[ 22645 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
---|
ID-code:ZAy02zGuBBw
はじめまして。
毎日のように20通前後、土日は30通前後の出会い系サイトからのスパ
ムに閉口しています。
最近友人を装う形式のものが増えたせいかthunderbirdで取りこぼしが
多くなって、対策をしようと少しネットを探したところこちらのページ
にたどり着きました。
どこから手を付けたらいいのか、あるいは対処には時間がかかりそう
、など、アドバイスをお願いします。
正直仕事の時間帯以外にPCを触る時間はほとんどありません。
ヘッダーを解析したり不愉快なメール本文を見ている時間が本当に腹
立たしいです。
2、3ヘッダーをこちらのページで解析させてもらったのですが、偽装
されているようであまり手がかりがありませんでした。
本文中に登場するサイトは
fr-q.com
rhku.com
fourtykidf.com
ad.love-meets.com
abc-match.com
subnet.dynserv.net
ad.deai-ciao.net
uxdi.com
www.meguriai-max.net
以上がだいたいここ24時間以内に受信したメールに記載があったもの
です。
fourtykidf.com
というのがしつこくて、これはこちらの「す〜ぱ〜もの」では正体が
分かりませんでした。
上記のサイトが同じ業者なのか、あるいは出会い系のメールリストに
載ってしまっているのでしょうか?
何かご存知の方がいらっしゃればよろしくお願いします。
日本語スパムは出会い系以外はほとんどきません。
英語では違法ソフトと投資がほとんどです。
ID-code:UgWwoi8d2mg
こんにちわ。
ご指摘のうち、いくつかは、わたくしが cormieri と呼んでいる極悪 spammer のものだと思います。
一部には jason006 とも呼ばれているようです。
■ 「cormieri」spammer の特徴
タイトルは「ご無沙汰しております」・「如何お過ごしですか?」・「失礼します」・「お元気ですか?」など多彩で本文と関係ないものが多い。また、「Message subject」も彼らの一派であるとの疑いが濃厚。
発信者氏名は“名字 名前”とするケースが大半だが、本文には全然違う名前が書いてある。
ドメインはいろいろと用意するが、://******(ドメイン)/a12/ のような構成にすることが多い。
4月中旬から激増。
発信は中国経由が多いがときどき Freebit も。
彼らのものとの疑いが強いドメインは以下の通り。
abc-match.com
fourtykidf.com
ad.deai-ciao.net
nextmatch.net
ad.love-meets.com
fr-q.com
love-flex.com
e-deai-club.com
www5.ag2.info
www.deaikoubou1.com X?
sodersttroms.com X?
sonpeterson.com X?
kloidctyu.com X?
jason006.com X?
cormieri.com X?
(X? は既に潰されたと思われるドメイン)
ID-code:ZAy02zGuBBw(本記事は投稿者自身により06/02-13:39に修正されました)
Colsair-LTVさま
お返事ありがとうございます。
> ご指摘のうち、いくつかは、わたくしが cormieri と呼んでいる極悪 spammer のものだと思います。
やはり同じグループからのものだったのですね。
それが分かってすっきりしました。
> ■ 「cormieri」spammer の特徴
(以下略)
確かにほとんどがあてはまりました。
違う系統なのかもしれませんが今日立て続けに来ているもので発信者が同じでサイトが違うものが3通届きました。
新手かもしれないのでヘッダーをつけておきます。
Return-Path: <bomb_bomb_7_b@yahoo.co.jp>
Delivered-To: 私のアドレス
Received: (qmail 12064 invoked from network); 1 Jun 2006 07:45:00 -0000
Received: from unknown (HELO 私のドメイン) (221.122.159.20) by メールサーバ名 with SMTP; 1 Jun 2006 07:45:00 -0000
To: <私のアドレス>
From: kiki<bomb_bomb_7_b@yahoo.co.jp>
Subject: 美人社長極秘モニター
MIME-Version: 1.0
Reply-To: <bomb_bomb_7_b@yahoo.co.jp>
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Spam-Status: No, hits=-3.2 required=7.0 tests=BAYES_10,DATE_MISSING,ISO2022JP_BODY,ISO2022JP_CHARSET, MURYOU,NO_REAL_NAME,RCVD_IN_OSIRUSOFT_COM, REPLY_TO_HAS_UNDERLINE_NUMS version=2.53
X-Spam-Level:
X-Spam-Checker-Version: SpamAssassin 2.53 (1.174.2.15-2003-03-30-exp)
X-UIDL: l%8!!M:##!@CE!!a`j"!
Status: RO
リンク先 ttp://rhku.com/
Return-Path: <bomb_bomb_7_b@yahoo.co.jp>
Delivered-To: ***@***.jp
Received: (qmail 5049 invoked from network); 2 Jun 2006 01:37:06 -0000
Received: from unknown (HELO ***.jp) (221.122.153.189) by ****.jp with SMTP; 2 Jun 2006 01:37:06 -0000
To: <***@***.jp>
From: kimi<bomb_bomb_7_b@yahoo.co.jp>
Subject: 大変お待たせいたしました
MIME-Version: 1.0
Reply-To: <bomb_bomb_7_b@yahoo.co.jp>
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Spam-Status: No, hits=-2.2 required=7.0 tests=BAYES_10,DATE_MISSING,ISO2022JP_BODY,ISO2022JP_CHARSET, MURYOU,NO_REAL_NAME,RCVD_IN_OSIRUSOFT_COM, REPLY_TO_HAS_UNDERLINE_NUMS,STAR version=2.53
X-Spam-Level:
X-Spam-Checker-Version: SpamAssassin 2.53 (1.174.2.15-2003-03-30-exp)
X-UIDL: b5##!ZG8!!\k-"!&=S"!
Status: RO
リンク先 ttp://rrnj.com
Return-Path: <bomb_bomb_7_b@yahoo.co.jp>
Delivered-To: ***@***.jp
Received: (qmail 14768 invoked from network); 2 Jun 2006 02:53:27 -0000
Received: from unknown (HELO ***.jp) (221.9.73.50) by ****.jp with SMTP; 2 Jun 2006 02:53:27 -0000
To: <***@****.jp>
From: any<bomb_bomb_7_b@yahoo.co.jp>
Subject: まっさら美人名鑑
MIME-Version: 1.0
Reply-To: <bomb_bomb_7_b@yahoo.co.jp>
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
リンク先 ttp://qtmg.com
リンク先のサーバーは中国のようです。
ID-code:mG11UlRCZEU
Zeitです。
> どこから手を付けたらいいのか、あるいは対処には時間がかかりそう
> 、など、アドバイスをお願いします。
手っ取り早く、なら「spam対応ハンドブック」のページ
http://www2g.biglobe.ne.jp/~stakasa/spam/antispam-handbook.html
ですが、望ましいのは「スパムそのものについてよく知り、その知識を基盤に対応を行う」ことです。
掲示板のトップ(ツリー状の表示)の一番上「被害者向目次」からスタートされるとよいでしょう(「筆 頭 頁」から「1.被害者向け頁へ」でも同じ)。
http://www2g.biglobe.ne.jp/~stakasa/spam/spam01-j.html
> ヘッダーを解析したり不愉快なメール本文を見ている時間が本当に腹
> 立たしいです。
管理人の高崎様もおっしゃっていますが「できる範囲で」が重要です。たくさん各所へ報告するのは非常によいのですが、それによりお仕事や生活に影響が出るようでは本末転倒です。
> 出会い系のメールリストに
> 載ってしまっているのでしょうか?
出会い系に限らず「生きているメールアドレスリスト」に載り、スパム発信業者に渡っているんでしょうね(私のアドレスも同様です)。
> 日本語スパムは出会い系以外はほとんどきません。
> 英語では違法ソフトと投資がほとんどです。
本文の言語にかかわらず、国内発も海外発もあります。多いのは、中韓発の日本語スパムでしょうか。逆に、数は少ないですが国内発の英語スパムもあります。
私の場合、報告の優先度としては、
海外発の場合:
1. SpamCopで報告(発信元プロバイダと本文内の誘導URLのサーバ管理者)。
2. 中国または韓国発の場合、各々の公的機関へ報告(abuse@anti-spam.cnまたはspamcop@kisa.or.kr)。
3. 内容が日本語の場合、デ通協へ報告(ほとんどが表示義務違反または発信元偽装のため)。
※ただし、3.は本当に余裕がある時だけで、ここしばらくはやってません(汗)。
国内発の場合:
1. SpamCopで報告(発信元プロバイダは除く)。
2. 発信元プロバイダへ、直接報告(プロバイダによりメールだったりWebフォームだったり)。
3. デ通協へ報告(内容が英語であっても国内発であれば必ず)。
また、発信元にかかわらず、以下のようなものは上記に加えてそれぞれ報告します。
・パソコンソフト激安販売系:違法コピー等の疑いがあるので、表記されているソフトのメーカー、ACCS(社団法人コンピュータソフトウェア著作権協会)、警察庁へ。
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/022487.html#22640 参照。
・レプリカウォッチなど、違法コピーブランド品販売系:明らかに違法なので警察庁と、UDF(ユニオン・デ・ファブリカン)へ。
・ケーブルテレビの有料放送スクランブル違法解除チューナー:警察庁と、社団法人日本ケーブルテレビ連盟へ。
・その他、明らかに違法な物品販売やサービス系:警察庁へ。
※以前「偽造免許証作成」というものが来たことがあります。
あと、海外からの英文ドラッグ販売系スパム(バイアグラ等)の場合、誘導URLのビーコン的なものがあれば外してアクセスした場合、まともな販売業者らしきサイトのことがあります。
これは、おそらくアフィリエイト制を導入しているものの、成果が上がらないアフィリエイターがスパムという広告手段に出たものと思われ、サイト内の「Spam Report」といったページから報告すると、効果があります(アメリカとカナダの各1社が有名)。報告すると、当該の悪質アフィリエイターを除名処分にするようです。
ただし、これは自己責任でやってください。これにより逆にスパムが増える、という恐れもありますので(基本的に、スパム本文内のURLにはみだりにアクセスすべきではありません)。
ID-code:no_id
掲示板はいつも拝見させていただいてますが、書き込むの
は大変久々です。話に加えさせてください。
会社宛のアドレスには、この手のメールが50通/日程度
送られてきます。フィルタをかけて、9割はキャッチできる
のですが、
fourtykidf.com
関連は、キーワードを設定していても、引っかかりません。
「fourtykidf」「完全無料」「金井優子」など。
ソフトはノーツを使っていますが、本文中の文字まで詐称
されているってことはあるんでしょうか?
ID-code:/1pdUVbalYs
> 掲示板はいつも拝見させていただいてますが、書き込むの
> は大変久々です。話に加えさせてください。
>
> 会社宛のアドレスには、この手のメールが50通/日程度
> 送られてきます。フィルタをかけて、9割はキャッチできる
> のですが、
> fourtykidf.com
> 関連は、キーワードを設定していても、引っかかりません。
> 「fourtykidf」「完全無料」「金井優子」など。
> ソフトはノーツを使っていますが、本文中の文字まで詐称
> されているってことはあるんでしょうか?
海外のAmazon.com系は組織ぐるみでしてるとしか思えない
連邦取引委員会のスパム担当部署とAmazon.comへ報告しても
米アマゾン側で拒否または放置してる可能性がある。
理由は今まで数百通くらい報告してるが解決してはいない
ドメインの所有者がイタリアからフィンランドに国名が変更してあり、登録者の氏名とメールアドレスがイタリアの時と同じ
Administrative, Technical Contact: TOTALNIC-127503 (xsalsa@etn.org)
Alex Rodrigez
Alex Rodrigez
P.O. Box 5009 Pirae TAHITI
Pirae TF 98716
PF
ID-code:ZAy02zGuBBw(本記事は投稿者自身により06/06-10:26に修正されました)
週末にZeitさんに教えていただいたように少しabuseあてにメールしてみました。
対応はしていただいたみたいでしたが、いたちごっこですね。
ところで
> fourtykidf.com
> 関連は、キーワードを設定していても、引っかかりません。
> 「fourtykidf」「完全無料」「金井優子」など。
> ソフトはノーツを使っていますが、本文中の文字まで詐称
> されているってことはあるんでしょうか?
私の場合はThunderbirdなのですが、反対にスパム判定はきちんとしてくれるのですが文字化けで中身を確認することがうまくできません。
これは文字コードに細工があって、まっとうなメールならたいてい
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
となっていると思いますが
このグループ?のものは
Content-Transfer-Encoding: 8bit
になっています。
この細工が影響していると思うのですが、いかがでしょうか。
Thunderbirdはキーワードでフィルタリングがかからないので、友達風のメールはなかなか落とせませんが、Spam Mail Killerを使うとfourtykidf関係のメールもキーワードで落としてくれました。
でも次々と新たなサイトが立ち上がりますね。
私が受け取るのは出会い系関係では、
fortykidf(=cormieri)系ともう一系統あるような感じがして
そちらのほうは
・From: がアルファベットの短い女性名とヤフーのアドレス
・Return-PathとReply-Toも同じヤフーのアドレス
・件名がいかにもそれらしいもの
・文字コードは7bit
・紹介のサイトは http://****.com/ (****は意味不明の4文字で頻繁に変わる)
これもだんだん量が増えてきています。統計を取る気にはなりませんが。
ID-code:no_id
>このグループ?のものは
>Content-Transfer-Encoding: 8bit
>になっています。
>この細工が影響していると思うのですが、いかがでしょうか。
ご回答ありがとうございました。対策のレベルが当方に
とって、ちょっと高そうですが、根気よくやっていきます。
それと、確かに ****.com 系も多いです。これもフィルタを
かけても効果薄いです。