ID-code:pbjtuAkDpCs

不思議なメールがこの2，3日来ています。
件名、差出人欄が空白のままで、私の宛先もDelivered-Toにしかありません。
何よりも、ヘッダが途中で切れていて、本文もありません。
Return-pathを見ると知り合いではなく、怪しげなものという気もします。
これはいったいなんでしょう？SPAMですか？ウィルスですか？
それともPOPサーバーの不調ですか？

Return-Path: <vfhzn7txhve＠value.net>
Delivered-To: 私の＠hyper.cx
Received: (qmail 88577 invoked by uid 7794); 21 May 2004 08:50:12 +0900
Received: from vfhzn7txhve＠value.net by mail2.zenno.net by uid 7791 with qmail-scanner-1.16
( Clear:.
Processed in 0.047998 secs); 21 May 2004 08:50:12 +0900
Received: from unknown (HELO natsu.zenno.net) (192.168.0.106)
by mail2.zenno.net with SMTP; 21 May 2004 08:50:11 +0900
Received: (qmail 42721 invoked from network); 21 May 2004 08:50:11 +0900
Received: from unknown (HELO ca-bldwnprk-cuda2-c10a-a-121.arcdca.adelphia.net) (24.55.50.121)
by natsu.zenno.net with SMTP; 21 May 2004 08:50:11 +0900
Received: jtxqz17bg-z00j.hreathrelays.com (ugtx [93.65.86.90])
by egocentric.wadedodder.com (9.94.5/0.77.3) with ESMTP id L6[11
＜このように↑途中で切れてるんですよ＞
＃ｓａｇｅ

ID-code:qyi201msqMA

> 不思議なメールがこの2，3日来ています。
> 件名、差出人欄が空白のままで、私の宛先もDelivered-Toにしかありません。
> 何よりも、ヘッダが途中で切れていて、本文もありません。

私のところにもたまに似たようなメールが届きます。
# 当方の場合だとMessage-Idで途切れてます。
おそらくqmail(or 関連プログラム)のバグなのではないかと
思っていますが、spamに限っての現象なので私はあまり
気にしていません。
実害といえば、この「途中で途切れる」症状のお陰で
RazorやDCCなどのチェックをすり抜けてしまうことぐらいです。

ご参考まで。

ID-code:pbjtuAkDpCs

> # 当方の場合だとMessage-Idで途切れてます。
> おそらくqmail(or 関連プログラム)のバグなのではないかと
> 思っていますが、spamに限っての現象なので私はあまり
> 気にしていません。

情報ありがとうございます。
メールのプロバイダーに問い合わせてみたのですが、
POPに入るところを再現できないと確認は無理とのことでした。
SPAMにしても、対処に困るので、ちゃんと到達して欲しいものです（苦笑）。
＃ｓａｇｅ

ID-code:qyi201msqMA

すみません。嘘をついていました。

>> おそらくqmail(or 関連プログラム)のバグなのではないかと
>> 思っていますが、spamに限っての現象なので私はあまり
>> 気にしていません。

私のゴミ置き場を調べてみたところ、Message-Id:が途切れている
にもかかわらず、その直後に空のBCC:ヘッダが入っている場合も
幾つかありました。
MUA等によるヘッダ整列後のものではないので、qmail関連のバグでは
ないかというのは単なる言いがかりの可能性99.999%です ^^;

> メールのプロバイダーに問い合わせてみたのですが、
> POPに入るところを再現できないと確認は無理とのことでした。
> SPAMにしても、対処に困るので、ちゃんと到達して欲しいものです

プロバイダはqmail-scannerをお使いのようなので、SpamAssassin(SA)の
導入を提案されてはいかがでしょうか?
SpamAssassinのインストール後にqmail-scannerを再構築するだけ
なので、かなり簡単に導入できます。
私のSA歴はまだ1年ほどですがSAのお陰でspam処理が256倍楽になりました :)

RBLを5つほど使ってSMTPレベルで遮断しているお陰で、1日あたり
5,60通ほどしか通過してきませんが、それでも手動で振分けるのは
非常に面倒でした。
いまではSpamAssassinのお陰で
「X-Spam-Flag:」ヘッダが「YES」の場合は移動
というたった1つの振分け処理を追加するだけでOKです。

プロバイダには絶対対応してもらった方がいいです。
＃ｓａｇｅ

ID-code:w6SZ3BprNCg（本記事は投稿者自身により05/22-03:12に修正されました）

　今回話題に出ているような謎の「中身無し」メールですが、

> > 不思議なメールがこの2，3日来ています。
> > 件名、差出人欄が空白のままで、私の宛先もDelivered-Toにしかありません。
> > 何よりも、ヘッダが途中で切れていて、本文もありません。
>
> 私のところにもたまに似たようなメールが届きます。
> # 当方の場合だとMessage-Idで途切れてます。
> おそらくqmail(or 関連プログラム)のバグなのではないかと
> 思っていますが、spamに限っての現象なので私はあまり
> 気にしていません。

実は私のところにも結構来るようになっています。
分類のしようがないので、spamに分類されたり、ウイルスに分類されたり、
フィルタのなすがままにしていましたが．．．

　印象的には、spamで中継されるネット業者から来ることが多いこと、
spamが増大して以降に増えてきたものなので、spam絡みだろうとは考えていました。

今改めてヘッダを確認してみると
Message-Id:
やら
Received:
やらで、はろー様の言うように、途中でちぎれた感じのものが多いようです。
ということでやはりspamの失敗なような感じがします。

ID-code:QO.jHeVWzCo

こんばんは。

> 件名、差出人欄が空白のままで、私の宛先もDelivered-Toにしかありません。
> 何よりも、ヘッダが途中で切れていて、本文もありません。
> Return-pathを見ると知り合いではなく、怪しげなものという気もします。
> これはいったいなんでしょう？SPAMですか？ウィルスですか？
> それともPOPサーバーの不調ですか？

私はアドレス存在確認の為の空メールではないかと疑っています。

-------
Return-Path: ypo30no＠redshift.com
Date: Fri, 21 May 2004 17:02:10 +0900
From: ypo30no＠redshift.com
Received: from c-24-7-77-164.client.comcast.net (c-24-7-77-164.client.comcast.net [24.7.77.164]) by ums504.nifty.ne.jp with SMTP id i4L82AJm018114; Fri, 21 May 2004 17:02:14 +0900
Message-Id: <2004________＠ums504.nifty.ne.jp>
Received: zrff0-eixi.whollyartisan.com (b[3
X-UIDL: 40adb7d206GXX58Y
------

というような、空メールが届いてしばらくすると

------
Return-Path: xjen50yhwd＠serv.net
Date: Fri, 21 May 2004 22:34:49 +0600
From: "Maryjane Lia" <xjen50yhwd＠serv.net>
Reply-To: "Maryjane Lia" <xjen50yhwd＠serv.net>
To: *********＠nifty.ne.jp, *********＠nifty.ne.jp, *********＠nifty.ne.jp
Subject: AS EASY AS 123 TO PURCHASE SUPER L0W PRICE SOFTWARES FROM US mentioned turned criticism pattern
Received: from modemcable094.136-37-24.mc.videotron.ca (modemcable094.136-37-24.mc.videotron.ca [24.37.136.94]) by ums505.nifty.ne.jp with SMTP id i4LFdlhK001380; Sat, 22 May 2004 00:39:48 +0900
Received: gdwluid-tyv14oc.fellfrom.com (mfu [71.18.99.134]) by led.lastdanger.com (3.55.0/5.41.4) with ESMTP id OKB1UBM8JS8T for <*********＠nifty.ne.jp>; Fri, 21 May 2004 14:30:49 -0200 GMT
Message-Id: <fw28________＠eviltongue>
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.4267.6478
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--2790194144560885"
X-UIDL: 40ae22dd0DTJX9EL
-------

という感じのスパムが届く傾向があるように思うのです。
＃断定できるほどのデータは無いのですが…。

Received: gdwluid-tyv14oc.fellfrom.com はおそらく出鱈目ですね。
最初の空メールの Received: zrff0-eixi.whollyartisan.com も出鱈目でしょう

偽造の Received: が from で始まっていない、メアドが（英字+数字+英字＠ドメイン）形式、
などいくらかの類似性があること、届き始めたのがほぼ同じ時期であることなどから、
事前に届くかどうか確認してから本式にスパムを送ってきているのでは？と推測しています。
だとすると、サーバーの不備で切れているのではなく、最初からその状態なのかも知れません。

肝心のスパムメールですが、text/plain 部分は無意味なアルファベットの羅列、
text/html 部分は
----
Cheaap 0ffeer:
30 Va1ium [anti depressants] 5mg - $ Best Priice
30 Xanax [anti depressants] 1mg - $ Best Priice
3 Cia1is [mens health] 20mg - $127
----
のように O->0 や l->1 などフィルター逃れを目論んでいる、リンクが

http://drs.yahoo.com/tough/*http://www.chafeweedincepto(省略)

のような形式といった特徴があります。内容は薬や海賊版ソフトの宣伝です。

オオカミさんのところには、この種のスパムは届いていませんでしょうか？

ID-code:pbjtuAkDpCs（本記事は投稿者自身により05/22-05:22に修正されました）

こんばんは（というかもう朝か）、皆さん。
私の他にも同様のものが出ていると知って、ひと安心です。
はろーさんご提案件ですが、メールのプロバイダーに問い合わせてみます。
高崎さんのところにもやはり来ているんですね
（そりゃSPAMの数がウチとは桁違いだから当然ですね）。
で、件のメールをSpamCopに放り込むと、途中で切れているし、
何しろ本文が無いんで（苦笑）、処理できないようですね。
すべてのヘッダ解析ができないので、abuseの出しようもなく、
とりあえず（←口癖（笑））Mozilla Thunderbirdのジャンクフォルダ行きです。


> > 肝心のスパムメールですが、text/plain 部分は無意味なアルファベットの羅列、
> text/html 部分は
> ----
> Cheaap 0ffeer:
> 30 Va1ium [anti depressants] 5mg - $ Best Priice
> 30 Xanax [anti depressants] 1mg - $ Best Priice
> 3 Cia1is [mens health] 20mg - $127
> ----
> のように O->0 や l->1 などフィルター逃れを目論んでいる、リンクが
> > http://drs.yahoo.com/tough/*http://www.chafeweedincepto(省略)
> > のような形式といった特徴があります。内容は薬や海賊版ソフトの宣伝です。
> > オオカミさんのところには、この種のスパムは届いていませんでしょうか？

お書きになった例の一行目（いや二行目でしたね（汗））、
30 Va1ium [anti depressants] 5mg - $ Best Priice
これをキーワードに検索したら、同様のものが来ていました。
ただ、うちの場合は、空メールが来はじめたのがこの4，5日のことですし、
↑のキーワードで来ているメールは4月29日が最初なので、
因果関係は認められそうもないです。
＃ｓａｇｅ

ID-code:QO.jHeVWzCo

こんにちは。

> これをキーワードに検索したら、同様のものが来ていました。
> ただ、うちの場合は、空メールが来はじめたのがこの4，5日のことですし、
> ↑のキーワードで来ているメールは4月29日が最初なので、
> 因果関係は認められそうもないです。

考えすぎだったかな？
うちでは、以下のような間隔で届いています。
元々、英文スパムが少ない（この系統以外は今月は2通ほどしかない）ので
けっこう目立ちます。

4/30
5/1
5/3　（空メール）
5/4
5/7　（空メール）
5/8
5/10
5/11
5/12
5/13
5/14
5/16
5/17
5/19　（空メール）
5/19
5/20
5/21　（空メール）
5/22

まあ、断定できるほどのデータ量ではないので、もう少し様子をみるつもりです。
（もちろん、空じゃない方は対処を続けながら、ですが）
＃ｓａｇｅ

ID-code:CcwyoRtasGg

うちにも来てます。
一番古いのは3/24なのですが、ヘッダ切れの話を聞いてもう少し見直したところ、
切れたヘッダの後半部が本文に添付されているパターンを発見しました。

ヘッダが途中のサーバか当方側のメーラで補足されているようで、
何処までがオリジナルに含まれていたのかわからないです。

こうやって見ると、アドレス探りよりむしろ送信側ソフトのバグを
知らんまま送信している大マヌケspammerかもしれません。
--------------------------------------------------------------
Return-Path: <GPFMVJTQGQF＠rr.com>
X-Original-To: おれ＠おれ
Delivered-To: おれ＠おれ
Received: from おれ (＠おれ [おれ.おれ.おれ.おれ])
by おれ (Postfix) with ESMTP id 3D8D93520A
for <おれ＠おれ>; Wed, 24 Mar 2004 20:18:31 +0900 (JST)
Received: from 69.37.50.9.adsl.snet.net (69.37.50.9.adsl.snet.net [69.37.50.9])
by ＠おれ (Postfix) with SMTP id 928CA1120DB
for <おれ＠おれ>; Wed, 24 Mar 2004 20:18:31 +0900 (JST)
Message-Id: <20040324111831.928CA1120DB＠＠おれ>
Date: Wed, 24 Mar 2004 20:18:31 +0900 (JST)
From: GPFMVJTQGQF＠rr.com
To: undisclosed-recipients: ;
X-UIDL: CXE!!+de!![!G!!(NB!!
Status: U
--投稿者注、ここまでヘッダ、ここから本文--
11
X-Message-Info: z32ZMSqddtt22OGSaWNUXneXejNMNzgY554
Received: from trafficking-dns.cox.net ([88.16.29.37]) by zr80-uy41.cox.net with Microsoft SMTPSVC(5.0.2195.6824);
Wed, 24 Mar 2004 13:28:36 +0500
Date: Wed, 24 Mar 2004 05:30:36 -0300 (CST)
Message-Id: <284441038673169.OS359sLUDklu1074＠layton3.rebut65cox.net>
To: おれ＠おれ
10
Subject: Fwd: Worldwide Shipping. No Appointments. /Xanax/.~V~alium.V|^cod|n.v|＠gRa.XJWTIURR
From: Dorothea Shoemaker <GPFMVJTQGQF＠rr.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--94965802238709764953"

----94965802238709764953
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable


<!DOCTYPE html public "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www=
w3.org/TR/html4/loose.dtd">
<HTML>
<HEAD>
<TITLE>All the medications You Will Ever Need</TITLE>

</HEAD>
<BODY>

<p>
<a href=3D"http://www.prabhums.org/knowledgebase/pages/Microsoft Technolog=
y/MS Office/Outlook/cannot_open_attachments_oexpress_6.htm">Cannot open at=
tachments in outlook express 6</a><br>
<p>

<a href=3D"http://www.healthassist.biz"><img src=3D"http://www.healthassis=
t.biz/viz/wl3.gif" border=3D"0"></a>
<br><a href=3D"http://www.healthassist.biz">healthassist.biz</a>
<p>
<a href=3D"http://www.prabhums.org/knowledgebase/pages/Operating Systems/U=
NIX LINUX/Shells/cool_tricks.htm">Cool Command Tricks</a><br>
<p>
</BODY>
</HTML>

----94965802238709764953--

ID-code:pbjtuAkDpCs

> うちにも来てます。
> 一番古いのは3/24なのですが、ヘッダ切れの話を聞いてもう少し見直したところ、
> 切れたヘッダの後半部が本文に添付されているパターンを発見しました。
> > ヘッダが途中のサーバか当方側のメーラで補足されているようで、
> 何処までがオリジナルに含まれていたのかわからないです。
> > こうやって見ると、アドレス探りよりむしろ送信側ソフトのバグを
> 知らんまま送信している大マヌケspammerかもしれません。

なるほど。ヘッダを分割して添付するなんていう例があるんですか。
そういうパターンは観たことありませんでした。不思議なもんですね。参考にしてみます。
＃ｓａｇｅ

ID-code:CcwyoRtasGg

> なるほど。ヘッダを分割して添付するなんていう例があるんですか。

あ、いや、そうではなくて。本来であればヘッダだった部分が送信者の意図に反して
送信元または送信経路のサーバにおいて本文のテキストパートとして扱われた可能性を指摘したものです。
＃ｓａｇｅ

ID-code:w6SZ3BprNCg（本記事は投稿者自身により05/22-22:46に修正されました）

> うちにも来てます。
> 一番古いのは3/24なのですが、ヘッダ切れの話を聞いてもう少し見直したところ、
> 切れたヘッダの後半部が本文に添付されているパターンを発見しました。
> 
> ヘッダが途中のサーバか当方側のメーラで補足されているようで、
> 何処までがオリジナルに含まれていたのかわからないです。
> 
> こうやって見ると、アドレス探りよりむしろ送信側ソフトのバグを
> 知らんまま送信している大マヌケspammerかもしれません。

　奇しくも日本語spamでそういうのが来ました。

X-Apparently-To: bakamono0405＠stakasaki.net via web605.mail.yahoo.co.jp; 22 May 2004 16:16:07 +0900 (JST)
X-Track: 1: 40
Received: from y7.com  (EHLO ns.y7.com) (210.143.97.130)
 by mta19.mail.yahoo.co.jp
 with SMTP;
 22 May 2004 16:16:06 +0900 (JST)
Received: from c1m5.emaildefenseservice.com (c1m5.emaildefenseservice.com [216.40.36.37])
 by ns.y7.com (8.8.8/3.6Wbeta7)
 with SMTP id QAA29041 for <bakamono0405＠stakasaki.net>;
 Sat, 22 May 2004 16:15:59 +0900
Date: Sat, 22 May 2004 16:15:59 +0900
From: nikaimei＠mail.goo.ne.jp
Message-Id: <200405220715.QAA29041＠ns.y7.com>
Received: from unknown [218.9.141.122] (EHLO mail.goo.ne.jp)
 by c1m5.emaildefenseservice.com (mxl_mta-1.3.7-29)
 with ESMTP id 8befea04.24141.104.c1m5;
 Sat, 22 May 2004 03:18:16 -0400 (EDT)
Subject:  【完全無料の待受け・着メロ情報】＊未承
　　　　　　　　　　　　　　　　　　　　　　　　↑ここでちぎれたと思われる
X-MX-Spam: exempt
X-MX-MAIL-FROM: <nikaimei＠mail.goo.ne.jp>
X-MX-SOURCE-IP: [218.9.141.122]
↑当方で追加したヘッダ

以下はspamの本文だが、サブジェクトの後半から開始。
> =?ISO-2022-JP?B?JzktOXAhdhsoQg==?=
>To: bakamono0405＠stakasaki.net
>Content-Type: text/plain;charset="jis"
>Content-Transfer-Encoding: 8bit
>Date: Sat, 22 May 2004 16:15:22 +0900
>X-Priority: 3
>X-Mailer: Microsoft Outlook Express 5.00.2919.6700

本来のヘッダはここまでだろう

>完全無料のアニメやゲーム、宇多田ヒ●ルの着メロ、ちょっと一息画像まで全部無料の情報をお届けします。お金は一切かかりません。
>まずはＰＣで各サイトの内容をチェックしてみてください。
>
>↓サイト入り口↓
>ttp://kt01.tk
>
>★男の子はもちろん女の子にもおすすめの楽しいサイト！⇒　ttp://kt01.tk/#kyara
>いま流行りのアニメからかわいいキャラまで幅広く網羅してます。
>
>★ファミコン好きなら、チェックしよぉ⇒　ttp://kt01.tk/#fami
>懐かしくて楽しい待受けがいっぱいあるよ♪更新も頻繁です。
>
>★みんなが大好きなキャラクター集！⇒　ttp://kt01.tk/#kyaland
>家族みんなが大好きなキャラクターはここにあるよ（＾＾）
>
>★笑いを取るならこの待ち受けで！⇒　ttp://kt01.tk/#owarai
>あのキャラがこんなになっちゃって・・・。友達に見せればウケること間違いなし！！
>
>★ちょっと一息エッチ画像、、、⇒　ttp://kt01.tk/#gekisha
>素人の女の子から送られてきたエッチな投稿画像があります。
>
>★もっとエッチに、、、⇒　ttp://kt01.tk/#gokuri
>１８歳未満の方は入場できません。過激画像がいっぱいです。
>
>★なぜ無料？っと思った方⇒　ttp://kt01.tk
>こちらで優良勝手サイト広告を募集して掲載しております。クオリティーの低いサイトは載せてません。
>
>着メロやその他たくさんの無料サイトがあります。
>ぜひ携帯でアクセスしてお楽しみください！！！！
>
>☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡☆彡
>
>今後、このメールを希望されない方は、下記のアドレスにそのまま返信して下さい。

　このspam自体については送信関係については
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=218.9.141.122&targetnic=auto
から
abuse＠cnc-noc.net、gaobh＠mail.hl.cn
サイト関係については
http://hdpar.spamstop.net/cgi-bin/spamclaim-search.cgi?domain=http://kt01.tk
より
http://hdpar.spamstop.net/cgi-bin/proxy.cgi?query=kt01.tk&targetnic=auto
http://hdpar.spamstop.net/cgi-bin/proxy.cgi?query=69.59.140.83&targetnic=auto
より
noc＠servepath.com 
kinkinosu＠hotmail.com
に対処依頼済。日産協にも連絡済。

ID-code:VZYXNtkShLg

> Subject: 【完全無料の待受け・着メロ情報】＊未承
> 　　　　　　　　　　　　　　　　　　　　　　　　↑ここでちぎれたと思われる

　これは想像だけど、MIME エンコードした文字列の中に、改行コード入っていたん
じゃないかという気がします。
出来の悪い CGI から送信したメールなんかで、たまに Subject の最後に改行コードが
入っているものを見かけるのですが、そういう類じゃないかと。
（ただこの場合、中途半端なところに入っているのが不思議ですが…。）

> >Content-Type: text/plain;charset="jis"
> >Content-Transfer-Encoding: 8bit

　この辺からして、無茶苦茶なソフト使ってるみたいだし。