from MailUser ([218.9.149.62](以下略・・・)」
まず、他の部分は無視して、此れを基に苦情先を探す事にしましょう。
それで、如何しても苦情先が見つからない場合(偽造、捏造されている場合など)は
他の方法を考えましょう。



hdparに掛けた結果は・・

************ここから
hdpar(GeekTools対応版) ヘッダ解析結果 (最終更新 2001/01/21 Ver.1.4.1)
 個人情報取扱指針(2003/05/16改訂)

--------------------------------------------------------------------
赤いのがIPアドレスです。下の方になると捏造された部分の可能性もあります。
**(218.9.149.62)この部分ですね。

Return-Path: <>
Received: from MailUser ([ 218.9.149.62 1 SOA apnic.net ] (may be forged)) by biwa6.he.net (8.8.6p2003-
03-31/8.8.2) with SMTP id IAA19081 for <**@***.com>; Tue, 8 Jul 2003 08:41:51 -0700→Day8 15:41:51
Message-Id: <200307081541.IAA19081@biwa6.he.net>
Reply-To: ""<>
From: ""<>
To: "" <**@***.com>
Subject: Re:Re:
Sender: ""<>
Mime-Version: 1.0
Content-Type: text/plain; charset="Shift_JIS"
Date: Mon, 9 Jul 2001 00:36:01 +0900→Day8 15:36:01
X-UIDL: M4>"!QT+"!<cj"!'-m!!
------------------------------------------------------
以下が各IPアドレスからの苦情先解析です。
!注意!受け手側のサーバから0,1,2番くらい前の所に、御自身の利用ネット業者が出てきた場合、
単に受信した後の経路が残っているだけの可能性が高いので注意して下さい。
とんちんかんな苦情先になります。
IPアドレス「218.9.149.62」のipseek簡易解析結果
 このIPアドレスは受け手側のサーバから0つ前のサーバが残した記録です。
  受信サーバによれば標準時刻 Day8-15:41:51 に残したことになっています。
SOA read-TXT-record-of-zone-first-dns-admin@apnic.net apnic.netはNICの一つです。
MX cumin.apnic.net
ABUSENET NICの一つであるAPNIC関係が出ました。
TAROKAWADB APNICはNICの一つです。

上策の苦情先は見つかりませんでした。
 →GeekTools結果(詳細版)から管理人を捜しましょう。 (代用1:日本の場合JPNIC結果、代用2:ipseek結果)
  [分かる人向け→このIPのブラックリストへの登録状況/Proxscan]

 送信者のコンピュータでは Day8-15:36:01に発信したことになっているようです。
--------------------------------------------------------------------------ここまで---------


上策(通常苦情窓口が登録されている場合は赤字で表示される)が
出てこない場合なので、GeekTools結果(詳細版)から苦情先を探します。

上策が出てこない場合は、GeekTools結果(登録情報)から、
技術担当者(tech-c)のメ−ルアドレスを探します。

GeekTools結果(詳細版)の結果は以下のとおりですね。


************ここから
Result is following. : [Used WhoisDatabase: whois.apnic.net ]
--------------------------------------------------------------------------------
This Page URL/Blacklist Check/spam cop CHECK/Su-Pa-MoNo(Japanese only)/World Map/World Factbook
--------------------------------------------------------------------------------

% [whois.apnic.net node-2]
% How to use this server http://www.apnic.net/db/
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.7.0.0 - 218.10.255.255
netname: CNCGROUP-HL
country: CN
descr: CNCGROUP Heilongjiang province network
admin-c: CH444-AP
tech-c: LZ31-AP---------------------注)技術担当者のハンドル(今回此処が苦情先)
status: ALLOCATED NON-PORTABLE
changed: dmkou@publicf.bta.net.cn 20030704
mnt-by: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-HL
source: APNIC

person: CNCGroup Hostmaster
nic-hdl: CH444-AP
e-mail: dmkou@publicf.bta.net.cn
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
phone: +86-10-66418025
fax-no: +86-10-66429694
country: CN
changed: dmkou@publicf.bta.net.cn 20021209
mnt-by: MAINT-NEW
source: APNIC

-------------------------------ここから以下がAPNICで確認した物と同じ
person: Liu Zhiyong
address: Data Communication Bureau of HLJ
country: CN
phone: +86-451-542931
nic-hdl: LZ31-AP------------------------技術担当者のハンドル
mnt-by: MAINT-NULL
changed: liuzy@public.hr.hl.cn 19981005
source: APNIC
-------------------------------------------------------------------ここまで
APNICで確認してみました。
上の結果と一致しています、間違いはないようです。


% [whois.apnic.net node-1]
% How to use this server http://www.apnic.net/db/
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

person: Liu Zhiyong
address: Data Communication Bureau of HLJ
country: CN
phone: +86-451-542931
nic-hdl: LZ31-AP
mnt-by: MAINT-NULL
changed: liuzy@public.hr.hl.cn 19981005
source: APNIC
-------------------------------------------------------------------
liuzy@public.hr.hl.cnに処置依頼を送ればよい事が判ります。

簡単に書きますと、苦情先としては、以下の物が考えられます。
1.hdparで出てきた、上策に送る。
2.登録情報の技術担当者に送る。
3.送信元、HP等で公開された苦情先に送る。
4.上の何れも無い場合は、より上流のISP等に対処を依頼する。
  等が思い当たります。

尚、様々なケ−スが有りますので、苦情先などに迷った場合は、
ヘッダと共に、ヘッダ解析結果を貼り付けて質問等されると
より具体的な助言が、得られるのでは無いかと考えられます。


更に疑問など有りましたら、何でも遠慮なく質問してください。
私以上に詳しい方がおられますので、誰かが答えてくださいます。



以下の解説も再度目を通してください。
hdparの使い方
http://earth.endless.ne.jp/users/stakasa/tools/hdpar/yongfa.html
詳細説明-2/GeekTools(Whois)結果の見方
http://earth.endless.ne.jp/users/stakasa/tools/hdpar/yongfa2.html

ヘッダ解析とは何か
http://earth.endless.ne.jp/users/stakasa/tools/hdpar/yongfa0.html


人生ままならず(ヘッダに関して判りやすく解説されてます)
http://ssss.jp/~trombik/email/index.html
#sage


記事No.13160/タイトル:Re^3: 少し解説 (送信者欄に空白
投稿日:2003/07/10(Thu) 21:50:08 / 投稿者:鹿島郡神栖町
★ツリー/親記事[13133]+++前記事[13149]

ID-code:Yqj0vTci37E

> 桑木野 様

感激させて頂きました!こんなアホにきちんと丁寧に、更に
また質問してもよい、なんて、本当に有難う御座いました。
もっと勉強して教えてあげるほどになりたいです!
本当に有難う御座いました。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0025番へ]
bokumetusiteki