[掲示板に戻る] [HTML化ログ 大目次へ] [ツリー一覧0003番へ]
[ 1113 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2002 May 16 16:37:03
記事No.1113/タイトル:ドメインを勝手に使ってSPAMを送っている業者が。。。
投稿日:2002/05/16(Thu) 16:37:03 / 投稿者:nob
★ツリー/親記事[1113]
-レス記事[1114][1137][1168]

どうも、私の管理しているドメインを勝手に名乗ってHotmailユーザーにSPAMを送っている業者がいるようです。管理者(=私)宛に配信不可のメールが2000通以上届いています。また、ウイルスも1日に10通も届くようになってしまいました。

何とか対抗する手段は無いものでしょうか?

送られてきている内容を以下に添付します。( *****.jp が私の管理しているドメインです。)

This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.

--9B095B5ADSN=_01C1F7AE092AEBE60065B738hotmail.com
Content-Type: text/plain; charset=unicode-1-1-utf-7

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

jokester160@hotmail.com




--9B095B5ADSN=_01C1F7AE092AEBE60065B738hotmail.com
Content-Type: message/delivery-status

Reporting-MTA: dns;hotmail.com
Received-From-MTA: dns;Kunikozptdw
Arrival-Date: Wed, 15 May 2002 21:23:31 -0700

Final-Recipient: rfc822;jokester160@hotmail.com
Action: failed
Status: 5.2.3

--9B095B5ADSN=_01C1F7AE092AEBE60065B738hotmail.com
Content-Type: message/rfc822

Received: from Kunikozptdw ([203.186.220.9]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905);
Wed, 15 May 2002 21:23:31 -0700
Message-ID: <002801c1a1h1$i42715z2$9848t4e8@*****.jp>
From: "Goldie Mehalia" <lilauascu@*****.jp>
To: <jenny_macintosh@hotmail.com>, <jokester160@hotmail.com>
Subject: Get Your Two FREE Airline Tickets to Orlando. cqpa
Date: Thu, 16 May 2002 13:29:15 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: lilauascu@*****.jp
X-OriginalArrivalTime: 16 May 2002 04:23:32.0801 (UTC) FILETIME=[7052B310:01C1FC91]



<html>
<head>
<title>Confirming Your Two FREE Airline Tickets</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body bgcolor="#FFFFFF" text="#000000">

<table width="642" border="0" cellpadding="0" cellspacing="0">
<tr>
<td height="43" valign="top" colspan="10">
<p align="right">
<img src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com/images/ahaimage.gif" width="63" height="43">
</td>
</tr>
<tr>
<td width="5" valign="top" rowspan="6">&nbsp;</td>
<td width="34" height="171"></td>
<td valign="top" colspan="2"><a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html">
<img border="0" src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com/images/homecover.jpg" width="187" height="155">
</a></td>
<td width="1"></td>
<td width="18"></td>
<td valign="top" colspan="3">Dear Friend,<br>
<br>
I have your certificate for <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html">Two
FREE Airline Tickets</a>. <br>
They're FREE, but I need to know where to send them. <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html"><br>
Click Here</a> and complete the form.<br>
<br>
Two FREE airline tickets valued up to $2100.00 to your <br>
choice of resort destination. Select from Hawaii, Orlando, <br>
Las Vegas, London and 20 other exciting locations. </td>
<td width="5" rowspan="6" valign="top">&nbsp;</td>
</tr>
<tr>
<td height="152"></td>
<td valign="top" colspan="7"> <br>
Plus you can try all of our money-saving benefits FREE for 30 days. <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html">Act
Now!</a> <br>
<br>
You also get a FREE subscription to HOME Magazine at no additional cost!
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html"><br>
This offer is risk-free</a>, registration only takes a minute and is completely
secure. <br>
It's that easy. Your satisfaction is guaranteed because our credibility
is on the line. <br>
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html"><br>
P.S.: This offer is only valid for the next 48 hours, so Act Now!</a> </td>
</tr>
<tr>
<td height="16"></td>
<td width="21"></td>
<td width="166"></td>
<td></td>
<td></td>
<td width="169"></td>
<td width="165"></td>
<td width="58"></td>
</tr>
<tr>
<td height="34"></td>
<td></td>
<td></td>
<td></td>
<td colspan="2" valign="top">
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/free/travel/index.html">
<img src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com/images/red-button.gif" width="186" height="34" border="0"></a>
</td>
<td></td>
<td></td>
</tr>
<tr>
<td height="23"></td>
<td></td>
<td colspan="5" valign="top">
<div align="center"><font face="Arial, Helvetica, sans-serif" size="1">Copyright
2002, American Homeowners Association (AHA). All rights reserved.</font></div>
</td>
<td></td>
</tr>
<tr>
<td height="5"></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
</tr>
<tr>
<td height="43" colspan="10" valign="top">&nbsp;<p><BR><BR><BR>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=lh">
</DIV>
<font color=white>cfkelhmk</font></body>
</html>
</td>
</tr>
</table>

</body>
</html>



--9B095B5ADSN=_01C1F7AE092AEBE60065B738hotmail.com--


記事No.1114/タイトル:『spam行為冤罪被害対策調査室』へどうぞ(Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/16(Thu) 19:09:22 / 投稿者:管理人
★ツリー/親記事[1113]+前記事[1113]
-レス記事[1127][1150]

完全に

『スパム行為冤罪被害対策調査室』
http://earth.endless.ne.jp/users/stakasa/spam/yuanzui/laji-yuanzui.html

の事例だと思われますので、そちらを参考にして下さい。
また作ったばかりで分かりにくい部分も多いと思いますので
そういう個所は指摘して下さい。

 なお、上の調査室のデータは十分でありませんので、
落ち着いたらでよいですので

・被害開始日時
・エラーメールの届いている量(一日あたり平均と総量)
・苦情量
・対応内容
・收束過程
・サンプルとしていくつか(10ほど)のメール本文

などを報告して頂けると助かります。


記事No.1127/タイトル:Re: 『spam行為冤罪被害対策調査室』へどうぞ(Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 15:24:59 / 投稿者:nob
★ツリー/親記事[1113]++前記事[1114]
-レス記事[1128][1130]

>・被害開始日時

2002/05/04


>・エラーメールの届いている量(一日あたり平均と総量)

2002/05/04: 5件
2002/05/05: 33件
2002/05/06: 45件
2002/05/07: 27件
2002/05/08: 18件
2002/05/09: 18件
2002/05/10: 2件
2002/05/11: 254件
2002/05/12: 432件
2002/05/13: 391件
2002/05/14: 427件
2002/05/15: 452件
2002/05/16: 474件


>・苦情量

1件


>・対応内容

・現時点では対外の対応手段なし。
・エラーメールをメールクライアントで振り分けるようにした。
・メールサーバーサイドのウイルス対策を強化した。


>・收束過程

継続中


>・サンプルとしていくつか(10ほど)のメール本文

まとめきれていないので、時間が出来たらまとめて投稿したいと思います。何種類かありますが、
なお、本文中のリンクや画像は PROXY 経由で表示させているようです。

・対象は Hotmail ユーザに限られているようです。
・To: フィールドには必ず2つのメールアドレスが書かれています。
・件名と本文にはメールごとにランダムな文字を付加しているようです。(SPAM対策の回避策と思われる)
・Received: フィールドは、Hotmail のSMTPサーバが付加したものしかない。
・Hotmail のSMTPサーバへの接続元のIPアドレスは韓国・中国・ブラジルなどのサーバである。(第三者のサーバに侵入して送信している!?)

とりあえず、分かっているところまで。


記事No.1128/タイトル:Re^2: 『spam行為冤罪被害対策調査室』へどうぞ(Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 16:01:04 / 投稿者:あいら(あふぇ・すぱすとサーバ管理人)
★ツリー/親記事[1113]+++前記事[1127]
-レス記事[1131][1134]
参照先:http://spamstop.net/

取り敢えず、高崎氏の当該ページでも示されていますように、
被害報告を(政府関連機関の)IPAに出してください。
(出して被害が解消する訳ではありませんが、警鐘を鳴らす事は出来ます。)
http://www.ipa.go.jp/security/ciadr/index.html


記事No.1131/タイトル:Re^3: 『spam行為冤罪被害対策調査室』へどうぞ(Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 17:17:04 / 投稿者:nob
★ツリー/親記事[1113]++++前記事[1128]

> 取り敢えず、高崎氏の当該ページでも示されていますように、
> 被害報告を(政府関連機関の)IPAに出してください。
> (出して被害が解消する訳ではありませんが、警鐘を鳴らす事は出来ます。)
> http://www.ipa.go.jp/security/ciadr/index.html

はい。
先ほどメールで連絡をいたしました。


記事No.1134/タイトル:残念な事に
投稿日:2002/05/17(Fri) 20:35:00 / 投稿者:あいら(あふぇ・すぱすとサーバ管理人)
★ツリー/親記事[1113]++++前記事[1128]
-レス記事[1140]
参照先:http://spamstop.net/

申し訳ない・・・
対処療法的なものしか今の所思いつきません。
何せhotmailは使った事も受け取った事も無いもので・・・
(通算3年間のネット生活においてhotmailのサーバーを実際に通ったものは1度も無い※FROM詐称はあったが)

取り敢えず被害を最小限に抑えるという事で、
該当アカウントの停止(又は一時的な削除)を、
早急にされた方が良いでしょう。
(証拠は3000通以上ありますので十分すぎます)
(エラーにエラーを返す事になるので、される前にhotmail側と相談した方がいいでしょう。)

MTAがqmailとかsendmailとかpostfixだったら、
hotmailアカウントのメールは、
/dev/nullに投げ込むようにする手も使えます。
(エラーも返さないのでもし他のhotmailユーザーから来ないという確信があればこれをお勧めします。)


記事No.1140/タイトル:Re: 残念な事に
投稿日:2002/05/18(Sat) 11:44:57 / 投稿者:nob
★ツリー/親記事[1113]+++++前記事[1134]

> 取り敢えず被害を最小限に抑えるという事で、
> 該当アカウントの停止(又は一時的な削除)を、
> 早急にされた方が良いでしょう。
> (証拠は3000通以上ありますので十分すぎます)
> (エラーにエラーを返す事になるので、される前にhotmail側と相談した方がいいでしょう。)

アカウントとして、存在しないメールに送られてきているのです。
つまり、ドメインは弊社のアドレスなのですが、ユーザ名部分は弊社には存在していないものなのです。(メールごとに異なるユーザ名を使用しているので、単語表から生成していると思います。)

というわけで、サーバ管理者の私にエラーメールの到着先がないという、通知が届くのです。(普通のメールならば、送信元(From:)であるHotmailの管理者(postmaster@mail.hotmail.com)に送り返されるはずなのですが、エラーメールという特性上無限ループを防ぐためなのか、Return-Path: <> となっているのです。)


> MTAがqmailとかsendmailとかpostfixだったら、
> hotmailアカウントのメールは、
> /dev/nullに投げ込むようにする手も使えます。
> (エラーも返さないのでもし他のhotmailユーザーから来ないという確信があればこれをお勧めします。)

社内向けには、事態が収束しない場合は、hotmail.com からのメールは全面的に拒否するかもしれないというアナウンスを 13日に行っていますが、出来ればそれは避けたいと思っています。

とりあえずは今後の対策の一案として、sendmailで、存在しないメールアドレス宛のメールを(後でエラー通知を配信するのではなく)SMTPセッション中に拒否する方法がないかを探してみようと思います。


記事No.1130/タイトル:もし本当にないならhotmailに問い合わせを( (Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 16:50:20 / 投稿者:管理人
★ツリー/親記事[1113]+++前記事[1127]
-レス記事[1132]

気分がよろしくないので不愛想ご容赦。

> ・Received: フィールドは、Hotmail のSMTPサーバが付加したものしかない。

既に短期的なものを越えている上、これは非常にまずいです。
 nob様のスキルが分かりませんので、失礼ですが出来る限り多くの
エラーで上の点を確かめましたでしょうか?

 で、私もちょっと実験したんですがhotmailのサーバの
しくみがよくわからんので、
hotmailが以前のreceivedを削っているのか、
hotmailに渡されたとき既に削られているのかよくわかりません。
ただスパマーが使っている全ての中継サーバがreceivedを
削る仕様だとはちょっと考えにくいです。

 私はサーバ使いじゃないんで見せて頂いたメールだけでは
分からないのですが、エラーメール自体はhotmailから
送られてきているようですか?それともそれ以前の中継サーバでしょうか?

 いずれにせよ、もし全てのメールでhotmailがつけた以前のrecieved
がないなら以下のようなパターン分けで行動する必要があります。

●もしエラーがhotmailサーバから届いている場合

hotmailに問い合わせて下さい。内容は現状を伝え、ポイントは

1.hotmailがつけるより以前のrecievedがないので
発信者の利用している大元の発信サーバが分からない。
もしhotmailがそれ以前のrecを削っているのなら早急に
なんらかの処置をとって、それらが把握できるようにしてほしい。
自分が分かるのでも良いし、hotmailで解析してくれても良い。
とにかく大元の発信サーバを突き止めないと止まらない。

2.もし大元の発信サーバが突き止められないのなら
エラーが膨れ上がっていく可能性もある。
場合によってはそちらでエラーの発生を止めて欲しい。
ただし大元の発信サーバを突き止めるために必要な
エラーは受け取りたいので、貴社hotmailの1に対する対処によって
2が必要かは異なる。

の2点です。

●もしエラーがhotmailサーバからでない場合

1に関しては上に同じ。後は何をhotmailが出来るか相談する。
-------------------------------

hotmail.comは幸か不幸か世界統一ドメインなんで日本の
hotmail事務局に問い合わせても大丈夫なんじゃないでしょうか?
もしトロいようなら米国のhotmailに問い合わせた方が良いかもしれません。


記事No.1132/タイトル:Re: もし本当にないならhotmailに問い合わせを( (Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 17:40:10 / 投稿者:nob
★ツリー/親記事[1113]++++前記事[1130]
-レス記事[1133]

色々とアドバイスありがとうございます。

>  で、私もちょっと実験したんですがhotmailのサーバの
> しくみがよくわからんので、
> hotmailが以前のreceivedを削っているのか、
> hotmailに渡されたとき既に削られているのかよくわかりません。
> ただスパマーが使っている全ての中継サーバがreceivedを
> 削る仕様だとはちょっと考えにくいです。

削ることは 常識 では考えられませんよね。
多分、Hotmail のSMTPに直接(送信元のsendmail等を経由せず)送信しているのだと思います。
Received: from ******** (***.***.***.***) の部分からも、そのように受け取れます。

ちなみに、前の Received: がなくても、「Received: from ******** (***.***.***.***) 」で、直前の接続元は分かります。


>  私はサーバ使いじゃないんで見せて頂いたメールだけでは
> 分からないのですが、エラーメール自体はhotmailから
> 送られてきているようですか?それともそれ以前の中継サーバでしょうか?

前者です。


> ●もしエラーがhotmailサーバから届いている場合
>
> hotmailに問い合わせて下さい。内容は現状を伝え、ポイントは
>
> 1.hotmailがつけるより以前のrecievedがないので
> 発信者の利用している大元の発信サーバが分からない。
> もしhotmailがそれ以前のrecを削っているのなら早急に
> なんらかの処置をとって、それらが把握できるようにしてほしい。
> 自分が分かるのでも良いし、hotmailで解析してくれても良い。
> とにかく大元の発信サーバを突き止めないと止まらない。

Hotmail で削っているとは考えにくいので、とりあえず確認という形で聞いてみようと思います。


> 2.もし大元の発信サーバが突き止められないのなら
> エラーが膨れ上がっていく可能性もある。
> 場合によってはそちらでエラーの発生を止めて欲しい。
> ただし大元の発信サーバを突き止めるために必要な
> エラーは受け取りたいので、貴社hotmailの1に対する対処によって
> 2が必要かは異なる。
>
> hotmail.comは幸か不幸か世界統一ドメインなんで日本の
> hotmail事務局に問い合わせても大丈夫なんじゃないでしょうか?
> もしトロいようなら米国のhotmailに問い合わせた方が良いかもしれません。

始めは、数日で終息するだろうと思っていたので、アクションを控えていましたが、こうなるとそうもいかなそうですね。

とりあえずは、日本の事務局にコンタクトをとってみようと思います。


記事No.1133/タイトル:Re^2: もし本当にないならhotmailに問い合わせを( (Re: ドメインを勝手に使ってSPAMを送っている業者が)
投稿日:2002/05/17(Fri) 20:25:38 / 投稿者:nob
★ツリー/親記事[1113]+++++前記事[1132]
-レス記事[1135]

自己レスです。

> 削ることは 常識 では考えられませんよね。
> 多分、Hotmail のSMTPに直接(送信元のsendmail等を経由せず)送信しているのだと思います。

> Hotmail で削っているとは考えにくいので、とりあえず確認という形で聞いてみようと思います。

とりあえず、別のSMTPを中継して Hotmail の存在しないメールアドレスにメールを配信したところ、Hotmail のサーバからではなく、直前のサーバがエラーを送ってくるようです。

その場合は、(当然ながら)直前のサーバの付加した Received: フィールドまで全て記録が残ります。また、Hotmail は受け取りを拒否(550)しているので、Hotmail の Received: フィールドは記録されません。

なので、送信元は第三者のサーバに侵入して、そこから Hotmail の SMTP に直接SMTPプロトコルでSPAMを流しているようです。


記事No.1135/タイトル:むむ〜(Re^3: もし本当にないならhotmailに問い合わせを)
投稿日:2002/05/17(Fri) 22:11:03 / 投稿者:管理人
★ツリー/親記事[1113]++++++前記事[1133]
-レス記事[1141]

 私はこのサイトを作るにあたって、スパム反対運動ML
http://www.egroups.co.jp/group/antispam-j
の皆さんに非常に御教授を受けており、そこには
私のような「ネットワーク無知」ではなく
詳しい方々がいらっしゃるのですけど、
スパム冤罪被害に関しては過去に何度か聞いたのですが、
どんぴしゃ有用なアドバイスが頂けませんでした。

 つまりはかなり「打つ手無し」といったところのようです。
で、今回もまた相談しているのですが、取りあえず
クラッキングの危惧が上がっていたことをお伝えしておきます。

 例に挙げているのがエラーメール一つの本文だけなんで
それから判断するのは難しいんですけど、一応御確認下さい。

 で、

> なので、送信元は第三者のサーバに侵入して、
> そこから Hotmail の SMTP に直接SMTPプロトコルでSPAMを流しているようです。

結構可能&スパムではありがちみたいです(+_+)。

 こうなるとどうしようもないかなあ....
でも上のような状況だったらエラーメールは時間をおかず、
スパマーが発信して直ぐにnob様の所に届いているのではないでしょうか?

 で、第三者のサーバに入ってといっても毎分ごととか、
一時間ごとに変えているわけでもないと思うんですが、
取りあえず「今その時刻」にスパマーが使っている
サーバ管理者にメールを送り、接続の大元をたどれないか
聞いてみてはどうでしょう?

 まあスパムに利用されるサーバは得てして管理不行き届きなわけですが
中には情報を提供してくれるところもあるかもしれません。

 もしそういう少しでも打開する方向を取らない限り、
スパマーは使えるもんはシャブリつくすまで使う可能性があるので、
止まらないかもしれません(既に10日以上続いているわけですし)。

 あいら氏の言うように、そのドメイン(もしくはドメインのpostmaster?)
を一時的にも停止させた方が良いかも知れません。

 そうすればエラーはhotmailに戻らざるを得ないと思うんですが、
そうなるとhotmail管理者としてもエラーの送り先のないようなメールを
送ってくる輩には何らかの対処をせざるを得ず、
嫌でも対処すると思います。

 現在のnob様がエラーを受け取っている状況は、
いわばスパマーのしわ寄せをnob様が受け取っているわけですけど、

スパマー
第三者サーバ
hotmail
nob様

のうち、一番関係のないのはnob様なわけで、残りの
3者を動かすにはエラーを受け取らないようにするしかないと思います。

むろん、そうしなくてもhotmailが動いてくれれば良いのですが、
果たしてどうなのやら....

 取りあえず最初に述べたように、
御自分のサーバがクラッキングされていないことだけは確認して下さい。


記事No.1141/タイトル:Re: むむ〜(Re^3: もし本当にないならhotmailに問い合わせを)
投稿日:2002/05/18(Sat) 12:22:27 / 投稿者:nob
★ツリー/親記事[1113]+++++++前記事[1135]
-レス記事[1143]

>  例に挙げているのがエラーメール一つの本文だけなんで
> それから判断するのは難しいんですけど、一応御確認下さい。

とりあえず、本文部分は近々まとめて掲載させていただきます。


>  こうなるとどうしようもないかなあ....
> でも上のような状況だったらエラーメールは時間をおかず、
> スパマーが発信して直ぐにnob様の所に届いているのではないでしょうか?

そのようです。
送信元は、送信時間を偽装しているので、Hotmailの Received: を信じるとして、2分程度で配信されているようです。

あれっ、ちょっと気になる点が、、、
送信元の Date: の時差設定が -0700 になっているのですが、この時差設定を無いものとして、そのままの時間を読むと(=仮に +0900 だとすると)日本の時刻とほとんど一致するのです。
ということは、日本と時差のない国が発信もとの可能性が高いような気がします。
私の勝手な想像では、「韓国で米国向けのWindowsがインストールされたパソコンを使って、第三者のサーバ(メールPROXY?)を経由して送信している」ような気がしてきました。


>  で、第三者のサーバに入ってといっても毎分ごととか、
> 一時間ごとに変えているわけでもないと思うんですが、
> 取りあえず「今その時刻」にスパマーが使っている
> サーバ管理者にメールを送り、接続の大元をたどれないか
> 聞いてみてはどうでしょう?
>
>  まあスパムに利用されるサーバは得てして管理不行き届きなわけですが
> 中には情報を提供してくれるところもあるかもしれません。

どのくらいの間隔かはつかみきれていませんが、「第三者のサーバ」がコロコロ変わっているような気がします。韓国のIPアドレスが多いようです。

一応、1件は英語で連絡したのですが、そこからは今のところ回答はありません。


>  もしそういう少しでも打開する方向を取らない限り、
> スパマーは使えるもんはシャブリつくすまで使う可能性があるので、
> 止まらないかもしれません(既に10日以上続いているわけですし)。
>
>  あいら氏の言うように、そのドメイン(もしくはドメインのpostmaster?)
> を一時的にも停止させた方が良いかも知れません。
>
>  そうすればエラーはhotmailに戻らざるを得ないと思うんですが、
> そうなるとhotmail管理者としてもエラーの送り先のないようなメールを
> 送ってくる輩には何らかの対処をせざるを得ず、
> 嫌でも対処すると思います。

sendmailで、存在しないメールアドレス宛のメールを(後でエラー通知を配信するのではなく)SMTPセッション中に拒否する方法を探してみようかと思っています。


>  取りあえず最初に述べたように、
> 御自分のサーバがクラッキングされていないことだけは確認して下さい。

これだけは、日常から気をつけているので大丈夫だと思います。

SMAPを社外から中継として使うにはセッション中で認証が必要なようにしているし、PROXYはサーバレベルで使用可能IPを制限していますし、該当ポートはルータレベルでも拒否しています。

しかし、本件が発生してから、やたらと SMTP を不正利用しようとしている記録が残っているので、普段よりも気をつけてログをチェックするようにしています。


記事No.1143/タイトル:どうせ米国のスパマでは?(Re^2: むむ〜(Re^3: ...)
投稿日:2002/05/18(Sat) 15:24:18 / 投稿者:管理人
★ツリー/親記事[1113]++++++++前記事[1141]
-レス記事[1144][1158]

> 送信元の Date: の時差設定が -0700 になっているのですが、
> この時差設定を無いものとして、そのままの時間を読むと
> (=仮に +0900 だとすると)日本の時刻とほとんど一致するのです。
> ということは、日本と時差のない国が発信もとの可能性が高いような気がします。

 ?。私が勘違いなのかもしれませんが、その場合に一致することこそが
私が述べた
「スパマーが出した後、すぐにnob様のところに届く」
という意味です。

> 私の勝手な想像では、「韓国で米国向けのWindowsがインストール
> されたパソコンを使って、第三者のサーバ(メールPROXY?)を
> 経由して送信している」ような気がしてきました。

で、直ぐに届く場合にはnob様に届く時間が、スパマーの活動している時間であり、
それによって少しはスパマーの活動をつかめるかもしれません。
が、それ以前に

> 送信元の Date: の時差設定が -0700 になっているのですが、

このこと自体が米国およびカナダにスパマーの使っている
パソコンがある、すなわちスパマーがそこに住んでいることを示していると
思います。

「スパムとともに排除されるアジアからのメール」(HotWired)
http://www.hotwired.co.jp/news/news/20020220205.html

 うん?ちょっと具体例がないのでnob様が御承知の上で上のことを
言っているかも知れませんが

> 投稿日 : 2002/05/16(Thu) 16:37
> 投稿者 : nob
> URL :
> タイトル : ドメインを勝手に使ってSPAMを送っている業者が。。。

で投稿して頂いた時刻は標準時刻で

5/16 7:37

であり、スパムが跳ね返された時刻は

(略させて頂きます)
> --9B095B5ADSN=_01C1F7AE092AEBE60065B738hotmail.com
> Content-Type: message/delivery-status
>
> Reporting-MTA: dns;hotmail.com
> Received-From-MTA: dns;Kunikozptdw
> Arrival-Date: Wed, 15 May 2002 21:23:31 -0700

から標準時刻になおすと

5/16 4:23

でありますので、最初に例に挙げたメールは投稿していただく3時間程前に
受け取ったものではないかと推察致しますが。
 違うのでしょうか?


記事No.1144/タイトル:私が勘違いですかね(Re: どうせ米国のスパマでは?)
投稿日:2002/05/18(Sat) 18:49:47 / 投稿者:管理人
★ツリー/親記事[1113]+++++++++前記事[1143]
-レス記事[1145][1156]

ああ、やはり私が勘違いしてしまったんでしょうか?

> > 送信元の Date: の時差設定が -0700 になっているのですが、
> > この時差設定を無いものとして、そのままの時間を読むと
> > (=仮に +0900 だとすると)日本の時刻とほとんど一致するのです。
> > ということは、日本と時差のない国が発信もとの可能性が高いような気がします。
>
>  ?。私が勘違いなのかもしれませんが、その場合に一致することこそが

 上でおっしゃっているのは時差の部分を単に外しても...
という意味でしょうか?

 南米が発信になっているメールも、同様に日本と時差がないような
ヘッダになっているのでしょうか?

 既に挙げたニュースの通り、最近の英文スパマーは
韓国やら、中国やら、台湾やら、そして日本のサーバも隙があれば
利用しようとする傾向にあり、利用される地域にアジアが多いので、
スパマーがわざわざ身元の国も偽ろうとするならば、
当然時差的には日本と大差なくなってしまうでしょう。

 もしも南米からのスパムさえも日本と時差がないように見えるならば
「アジアにスパマーがいる」とおっしゃっている、その可能性もあるでしょう。

 ただしいくらでもいつわれるDateで判断するのは極めて困難でして、
実際、英文スパマーでは、
ヘッダに残っている時刻が全体的に統一感がないのが多く、
それも「偽造ヘッダ」の根拠になります。

 前回挙げたニュースはちょっと不公平で、(おそらく)米国人スパマーが
他国のサーバを踏み台にするという事実を全面に出していませんが、
同時期に書かれた中国語のニュースなどによると
連邦法こそは出来ていないものの、スパム行為に対する有形無形の
圧力が高まっていて、米国のネットサービスを利用して
スパム行為を行うことが困難になってきたため、管理の不十分な
諸外国のサーバを積極的に利用し始めている、というような話でした。

 トホホですね。


記事No.1145/タイトル:Re: 私が勘違いですかね(Re: どうせ米国のスパマでは?)
投稿日:2002/05/18(Sat) 21:23:27 / 投稿者:管理人
★ツリー/親記事[1113]++++++++++前記事[1144]

どうも最近とみに掲示版書き込みなどの文が校正不十分でお恥ずかしいですね。とほほ。
#不調のせいにしよう。

> 同時期に書かれた中国語のニュースなどによると
> 連邦法こそは出来ていないものの、スパム行為に対する有形無形の
> 圧力が高まっていて、米国のネットサービスを利用して
> スパム行為を行うことが困難になってきたため、管理の不十分な
> 諸外国のサーバを積極的に利用し始めている、というような話でした。

の部分は

> 同時期に書かれた中国語のニュースなどによると

> 「米国では連邦法こそは出来ていないものの、
> スパム行為に対する有形無形の規制が強まった結果
> 米国内のネットサービスを利用して
> スパム行為を行うことが困難になってきた。
> そこでスパマーは管理の不十分な諸外国のサーバを積極的に利用し
> 隱れ蓑することが極めて多くなってしまったのであるが、
> それは米国内のスパム規制の不徹底の犧牲とも言えるわけで、
> 単に踏み台にされるアジアのサーバの方が
> たまったものではない。」

> というような話でした。

...というか意見に関してはほとんど私が作っているかも(^^;;)

一応その記事を載せておきましょう。

「欧米から排斥されつつある中国からの電子メール」(中国語)
http://www.zaobao.com/special/newspapers/2002/03/ynet010302.html

 前に紹介した

「スパムとともに排除されるアジアからのメール」(HotWired)
http://www.hotwired.co.jp/news/news/20020220205.html

の翻訳らしいという話がありましたがざっと見たところ、
ただの直訳ではなくて独自ソースや中国の立場としての見解も入れたものとして
アレンジしているようです。

 こうしている間にも私のところには毎日2〜3通の英文スパムが
届きます。全く憎たらしいことです。
 nob様の被害もなんとか解決すると良いのですが。


記事No.1156/タイトル:Re: 私が勘違いですかね(Re: どうせ米国のスパマでは?)
投稿日:2002/05/20(Mon) 02:29:05 / 投稿者:nob
★ツリー/親記事[1113]++++++++++前記事[1144]
-レス記事[1164]

> ああ、やはり私が勘違いしてしまったんでしょうか?
>
> > > 送信元の Date: の時差設定が -0700 になっているのですが、
> > > この時差設定を無いものとして、そのままの時間を読むと
> > > (=仮に +0900 だとすると)日本の時刻とほとんど一致するのです。
> > > ということは、日本と時差のない国が発信もとの可能性が高いような気がします。
> >
> >  ?。私が勘違いなのかもしれませんが、その場合に一致することこそが
>
>  上でおっしゃっているのは時差の部分を単に外しても...
> という意味でしょうか?

そういうことです。説明がうまく出来なくて申し訳ございません。

スパマーが指定した Date: を時差の指示を無視して読むと、弊社のサーバーが受信した時間(日本標準時刻)と数分違いとなります。


>  南米が発信になっているメールも、同様に日本と時差がないような
> ヘッダになっているのでしょうか?

南米が発信元になっているメールは見失ってしまいましたが、USが発信元のメールは同じでした。


>  既に挙げたニュースの通り、最近の英文スパマーは
> 韓国やら、中国やら、台湾やら、そして日本のサーバも隙があれば
> 利用しようとする傾向にあり、利用される地域にアジアが多いので、
> スパマーがわざわざ身元の国も偽ろうとするならば、
> 当然時差的には日本と大差なくなってしまうでしょう。

本当にそうしようと思うならば、時差の指示を -0700 ではなく、+0900 に設定するのが先だと思うのですが。。。 つまりは、Windows で設定するならば、「日付と時刻のプロパティ」の「日付と時刻」を偽装したい対象国の時間に合わせて、その上で「タイムゾーン」も対象国と同じにしなくてはいけないのですが・・・・

そうしないと、メールクライアントが現地時間に変換して表示するので、16時間未来からメールが届いたように見えてしまうのです。

これだけの、(ある意味で)優れた技術を持っているスパマーなのだから、時間を意図的に偽装しようと考えているならば、上記に書いたことくらいはするのではないかと思います。

なので、米国版のWindowsをインストールしたパソコン(=初期設定でタイムゾーンが太平洋標準時)を使っていて、タイムゾーンを変更しないで(日本 or 韓国の)現地時間にあわせてパソコンを使っているのかなぁ」と勝手に想像した次第です。


記事No.1164/タイトル:スパマーはどこにいるか?(Re^2: 私が勘違いですかね)
投稿日:2002/05/20(Mon) 15:29:05 / 投稿者:管理人
★ツリー/親記事[1113]+++++++++++前記事[1156]

> >  既に挙げたニュースの通り、最近の英文スパマーは
> > 韓国やら、中国やら、台湾やら、そして日本のサーバも隙があれば
> > 利用しようとする傾向にあり、利用される地域にアジアが多いので、
> > スパマーがわざわざ身元の国も偽ろうとするならば、
> > 当然時差的には日本と大差なくなってしまうでしょう。
>
> 本当にそうしようと思うならば、時差の指示を -0700 ではなく、
> +0900 に設定するのが先だと思うのですが。。。 つまりは、Windows
> で設定するならば、「日付と時刻のプロパティ」の「日付と時刻」を
> 偽装したい対象国の時間に合わせて、その上で「タイムゾーン」も
> 対象国と同じにしなくてはいけないのですが・・・・
>
> そうしないと、メールクライアントが現地時間に変換して表示するので、
> 16時間未来からメールが届いたように見えてしまうのです。
>
> これだけの、(ある意味で)優れた技術を持っているスパマーなのだから、
> 時間を意図的に偽装しようと考えているならば、
> 上記に書いたことくらいはするのではないかと思います。
>
> なので、米国版のWindowsをインストールしたパソコン(=初期設定で
> タイムゾーンが太平洋標準時)を使っていて、タイムゾーンを変更しないで
> (日本 or 韓国の)現地時間にあわせてパソコンを使っているのかなぁ」
> と勝手に想像した次第です。

 先日の3000通の方からエラーのサンプルを頂いているんで
見てみました。そのスパムは典型的な第三者中継を使うもので
宛先もhotmailだけではなく世界中のアドレスが対象であり、
しかも今見ると複数のメールクライアントを使ったことすら窺えます。

 で、見てみると興味深いことにnob様のおっしゃる特徴と一致しました。
その時の場合にはかなりのDateが-0500すなわち
米国東部のタイムゾーンになっていました。
今回のが米国西岸出身-0700のスパマー(パソコン)なのに対して
東岸出身で、しかし送信したパソコン時刻を計算すると
アジア時刻のようです。

 なんでなんでしょうねえ。スパマー集団は送る際に
わざわざアジアに乗り込んできているんでしょうか???
想像しにくいですが。

 そんなにお縄になりやすいんでしょうか?
まあ米国でのスパム送信への圧力が強まっているのは確かなんですが。
ちなみにその時の大元の送信サーバは米国のネット業者だったんですけどね。

 しかしそうなるとアジアにいながら米国のネット業者にダイレクトに繋げて
世界中のサーバをopen relayにして世界中のメルアドでスパムを発信、
というよく分からないことになりますが。
 謎です。

 ただ言えることはスパマーはおそらく偽装したくて
Dateをいじくってるのではないだろうということです。
アジアにいるにしても、米国にいるにしても
上述のような変更はえらく中途半端ですから。

 nob様のおっしゃるように、タイムゾーンはいじくらず、
でも身の回りの時刻とパソコンの時刻が合わないのは生活上不便なので
とりあえずそれだけあわせる、というのが自然ではありますね。
なぞ〜。


記事No.1158/タイトル:Re: どうせ米国のスパマでは?(Re^2: むむ〜(Re^3: ...)
投稿日:2002/05/20(Mon) 05:27:33 / 投稿者:nob
★ツリー/親記事[1113]+++++++++前記事[1143]

> で、直ぐに届く場合にはnob様に届く時間が、スパマーの活動している時間であり、
> それによって少しはスパマーの活動をつかめるかもしれません。

ほとんど休みなく、24時間ぶっ続けです。

過去に、大きく間隔があいたのは
・05/18 08:27:03 - 11:23:13
・05/18 06:51:54 - 08:07:03
・05/18 02:38:58 - 05:14:42
・05/17 07:22:19 - 10:04:32
・05/13 22:23:07 - 05/14 07:08:57
・05/09 12:06:55 - 05/11 10:36:36
です。

これ以前は、結構まばらです。


記事No.1150/タイトル:サンプルとしていくつかのメール (Re: 『spam行為冤罪被害対策調査室』へどうぞ)
投稿日:2002/05/20(Mon) 01:50:10 / 投稿者:nob
★ツリー/親記事[1113]++前記事[1114]
-レス記事[1151][1152][1153][1154][1155]

> ・サンプルとしていくつか(10ほど)のメール本文

とりあえず、いくつかをピックアップして送付します。
(この記事に返信の形で送付します。)

なお、タイトルのみを変えたバリエーションが存在します。


記事No.1151/タイトル:Do You Have 60 Seconds? The Road to Success! brshbj (Re: サンプルとしていくつかのメール)
投稿日:2002/05/20(Mon) 01:51:50 / 投稿者:nob
★ツリー/親記事[1113]+++前記事[1150]

Received: from Claytonepfmjeskxt ([211.99.42.218]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Thu, 16 May 2002 11:40:55 -0700
Message-ID: <007501c1c8i1$q75849u7$5547j6w6@*****.jp>
From: "Rane Florida" <alec@*****.jp>
To: <byrd89@hotmail.com>, <newmanrenee@hotmail.com>
Subject: Do You Have 60 Seconds? The Road to Success! brshbj
Date: Fri, 17 May 2002 03:45:06 -0700
MIME-Version: 1.0
X-Mailer: AOL 4.0 for Windows 95 sub 113
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: alec@*****.jp
X-OriginalArrivalTime: 16 May 2002 18:40:56.0062 (UTC) FILETIME=[36E561E0:01C1FD09]
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit



<HTML><P ALIGN=CENTER><FONT SIZE=5 PTSIZE=18>You Could Search for a Year and Find Nothing Better!</FONT><FONT COLOR="#000000" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=2 PTSIZE=10 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
</FONT><FONT COLOR="#ff0000" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=1 PTSIZE=8 FAMILY="SANSSERIF" FACE="Arial" LANG="0">Exciting New Home Based Business that can be operated part or full time using E-mail <BR>
NO EXPERIENCE REQUIRED - YOU WILL RECEIVE FULL TRAINING + CUSTOMERS</FONT><FONT COLOR="#000000" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=2 PTSIZE=10 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
<P ALIGN=LEFT> <BR>
<P ALIGN=CENTER></FONT><FONT COLOR="#0000ff" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=4 PTSIZE=14 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><B>Read below to find out how you can live anywhere you want and use the Internet<br>to
earn an income that can support you in comfort for the rest of your life &gt;&gt;&gt;</FONT><FONT COLOR="#000000" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=6 PTSIZE=20 FAMILY="SANSSERIF" FACE="Arial" LANG="0"></B><BR>
<P ALIGN=LEFT></FONT><FONT COLOR="#000000" BACK="#ffffff" style="BACKGROUND-COLOR: #ffffff" SIZE=2 PTSIZE=10 FAMILY="SANSSERIF" FACE="Arial" LANG="0"> <BR>
This is perhaps one of the most interesting, exciting and profitable businesses you will ever see. HERE IS HOW IT WORKS: (1) There are more than 3 million businesses for sale - and thousands of them are easy to find on the Internet.(2) There are also about 12,000 Public Companies and most of them want to acquire or merge with a private business because it will improve their sales revenue, profits and increase shareholder value. The Mergers and Acquisitions (M&amp;A) business is no more complicated than putting together the private company Sellers and the Public Company Buyers - showing you how to become an M&amp;A Matchmaker using E-mail is what we teach you. &nbsp;There are large Public Companies (NYSE, AMEX or NASDAQ) and smaller Public Companies (OTC/BB). This means you can do big deals and small deals. One of our Associates that started in January will earn $250,000 cash and $1 million in Public Company (AMEX) stock on his first deal. Another new Associate with no experience just completed her first deal and earned $300,000; she only started five weeks ago! &nbsp;Each deal is different and you may earn more or less.<BR>
<BR>
This is one of the 塗ottest business opportunities in the country right now. It has been written about in many leading business magazines. This is the only opportunity of its kind where you work directly with an Attorney and an Investment Banker who can show exactly how to be successful in this exciting and very profitable industry. THERE IS NO EXPERIENCE REQUIRED - Just the ability to send e-mail from your computer and follow step-by-step directions.You will get complete assistance by phone, E-MAIL and fax for three years. &nbsp;The reason you will be successful is that every time you make money the Attorney and Investment Banker who help you share the profits with you. This way everyone is a WINNER.<BR>
<BR>
<b><font size=3><center><B>For More Information </B><BR>
<BR>
<a href="http://www.02-ry001.busi.opp.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8301/index.html">Click Here Now</a><BR></font></center></b>
</font>
<BR><BR><BR><BR><BR><BR>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=51963447ZS">
</DIV>
<font color=white>ubmqtltgi</font></body>
</html>


記事No.1152/タイトル:Make Big Returns With Movie Investments..... giwlunkknl (Re: サンプルとしていくつかのメール)
投稿日:2002/05/20(Mon) 01:52:36 / 投稿者:nob
★ツリー/親記事[1113]+++前記事[1150]

Received: from Brigitgoegrpu ([211.251.75.34]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Fri, 3 May 2002 17:17:49 -0700
Message-ID: <005401c1x2v8$z48868q9$1558a2j6@*****.jp>
From: "Yestin Nizana" <keefelt@*****.jp>
To: <ericthebull@hotmail.com>, <cathy_26@hotmail.com>
Subject: Make Big Returns With Movie Investments..... giwlunkknl
Date: Sat, 4 May 2002 08:23:13 -0700
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2650.21)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: keefelt@*****.jp
X-OriginalArrivalTime: 04 May 2002 00:17:50.0203 (UTC) FILETIME=[2017C4B0:01C1F301]
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit



<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>

<META content="Microsoft FrontPage 5.0" name=GENERATOR></HEAD>
<BODY><FONT face=Arial size=2>
<TABLE border=0 cellPadding=0 cellSpacing=0 width=600>
<TBODY>
<TR>
<TD bgColor=#660000 height=20></TD></TR>
<TR>
<TD height=4></TD></TR>
<TR>
<TD bgColor=#660000 height=1></TD></TR>
<TR>
<TD>
<TABLE border=0 cellPadding=0 cellSpacing=5 width="100%">
<TBODY>
<TR align=middle>
<TD colSpan=2>
<P><FONT color=#660000 face="Arial, Helvetica, sans-serif"
size=6><B><I>Own A Part Of Hollywood!<BR></I></B></FONT><FONT
color=#660000 face="Arial, Helvetica, sans-serif" size=5><B>Invest
In the Movies!</B></FONT></P></TD></TR>
<TR>
<TD width=214>

<table><tr><td height=121
background="http://www.02-ry009.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com/images/movieim_ad.jpg" width=214></td></tr></table>

</TD>
<TD noWrap>
<P><FONT color=#660000 face="Arial, Helvetica, sans-serif"
size=5><B>DO YOU LIKE:<BR></B></FONT><FONT
face="Arial, Helvetica, sans-serif" size=3><B>1. Potential Huge
Returns?<BR>2. Long-Term Residual Incomes?<BR></B></FONT><FONT
face="Arial, Helvetica, sans-serif" size=3><B>3. An Industry With a
Proven Track Record?</B></FONT></P></TD></TR>
<TR align=middle>
<TD colSpan=2>
<TABLE border=0 cellPadding=0 cellSpacing=0 width="75%">
<TBODY>
<TR>
<TD>
<P><FONT color=#670001 face="Arial, Helvetica, sans-serif"
size=2><B>&#8211;If you answered YES to any of the above questions,
you fit the profile to become an investor in the Movie
Industry.</B></FONT></P>
<P align=center><a href="http://www.02-ry009.newad.movie.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/movie/gooddeal/index.html"><FONT color=#670001 face="Arial, Helvetica, sans-serif"
size=3><B><U>CLICK HERE FOR MORE
INFORMATION</U></B></FONT></a></P>
<P><FONT color=#670001 face="Arial, Helvetica, sans-serif"
size=2><B>Discover</B> how tens of thousands of investors have
made significant returns on their investment and owned a part
of a Feature Film.<BR><BR></FONT><FONT color=#670001
face="Arial, Helvetica, sans-serif" size=2><B>Individuals</B>
are constantly looking for effective ways to reach their
investment goals, whether it is building a nest egg for
retirement, a dream vacation, or funding a child's college
education.<BR>&nbsp;
</FONT></P></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD bgColor=#660000 height=1></TD></TR>
<TR>
<TD height=4></TD></TR>
<TR>
<TD bgColor=#660000 height=20></TD></TR></TBODY></TABLE></FONT>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=519634O6ME">
</DIV>
kpz</body>
</html>


記事No.1153/タイトル:MAKE YOUR MONEY WORK FOR YOU! ............... gvbumim (Re: サンプルとしていくつかのメール)
投稿日:2002/05/20(Mon) 01:53:18 / 投稿者:nob
★ツリー/親記事[1113]+++前記事[1150]
-レス記事[1157]

Received: from Foyncusya ([210.170.78.82]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Fri, 17 May 2002 06:29:04 -0700
Message-ID: <001101c1x3q2$g63164a9$1554n9p9@*****.jp>
From: "Deana Kynthia" <mortonpi@*****.jp>
To: <loribell@hotmail.com>, <jro_o@hotmail.com>
Subject: MAKE YOUR MONEY WORK FOR YOU! ............... gvbumim
Date: Fri, 17 May 2002 22:32:00 -0700
MIME-Version: 1.0
X-Mailer: Microsoft Outlook, Build 10.0.2616
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: mortonpi@*****.jp
X-OriginalArrivalTime: 17 May 2002 13:29:09.0004 (UTC) FILETIME=[D3089CC0:01C1FDA6]
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit



<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>

<META content="Microsoft FrontPage 5.0" name=GENERATOR></HEAD>
<BODY><FONT face=Arial size=2>
<TABLE border=0 cellPadding=0 cellSpacing=0 width=550 align=center>
<TBODY>
<TR>
<TD bgColor=#000000 height=1 width=1></TD>
<TD bgColor=#000000 height=1></TD>
<TD bgColor=#000000 height=1 width=1></TD></TR>
<TR>
<TD bgColor=#000000 width=1></TD>
<TD align=middle>
<TABLE border=0 cellPadding=0 cellSpacing=10 width="100%">
<TBODY>
<TR>
<TD align=middle colSpan=2 vAlign=center>
<P><FONT face="Arial, Helvetica, sans-serif" size=4><B>Interested In
Finding Out How You Can<BR>Receive 10% Per Annum With Interest Paid
<BR>Monthly Backed by Publicly Traded Companies?</B></FONT></P>
<P><FONT color=#999966 face="Arial, Helvetica, sans-serif"
size=4><B>If the Answer is Yes, You are in the Right
Place</B></FONT></P>
<TABLE border=0 cellPadding=0 cellSpacing=0>
<TBODY>
<TR>
<TD vAlign=center>
<UL>
<LI><B><FONT face="Arial, Helvetica, sans-serif"
size=3>Reach your investment goals faster!</FONT></B>
<LI><B><FONT face="Arial, Helvetica, sans-serif" size=3>Make
your money work for you!</FONT></B>
<LI><B><FONT face="Arial, Helvetica, sans-serif"
size=3>Optimize your investment return!</FONT></B>
</LI></UL></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<td>
<table>
<tr>
<td height=119
background="http://www.02-ry007.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com:8090/images/im_cdad.jpg"
width=228>
</td>
</tr>
</table>
</TD>
<TD>
<P><FONT color=#999966 face="Arial, Helvetica, sans-serif"
size=4><B><I>Enter to Win</I></B></FONT><BR><FONT
face="Arial, Helvetica, sans-serif" size=3><B>Double Eagle Gold
Coin<BR>with a value of $350</B></FONT></P>
<P><a href="http://www.02-ry007.corp.pic.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8307/index.html"><FONT color=#003366 face="Arial, Helvetica, sans-serif"
size=3><U><B>Click here for more
information</B></U></FONT></a></P></TD></TR></TBODY></TABLE></TD>
<TD bgColor=#000000 width=1></TD></TR>
<TR>
<TD bgColor=#000000 height=1 width=1></TD>
<TD bgColor=#000000 height=1></TD>
<TD bgColor=#000000 height=1
width=1></TD></TR></TBODY></TABLE></FONT>
<BR><BR><BR>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=519634AGAN">
</DIV>
<font color=white>dddzp</font></body>
</html>


記事No.1157/タイトル:日本ですね(Re: MAKE YOUR MONEY...)
投稿日:2002/05/20(Mon) 03:05:05 / 投稿者:管理人
★ツリー/親記事[1113]++++前記事[1153]
-レス記事[1159]

>Received: from Foyncusya ([210.170.78.82]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Fri, 17 May 2002 06:29:04 -0700


お気づきだと思いますがこれ210.170.78.82

> オープンコンピュータネットワーク (Open Computer Network)
> SUBA-131-946 [サブアロケーション] 210.170.78.0
> 東京ソフトウェア株式会社 (Tokyo Software Corporation)
> TOKYOSOFT [210.170.78.80 <-> 210.170.78.95] 210.170.78.80/28

日本ですね。塚本様の話ではプロキシのログが残っているはずみたいな言い方でしたから
とことん日本語で交渉しようとしてみると良いのでは?
直接電話で話した方が良いかも知れませんね。

 そのつもりでした?


記事No.1159/タイトル:Re: 日本ですね(Re: MAKE YOUR MONEY...)
投稿日:2002/05/20(Mon) 08:20:20 / 投稿者:nob
★ツリー/親記事[1113]+++++前記事[1157]
-レス記事[1160]

> お気づきだと思いますがこれ210.170.78.82

うぅっ、気づいていませんでした。
広告違いのものを適当にピックアップしたものに含まれていたということは、調べればまだ出てきそうですね。

しかし、どうやって調べたらいいんだか。。。
既に4000通を突破してしまいました。

先に添付したメールは、スパマーが Hotmail に送付した部分のみだったのですが、実際には Hotmail が弊社宛に付加したブロックと、弊社のサーバがPostmaster(=私)宛に付加したブロックに囲われています。なので、そのままではメールクライアントの検索機能などは使えないのです。

とりあえずは、全てのメールを1ファイルに書き出して、正規表現で必要そうなところだけ抜いてみるかなぁ・・・ (気が遠くなってきた・・・)


> 日本ですね。塚本様の話ではプロキシのログが残っているはずみたいな言い方でしたから
> とことん日本語で交渉しようとしてみると良いのでは?

やってみます。


記事No.1160/タイトル:メールのより分け(Re^2: 日本ですね(Re: MAKE YOUR MONEY...))
投稿日:2002/05/20(Mon) 12:20:53 / 投稿者:管理人
★ツリー/親記事[1113]++++++前記事[1159]
-レス記事[1161][1162]

> > お気づきだと思いますがこれ210.170.78.82
>
> うぅっ、気づいていませんでした。
> 広告違いのものを適当にピックアップしたものに
>含まれていたということは、調べればまだ出てきそうですね。
>
> しかし、どうやって調べたらいいんだか。。。
> 既に4000通を突破してしまいました。
>

 やはりそうでしたか!まずそもそもいくつか日本語のを見つければいいんで
全てを振り分ける必要はないでしょう。
見つけた会社に頼んでとにかくプロキシログを調べて
接続の大元IPさえ見つけて貰えばいいんですから!!

 それから振り分け方法ですがメールソフトで違ってくるでしょう。
たとえばBeckyなら
http://www2g.biglobe.ne.jp/~stakasa/spam/shouhai-spam4.html#shengli
で紹介しているツールを使えばメールソフト上で
IPアドレスを右クリックして日本かどうかを片っ端から調べるとか。

 あと広告ごとに違うと言うことですから、一つの広告を見つけたら
そのタイトルでメールフォルダをクエリサーチし、
見つけたものにマークをつける。
(Beckyであれば重要度でマークがつけられます)

サーチを終えて重要度でソートし、さっきつけた重要度のものをまとめて振り分ける。

それを繰り返すことで広告別すなわちIP別に4000通を振り分けられるでしょう。

 もしBeckyでない場合でも、お兄さん、良いソフトがあるでんがな。

http://www.becky-users.net/tools/B1/export.html#bmbx_htm

このツールはメールデータを一通一通html形式に変換するソフトです。
たとえばMLのメールをWeb化するときなどに使います。
#実際私も最近使ったところです。

Becky以外でもある程度は対応していると書いてあります。
それによってまず4000通を4000のhtmlファイルにします。
そしてやはり適当にタイトルを見つけたらそれで
Windows(とは限りませんが)のファイル検索で、中身を検索するやつを
おこないそのhtmlファイルだけをピックアップする。以上を
繰り返せば4000通をタイトルごと、言いかえればIPアドレスごと
つまりは利用されたサーバごとに振り分けられるでしょう。

 まあ数百種類あるのだったらそれでもかなり、というかすごく大変ですが....

 私のスパム反対活動のお師匠は大量のスパム分析には
データベースソフト(ファイルメーカProとかだったかな)につっこめば
いろいろ出来るとおっしゃっていたんで、そういうのを
使えば上述のような手動でなくても本文中のIPアドレスごとに
より分けたり出来るのかもしれませんが(よく知らないです)

 日本も使われているなら光明が見えて始めたじゃないですか、
是非頑張って下さい!前述の頁で紹介した方は冤罪被害で毎日届く
3000通のエラーメールを乗り切ったんですから!


記事No.1161/タイトル:Re: メールのより分け(Re^2: 日本ですね(Re: MAKE YOUR MONEY...))
投稿日:2002/05/20(Mon) 14:19:18 / 投稿者:nob
★ツリー/親記事[1113]+++++++前記事[1160]
-レス記事[1163][1166][1178]

>  やはりそうでしたか!まずそもそもいくつか日本語のを見つければいいんで
> 全てを振り分ける必要はないでしょう。

日本語で書かれているものはないようです。
とりあえずは、全てのメールをエクスポートして(40MB over!!)、正規表現で Received: を抽出して、IP単位で集計後に、PHPで作成した簡単な nslookup スクリプトで一斉に逆引きを行いました。

これをデータベースに入れて集計したところ、踏み台になっていると思われるホストが204ありました。そのうち、9ホストが日本ドメインでした。


> 見つけた会社に頼んでとにかくプロキシログを調べて
> 接続の大元IPさえ見つけて貰えばいいんですから!!

とりあえず、特に多い(1ホストあたり20エラー程度) 3ホストの管理者に電話で連絡しました。

先の投稿の「東京ソフトウェア株式会社」様は直ちにサーバを停止していただき、調査をお願いしております。

もう1件は、学校でした。こちらも、責任者に調査を依頼しました。

もう1件は、建築関係の業者ですが、踏み台になっていることを承知で1ヶ月間も対策を行っていないそうです。とりあえずは「迷惑です」と伝えて、1週間以内に対策を行っていただけるとの回答を得ました。


>  あと広告ごとに違うと言うことですから、一つの広告を見つけたら
> そのタイトルでメールフォルダをクエリサーチし、
> 見つけたものにマークをつける。
> (Beckyであれば重要度でマークがつけられます)

Becky! なのですが、ブロック(弊社サーバが付加)の中のブロック(Hotmailが付加)の中のメールなので、検索は出来ないとあきらめていました。ところが、ブロックを展開する機能を見つけたので、これで全てのメールを展開すれば、振り分けなども使えそうです。


>  私のスパム反対活動のお師匠は大量のスパム分析には
> データベースソフト(ファイルメーカProとかだったかな)につっこめば
> いろいろ出来るとおっしゃっていたんで、そういうのを
> 使えば上述のような手動でなくても本文中のIPアドレスごとに
> より分けたり出来るのかもしれませんが(よく知らないです)

たしかにデータベースに突っ込むと便利です。とりあえず、今回の解析は正規表現で加工後のデータを簡単な集計のために MS-Access にインポートして解析しています。

これからも、続くようならば自動的にデータベースに突っ込むソフトを作らなくては。。。


>  日本も使われているなら光明が見えて始めたじゃないですか、
> 是非頑張って下さい!前述の頁で紹介した方は冤罪被害で毎日届く
> 3000通のエラーメールを乗り切ったんですから!

ですね。

それにしても、韓国はIPアドレスの割当は分かっても、逆引が出来ない。。。


記事No.1163/タイトル:そそっかしいのの繰り返し(Re^2: メールのより分け(Re^2: 日本ですね)
投稿日:2002/05/20(Mon) 14:55:52 / 投稿者:管理人
★ツリー/親記事[1113]++++++++前記事[1161]
-レス記事[1174]

「またもやそそっかしい(Re: メールのより分け) - 管理人 05/20-14:31
No.1162 最新! 」

はnob様の1161を見ないで書いてしまいました。

> 日本語で書かれているものはないようです。
> とりあえずは、全てのメールをエクスポートして(40MB over!!)、
> 正規表現で Received: を抽出して、IP単位で集計後に、
> PHPで作成した簡単な nslookup スクリプトで一斉に逆引きを行いました。

ぐは、やはり私の言っている方がレベルが低かったですね。

 御苦労様でした。私もFortranとかC言語とかでプログラムを
組んだことはあり、プログラムの知識は皆無ではないですけど、
今はパソコン上で使うプログラム作成ソフトがないっす。

 perlに関しても随分分かる程度になりましたけど。
phpって便利なのかな。
#たまたまつい先日php言語があるのを知ったぐらいです。

> とりあえず、特に多い(1ホストあたり20エラー程度)
> 3ホストの管理者に電話で連絡しました。
>
> 先の投稿の「東京ソフトウェア株式会社」様は直ちに
> サーバを停止していただき、調査をお願いしております。
>
> もう1件は、学校でした。こちらも、責任者に調査を依頼しました。

 ほうほう、良かったじゃないですか!なんとか
大元の送信IPを見つけだせると良いですね!

> もう1件は、建築関係の業者ですが、踏み台になっていることを
> 承知で1ヶ月間も対策を行っていないそうです。
> とりあえずは「迷惑です」と伝えて、
> 1週間以内に対策を行っていただけるとの回答を得ました。

 ぐわ、ひでえ....ありがちだけど。

 私も日本が第三者中継に使われる英文スパムは時々受け取るので
前述した「管理不行き届けで悪用されるサーバ」が韓国や
中国だけではないと知っているんですよ。

 で、特に中国シンパだからあんまりアジア人が英文spam幇助を
積極的にしているような推測はしたくなかったりします。
まあ今回のopen proxyとやらの場合も日本が結構利用されているとは
知らなかったですが。

 そういえば今からお願いしておきますが今回やったこと、
使ったツール等の情報提供の詳細を事後で良いから報告願います。
今後の被害者の為に。

> Becky! なのですが、ブロック(弊社サーバが付加)の中のブロック
> (Hotmailが付加)の中のメールなので、
> 検索は出来ないとあきらめていました。ところが、
> ブロックを展開する機能を見つけたので、
> これで全てのメールを展開すれば、振り分けなども使えそうです。

ちょっとこれが意味が分からなかったんですが。

 あ、でも結局この方法で見つけられたようでは
ないですね。上でおっしゃっている方法で一括して
nslookupする法が早そうですね。

 無論、今はそれどころではないですから
完全に全ておわったあとで良いですので。


記事No.1174/タイトル:Re: そそっかしいのの繰り返し(Re^2: メールのより分け(Re^2: 日本ですね)
投稿日:2002/05/21(Tue) 12:45:05 / 投稿者:nob
★ツリー/親記事[1113]+++++++++前記事[1163]
-レス記事[1175]

>  御苦労様でした。私もFortranとかC言語とかでプログラムを
> 組んだことはあり、プログラムの知識は皆無ではないですけど、
> 今はパソコン上で使うプログラム作成ソフトがないっす。
> 
>  perlに関しても随分分かる程度になりましたけど。
> phpって便利なのかな。
> #たまたまつい先日php言語があるのを知ったぐらいです。

プログラムってほどのものじゃないです。
PHPはWEBページを動的生成するのには、非常に優れていると思います。

本題から外れてしまいますが、、、

私はBASIC系から入ったのですが、Perl を知ったときには非常に感激し
ました。ずいぶんと色々なスクリプトも書きました。あるとき、仕事で
IIS + ASP + VBS を使ったのですが、これが非常に楽なのです。Perl
ですと、プログラムでHTMLを作成するという感覚ですが、ASPではHTMLに
プログラムを埋め込むという方法で作成出来るのです。

しかし、個人的にはVBSよりPerlの方が好きなので、ASPとPerlを使い
分けていました。あるとき(よく覚えていません)、PHPという言語の存在を
知り、使ってみると ASP と Perl の利点が吸収されていて非常に使いや
すいのです。

でも、まだまだ進歩する言語という感じで、時々大きな仕様変更が入る
ので、大規模なアプリケーションを作成するのは少し怖いです。

今回、必要だったスクリプトは、IPアドレスのリストからホスト名を
一斉に解決するという極単純なものだったので、こういうときには PHP 
は非常に向いていると思います。(もちろん、他にも解決方法はいくらで
もありますが。)


>  私も日本が第三者中継に使われる英文スパムは時々受け取るので
> 前述した「管理不行き届けで悪用されるサーバ」が韓国や
> 中国だけではないと知っているんですよ。
> 
>  で、特に中国シンパだからあんまりアジア人が英文spam幇助を
> 積極的にしているような推測はしたくなかったりします。
> まあ今回のopen proxyとやらの場合も日本が結構利用されているとは
> 知らなかったですが。

「アジア人が英文spam幇助を積極的にしている」というわけではないと
思いますが、結果的にそうなってしまっているというケースが多いのか
と思います。

またもや私の勝手な想像ですが、アジアでは日本に比べてセキュリティに
関心が薄いのではないでしょうか。そこに目をつけた悪人に勝手に利用さ
れてしまっているということのように思います。


>  そういえば今からお願いしておきますが今回やったこと、
> 使ったツール等の情報提供の詳細を事後で良いから報告願います。
> 今後の被害者の為に。

了解です。

とりあえず、上でPHPの話も出たところですので、IPアドレス → ホスト
名を一斉に解決するスクリプトです。

--- nslookup.htm ---
<HTML>
<FORM name="form1" method="post" action="nslookup.php">
  <TEXTAREA name="ip_list" cols="30" rows="15"></TEXTAREA>
  <INPUT type="submit" name="submit" value="NSLOOKUP">
</FORM>
</HTML>
--------------------

--- nslookup.php ---
<?
ob_end_flush();
$arrip = explode("\r\n", $_REQUEST['ip_list']);
foreach ($arrip as $strip) {
?>
<?= $strip ?>,<?= gethostbyaddr ($strip); ?><br>
<?
}
?>
--------------------
※ 旧バージョンのPHPでは「$_REQUEST['ip_list']」を「$ip_list」と
すれば動作すると思います。

nslookup.htm のテキストボックスにIPアドレスのリストを改行区切りで
入力して、[NSLOOKUP] ボタンをクリックすると「IPアドレス,ホスト名」
の形式で出力されます。

(命名が不適切な点があるのは知っています。急ぎで作ったものなので、
その辺の突っ込みは勘弁してください。)


> > Becky! なのですが、ブロック(弊社サーバが付加)の中のブロック
> > (Hotmailが付加)の中のメールなので、
> > 検索は出来ないとあきらめていました。ところが、
> > ブロックを展開する機能を見つけたので、
> > これで全てのメールを展開すれば、振り分けなども使えそうです。
> 
> ちょっとこれが意味が分からなかったんですが。

私もよく理解しているわけではないのですが、エラーメールはマルチパー
ト(複数の添付ファイルを1つにまとめて送る方法かな?)で送られてくる
ようです。

うまく説明できませんが、、、

◆スパマーが送ったメール(SPAM)
↓・ヘッダー
↓・単純なHTMLメール(SPAM)
↓
◆HotMailサーバが弊社のサーバに送信したエラー通知
↓・ヘッダー
↓<パート開始>
↓・エラーの通知(t/plain … 人間向け?)
↓<パート終了>
↓<パート開始>
↓・エラーの通知(m/delivery-status … サーバ向け?)
↓<パート終了>
↓<パート開始>
↓・SPAMのヘッダー
↓・単純なHTMLメール(SPAM)
↓<パート終了>
↓
◆弊社のサーバが、指定されたユーザが存在しないためにPostmaster宛に
通知したメール
  ・ヘッダー
  <パート開始>
  ・エラーの通知(t/plain … 人間向け?)
  <パート終了>
  <パート開始>
  ・エラーの通知(m/delivery-status … サーバ向け?)
  <パート終了>
  <パート開始>
    ・元のヘッダー
    <パート開始>
    ・元のエラーの通知(t/plain … 人間向け?)
    <パート終了>
    <パート開始>
    ・元のエラーの通知(m/delivery-status … サーバ向け?)
    <パート終了>
    <パート開始>
    ・SPAMのヘッダー
    ・単純なHTMLメール(SPAM)
    <パート終了>
  <パート終了>

Becky! では、「ヘッダー」や「エラーの通知(t/plain … 人間向け?)」
は検索できるようですが、他は無理なようです。(β版を使っているので、
そのためかも。)

しかし、「添付メールを展開」という機能を使うと、ヘッダー単位で切る
ことが出来るので、スパマーが送信したメールそのものに展開できると分
かりました。


>  あ、でも結局この方法で見つけられたようでは
> ないですね。上でおっしゃっている方法で一括して
> nslookupする法が早そうですね。

そうですね。
でも、展開しておくと、ヘッダや本文ごとに振り分けなどが出来るので、
これはこれで使えると思います。

記事No.1175/タイトル:修正できない
投稿日:2002/05/21(Tue) 12:49:54 / 投稿者:nob
★ツリー/親記事[1113]++++++++++前記事[1174]

改行されないので、修正しようとしましたが、本文が途中からテキストボックスの外に出てしまいます。

私の書いた内容に HTML のテキストエリア終了タグが含まれていたのが原因だと思います。こういうときは > とかに変換して出力しないと。。。

とりあえず、コピペで修正しましたが、修正後の確認画面は改行(空行)が正しく表示されないようです。(図表モード)


記事No.1166/タイトル:ゴミ
投稿日:2002/05/20(Mon) 16:13:28 / 投稿者:管理人
★ツリー/親記事[1113]++++++++前記事[1161]

> >  やはりそうでしたか!まずそもそもいくつか
> > 日本語のを見つければいいんで
> > 全てを振り分ける必要はないでしょう。
>
> 日本語で書かれているものはないようです。

 上の私の文は「日本のサーバ」の誤文です。
spam請負業らしくてもさすがにマルチリンガルでいろいろ送る
spammerは知らないっす。といっても先日、
ワールドカップにからんでか、韓国のホテルかららしき日本語の
スパムが来ましたが。

 勘違い間違い多すぎですね、私(+_+)。


記事No.1178/タイトル:ドメイン一括変換は出来ました(Re^2: メールのより分け(Re^2: 日本です..)
投稿日:2002/05/21(Tue) 22:19:39 / 投稿者:管理人
★ツリー/親記事[1113]++++++++前記事[1161]

ええっとまず

> 改行されないので、修正しようとしましたが、
> 本文が途中からテキストボックスの外に出てしまいます。
> 私の書いた内容に HTML のテキストエリア終了タグが含まれていたのが
> 原因だと思います。こういうときは > とかに変換して出力しないと。。。

ですが直しておきました。お手数おかけしました。

 </HTML>より</FORM>が原因っぽいですね。
ソース見たら修正時「&lt;」とかからわざわざ「<」に直すような
形になっていました。それにも拘わらず、他の<>は反応しないで</Form>だけは
反応しちゃったようですね。

 私はその部分はいじくったつもりはないんですが。
でも完全にソースを理解しているわけじゃないので、
他の所をいじくった影響が出たのかも。

 今回直したけど、実はまずいのかも(^^;;)。まあいいや、取りあえず。

 さて本題。

> とりあえず、上でPHPの話も出たところですので、IPアドレス → ホスト
> 名を一斉に解決するスクリプトです。
>
(略させて頂きます)
>
> nslookup.htm のテキストボックスにIPアドレスのリストを改行区切りで
> 入力して、[NSLOOKUP] ボタンをクリックすると「IPアドレス,ホスト名」
> の形式で出力されます。

これを機会に少しphpを勉強しようか.....と思ったのですが
止めてしまいました。というのも上の変換だけならば
cgiで組んだ方が(私が)早そう(^^;;)。

 phpを実行するにはサーバがその環境にないと駄目なのか、
あるいは出来てもcgiを経由して(?)じゃないと出来ないようですね。

 ということでそこまですんのは面倒なので取りあえず上のスクリプトは

http://earth.endless.ne.jp/users/stakasa/tools/nslookup2.cgi

と作ってしまいました。jpだけ赤くなる(笑)。
−−−−
 それよりあれですわ、

「正規表現で Received: を抽出して、IP単位で集計後」

が面倒そうすね。しかもあれですわ、実際に被害者が出た場合、
データの大きさから考えてWeb上じゃ出来ないんで、
パソコン上でそのことが出来るプログラムじゃないと駄目ですが、
被害者のパソコンがPHPの動く環境とは限らない、
というか多分そううまくはいかないですね。

 私はプログラム制作とは縁が切れているんで(何しろC言語をやっていたのは
MS-DOSの時じゃ^^;;)パソコン上で動かすプログラム制作環境がないんで
自分で作れないんで、アンチスパムML上ででも頼んでみましょう。

 あ、知り合いにもDelphとかいうので作れるヤツがいたな。

 他言語でも手順過程さえ分かればそんなに面倒ではないでしょう。
#えへへ、私自身は実は正規表現苦手...
#というか最近やっと使えるようになった(^^;)

 取りあえずいつでも良いので、上の部分の手順とソースだけ
また教えて下さいませ。

 IPからドメイン名への一括変換は上でWeb上でやってもらえば良いでしょう。
もしまだ残っているなら試しにIPのリストを入れてみて下さい。


記事No.1162/タイトル:またもやそそっかしい(Re: メールのより分け)
投稿日:2002/05/20(Mon) 14:31:23 / 投稿者:管理人
★ツリー/親記事[1113]+++++++前記事[1160]

 なんか私、このスレはいつもに増してドジしてますね。さっきの投稿

> 先に添付したメールは、スパマーが Hotmail に送付した
> 部分のみだったのですが、実際には Hotmail が弊社宛に付加したブロックと、
> 弊社のサーバがPostmaster(=私)宛に付加したブロックに囲われています。
> なので、そのままではメールクライアントの検索機能などは使えないのです。
>
> とりあえずは、全てのメールを1ファイルに書き出して、
> 正規表現で必要そうなところだけ抜いてみるかなぁ・・・
> (気が遠くなってきた・・・)

の部分を丸ごと読み損なっていました。う〜ん、でも実は
なぜメールクライアントの検索が使えないのはよくわからない....
Beckyはそういう場合でもクエリ検索出来る気がするんですが。

 でもおっしゃられているような場合が
ちょっとよく分からないんで、nob様の出来ないと言うのが正しいのかも。
 もしBeckyでないのならとりあえず

http://www.rimarts.co.jp/index-j.html
http://member.nifty.ne.jp/hont/mail/

でお試しを。
>


記事No.1154/タイトル:Some Mortgage Rates Hit 18 Year Low - 4.75% .... dacwx (Re: サンプルとしていくつかのメール)
投稿日:2002/05/20(Mon) 01:54:28 / 投稿者:nob
★ツリー/親記事[1113]+++前記事[1150]

Received: from Alejandrollrb ([194.51.3.60]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Sat, 11 May 2002 09:33:23 -0700
Message-ID: <003801c1k9d1$u63585v6$5442h3u8@*****.jp>
From: "Camlin Edie" <miroslav@*****.jp>
To: <bdr333@hotmail.com>, <lygya@hotmail.com>
Subject: Some Mortgage Rates Hit 18 Year Low - 4.75% .... dacwx
Date: Sun, 12 May 2002 00:38:28 -0700
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: miroslav@*****.jp
X-OriginalArrivalTime: 11 May 2002 16:33:23.0736 (UTC) FILETIME=[91B05980:01C1F909]
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit



<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>Lowest Mortgage Rates Available</TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="Microsoft FrontPage 5.0" name=GENERATOR></HEAD>
<BODY bgColor=#ffffff>
<TABLE height=570 cellSpacing=0 cellPadding=0 width=570 align=center
bgColor=#007236 border=0>
<TBODY>
<TR>
<TD width=510 colSpan=3 height=194>&nbsp;<table border="0" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#111111" width="510" id="AutoNumber1">
<tr>
<td width="313"><font face="Arial" size="2">&nbsp;&nbsp;
<table><tr><td background="http://www.02-ry014.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com/images/mortgagead_01.jpg" width="300" height="168"></td></tr></table></font></td>
<td width="16">&nbsp;</td>
<td width="181"><i><b><font color="#FFFFFF" face="Verdana" size="2">
Refinancing<br>
New Home Loans<br>
Debt Consolidation<br>
Auto Loans<br>
Credit Cards<br>
StudentLoans<br>
Second Mortgage<br>
Home Equity<br>
Free Debt Consultation</font></b></i></td>
</tr>
</table>
</TD></TR>
<TR>
<TD width=9 height=363 rowSpan=2>&nbsp;</TD>
<TD width=499 colSpan=2 height=3><IMG height=1
src="ad_files/mortgagead_03.gif" width=493></TD></TR>
<TR>
<TD bgColor=#ffffff height=147>
<table border="0" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#111111" width="100%" id="AutoNumber2">
<tr>
<td width="10">&nbsp;</td>
<td width="530">
<a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html">
<b><font face="Arial" color="#FF0000" size="6">Mortgage rates slip lower</font><font face="Arial" size="2" color="#FF0000">,</font></b></a><p align="left">
<font face="Arial" color="#007236"><b>Thirty-year, 15-year levels hit
6-month low</b><br>
One-year adjustable rate mortgages eased to an average 4.75 percent,
compared with 4.91 percent the prior week. The ARM has not been lower since
it stood at 4.65 percent the week of April 1, 1994.</font></p>
<p align="right">
<b><font face="Arial" color="#007236" size="4">MSNBC.com (5/2/02)</font></b></p>
<hr>
<p align="left">
<font face="Arial" color="#007236">Your Mortgage Rate above 6.25%? We can help you save thousands of dollars.
And, the best part is we have hundreds of lenders nationwide vying for your
business. </font></p>
<p align="left">
<b>
<a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">Programs Offered</font></a></b></p>
<p align="left">
<font face="Arial" color="#007236">Refinance<br>
New Home Loans<br>
Stated Income Loans (Self-employed Borrowers)<br>
Debt Consolidation / Credit Cards</font></p>
<p align="left">
<font face="Arial" color="#007236">Less than Perfect Credit Loans (Previous Bankruptcies or Foreclosures OK)<br>
Home Saver Loans For Borrowers Currently Behind<br>
Equity Loans<br>
Home Improvement Loans<br>
Student Loans</font></p>
<p align="left">
<font face="Arial" color="#007236">Because we get in touch with hundreds of lenders nationwide and tell them
what you're looking for, and <b><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">you get to choose from the best offers</font></a></b> that
come back.</font></p>
<p align="left">
<b>
<font face="Arial" color="#007236"><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">Click Here For A Free Quote.</font></a></font></b></p>
<p align="left">
<font face="Arial" color="#007236">You'll save <b><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">time, hassle</font></a>
</b>and, best of all, <b><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">money.</font></a></b></font></p>
<p align="left">
<font face="Arial" color="#007236">* No obligation.<br>
* Free consultation.</font></p>
<p align="left">
<font face="Arial" color="#007236"><b><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">Less than perfect credit not a problem.</font></a><br>
</b>Rates won't stay this low forever, so <b><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236">click for your free quote now.</font></a></b></font></p>
<p align="center">
<font face="Arial" color="#007236"><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"><font face="Arial" color="#007236"><b>Click Here For the
Lowest Rates Available!</b></font></a></font><a href="http://www.02-ry014.mort.gage.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com/mort/gage/index.html"></a></a></p>
</td>
<td width="10">&nbsp;</td>
</tr>
</table>
<P align="center">&nbsp;</P></TD>
<TD width=9 height=360>&nbsp;</TD></TR>
<TR>
<TD width=510 colSpan=3 height=13>&nbsp;</TD></TR></TBODY></TABLE>


<BR><BR>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry014.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry014.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=51963447ZS">
</DIV>
wymvzxlabv</body>
</html>


記事No.1155/タイトル:Your choice of resort destination for FREE.. vhtlzw (Re: サンプルとしていくつかのメール)
投稿日:2002/05/20(Mon) 01:55:02 / 投稿者:nob
★ツリー/親記事[1113]+++前記事[1150]

Received: from Lanayacqnvt ([211.204.72.2]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 13 May 2002 17:08:46 -0700
Message-ID: <006401c1a2v1$x69823v5$6793y6f7@*****.jp>
From: "Karan Dagan" <coralie@*****.jp>
To: <nunes_55@hotmail.com>, <gisellemont@hotmail.com>
Subject: Your choice of resort destination for FREE.. vhtlzw
Date: Tue, 14 May 2002 09:14:31 -0700
MIME-Version: 1.0
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: coralie@*****.jp
X-OriginalArrivalTime: 14 May 2002 00:08:47.0191 (UTC) FILETIME=[84903670:01C1FADB]
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit



<html>
<head>
<title>Confirming Your Two FREE Airline Tickets</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body bgcolor="#FFFFFF" text="#000000">

<table width="642" border="0" cellpadding="0" cellspacing="0">
<tr>
<td height="43" valign="top" colspan="10">
<p align="right">
<img src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com:8090/images/ahaimage.gif" width="63" height="43">
</td>
</tr>
<tr>
<td width="5" valign="top" rowspan="6">&nbsp;</td>
<td width="34" height="171"></td>
<td valign="top" colspan="2"><a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html">
<img border="0" src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com:8090/images/homecover.jpg" width="187" height="155">
</a></td>
<td width="1"></td>
<td width="18"></td>
<td valign="top" colspan="3">Dear Friend,<br>
<br>
I have your certificate for <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html">Two
FREE Airline Tickets</a>. <br>
They're FREE, but I need to know where to send them. <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html"><br>
Click Here</a> and complete the form.<br>
<br>
Two FREE airline tickets valued up to $2100.00 to your <br>
choice of resort destination. Select from Hawaii, Orlando, <br>
Las Vegas, London and 20 other exciting locations. </td>
<td width="5" rowspan="6" valign="top">&nbsp;</td>
</tr>
<tr>
<td height="152"></td>
<td valign="top" colspan="7"> <br>
Plus you can try all of our money-saving benefits FREE for 30 days. <a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html">Act
Now!</a> <br>
<br>
You also get a FREE subscription to HOME Magazine at no additional cost!
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html"><br>
This offer is risk-free</a>, registration only takes a minute and is completely
secure. <br>
It's that easy. Your satisfaction is guaranteed because our credibility
is on the line. <br>
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html"><br>
P.S.: This offer is only valid for the next 48 hours, so Act Now!</a> </td>
</tr>
<tr>
<td height="16"></td>
<td width="21"></td>
<td width="166"></td>
<td></td>
<td></td>
<td width="169"></td>
<td width="165"></td>
<td width="58"></td>
</tr>
<tr>
<td height="34"></td>
<td></td>
<td></td>
<td></td>
<td colspan="2" valign="top">
<a href="http://www.02-ry005.freetravel.home.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.&#103;oopt.com:8090/ry005aha/www/index.html">
<img src="http://www.02-ry005.adtwo.snpr.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.ry2002.goOpt.com:8090/images/red-button.gif" width="186" height="34" border="0"></a>
</td>
<td></td>
<td></td>
</tr>
<tr>
<td height="23"></td>
<td></td>
<td colspan="5" valign="top">
<div align="center"><font face="Arial, Helvetica, sans-serif" size="1">Copyright
2002, American Homeowners Association (AHA). All rights reserved.</font></div>
</td>
<td></td>
</tr>
<tr>
<td height="5"></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
<td></td>
</tr>
<tr>
<td height="43" colspan="10" valign="top">&nbsp;<p><BR><BR><BR>
<P align=center><br></P><br>
<DIV align=center>
<hr noshade width="600" color="navy">
</DIV><font face=Arial size=2>
<CENTER><b>Unsubscribe Information</b>
<br>This email was sent to the owner of the following Account/Username: <b>
ryuser
</b><br>To "opt out" from future mailings of this type, visit
<a href="http://www.opt-out.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchnet.&#103;oopt.net/launch/opt-out.html">
This Page</a><br>Or call the 800 number below. Please allow 5-10 business days for database request.</font> </CENTER>
<hr color="navy" noshade width="600" size="1">
<img border="0" width=2 height=2 src="http://www.bar.ry2002.02-ry008.snpr.hotmx.hair.zaam.net.co.fr&#20;&#2;&#20;&#5;&#20;|https.launchstat.&#103;oopt.net/?w=pic&i=lh">
</DIV>
srofg</body>
</html>
</td>
</tr>
</table>

</body>
</html>


記事No.1137/タイトル:Re: ドメインを勝手に使ってSPAMを送っている業者が。。。
投稿日:2002/05/18(Sat) 01:49:25 / 投稿者:塚本
★ツリー/親記事[1113]+前記事[1113]
-レス記事[1139]

> Received: from Kunikozptdw ([203.186.220.9]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905);

メール送信に悪用可能なopen proxyを使って送られたものだと
思われます。送信元となっているIPアドレスは、「踏まれた」
http proxyなので、そちらのproxyのログに真の送信元が記録
されています。

アホなproxyの管理者に連絡するときには、こんなURLを付けて
おくと話が早いかもしれません。

http://online.securityfocus.com/bid/4131


記事No.1139/タイトル:Re^2: ドメインを勝手に使ってSPAMを送っている業者が。。。
投稿日:2002/05/18(Sat) 11:13:04 / 投稿者:nob
★ツリー/親記事[1113]++前記事[1137]
-レス記事[1142]

> > Received: from Kunikozptdw ([203.186.220.9]) by hotmail.com with Microsoft SMTPSVC(5.0.2195.4905);
>
> メール送信に悪用可能なopen proxyを使って送られたものだと
> 思われます。送信元となっているIPアドレスは、「踏まれた」
> http proxyなので、そちらのproxyのログに真の送信元が記録
> されています。

http proxy はメールの転送も出来てしまうのですか?

http proxy で出来るかはともかく、メールPROXY なんてものもありますね。しかし、そんなものをオープンにしておくなんて・・・

てっきり、侵入してスクリプトを実行しているか、(Sendmailを使用せずに)メールの送信が出来るCGI等を実行しているのかと思っていました。

利用されているサーバが国内だったら、直接連絡をするのですが、海外だと私の場合は英語力の関係でなかなかことが進められません。一応、韓国のサーバ管理者宛には1通 英語でメールを入れておきましたが、特に返答はないです。


記事No.1142/タイトル:Re^3: ドメインを勝手に使ってSPAMを送っている業者が。。。
投稿日:2002/05/18(Sat) 13:13:56 / 投稿者:あいら(あふぇ・すぱすとサーバ管理人)
★ツリー/親記事[1113]+++前記事[1139]
参照先:http://afelandra.com/

>一応、韓国のサーバ管理者宛には1通
>英語でメールを入れておきましたが、特に返答はないです。

韓国の学校なんかはオープンリレーが多いです。
(納入業者がそういうスペックにしているらしい)

詳細は塚本氏が良く知っておられますが。


記事No.1168/タイトル:【速報】 もしかしたら、収束した!? (Re: ドメインを勝手に使ってSPAMを送っている業者が。。。)
投稿日:2002/05/20(Mon) 20:02:28 / 投稿者:nob
★ツリー/親記事[1113]+前記事[1113]
-レス記事[1170]

05/20 12:41:20 に最後のエラーメールが届いて以来、現在(05/20 20:00)までエラー通知が届いていません。

今までにも、数時間止まるということはあったので気は抜けませんが、もしかしたら終わったのかも知れません。

Hotmail に連絡したので(まだ、回答はありませんが)、エラー通知を弊社に送信しないように抑制しているのかもしれません。

それとも、私がアクションを起こし始めているのを察知したのでしょうか? (もしかしたら、スパマーがこのサイトを巡視していたりして!?)

とりあえず、状況報告まで。

P.S. 使用したツールなどを含め、後に報告させていただきます。


記事No.1170/タイトル:Re: 【速報】 もしかしたら、収束した!? (Re: ドメインを勝手に使ってSPAMを送っている業者が。。。)
投稿日:2002/05/20(Mon) 21:10:37 / 投稿者:管理人
★ツリー/親記事[1113]++前記事[1168]
-レス記事[1171]

> 05/20 12:41:20 に最後のエラーメールが届いて以来、
> 現在(05/20 20:00)までエラー通知が届いていません。
>
> 今までにも、数時間止まるということはあったので気は抜けませんが、
> もしかしたら終わったのかも知れません。

 良かったですね、気は抜けませんが。

> Hotmail に連絡したので(まだ、回答はありませんが)、
> エラー通知を弊社に送信しないように抑制しているのかもしれません。

hotmailもspam関係で悪用されやすい会社ですから、
こういう場合の対処も手慣れているのかもしれませんね。

 でも根本的に解決したのか、単にhotmailで
エラーを止めているだけかは気になりますね。御自分でありそうもない
メールアドレスに出して実験を...と思ったけど、前に出たように
hotmailは通常受け取りを拒否するので、
普通の送り方じゃ駄目なのか...う〜ん。

> それとも、私がアクションを起こし始めているのを察知したのでしょうか?

 これは無きにしもあらずですね。
日本のサーバとか止めてくれたところがあったわけですから。
大元の発信をたどられて、場合によってはアクセス場所を
特定される前に逃げ出し始めた可能性もありますね。

 あるいは少なくともnob様での詐称は止めたか。

 しかしちょっとそれにしても早すぎるかな。
取りあえずはhotmailが動いた可能性は高いですね。

> (もしかしたら、スパマーがこのサイトを巡視していたりして!?)

 それはないでしょう(笑)。
管理人が英語が苦手で当サイトは完全日本語対応ですから(笑)。


記事No.1171/タイトル:Re^2: 【速報】 もしかしたら、収束した!? (Re: ドメインを勝手に使ってSPAMを送っている業者が。。。)
投稿日:2002/05/20(Mon) 22:02:50 / 投稿者:あいら(あふぇ・すぱすとサーバ管理人)
★ツリー/親記事[1113]+++前記事[1170]
-レス記事[1172]
参照先:http://spamstop.net/

>  しかしちょっとそれにしても早すぎるかな。
> 取りあえずはhotmailが動いた可能性は高いですね。

hotmailなんですが、
事務局側から返信の時は、
形式が必ずリッチテキスト(html)となっているそうです。
(聞いた話)
しかもhtml以外では送らないようですので(請求しても)
htmlの読めるメーラを準備された方が宜しいでしょう。


記事No.1172/タイトル:Re^3: 【速報】 もしかしたら、収束した!? (Re: ドメインを勝手に使ってSPAMを送っている業者が。。。)
投稿日:2002/05/21(Tue) 11:48:58 / 投稿者:nob
★ツリー/親記事[1113]++++前記事[1171]
-レス記事[1179]

> hotmailなんですが、
> 事務局側から返信の時は、
> 形式が必ずリッチテキスト(html)となっているそうです。
> (聞いた話)
> しかもhtml以外では送らないようですので(請求しても)
> htmlの読めるメーラを準備された方が宜しいでしょう。

とりあえず、Becky! なら大丈夫ですね。
(でも、私は仕事ではHTMLコーディングもやっているので、HTMLソースでも十分に理解できたりしますけど・・・)

P.S.
その後も、エラーは届かないです。
しかし、相変わらずウイルスは頻繁に届くようになってしまいました。数ヶ月前にサーバに AMaViS-Perl という、ウイルス対策ソフトを導入しているので、ウイルス到達の告知が届くだけですけどね。でも、新種が怖い。


記事No.1179/タイトル:收束ですかね(Re^4: 【速報】 もしかしたら、収束した!? )
投稿日:2002/05/21(Tue) 22:35:13 / 投稿者:管理人
★ツリー/親記事[1113]+++++前記事[1172]

> P.S.
> その後も、エラーは届かないです。

 もう終わったっぽいですね。良かったですね〜。

> しかし、相変わらずウイルスは頻繁に届くようになってしまいました。
> 数ヶ月前にサーバに AMaViS-Perl という、
> ウイルス対策ソフトを導入しているので、
> ウイルス到達の告知が届くだけですけどね。でも、新種が怖い。

 今Klezが流行ってますからね〜。配られたメールのFromに
入っていたので、スパムが届いた先で感染した人から届くように
なっちゃんたんでしょう。

 何しろ2週間以上ばらまかれていたので相当世界中の
人にFromがnob様のメールが配られた可能性がありますから(-_-;;)。

 そういえばそのドメインのホームページも
持っていらっしゃるんですかね。
サイトで被害報告を述べておいた方がいいかもしれませんね〜。
名乗ったドメイン名を頼りにサイトを見に來る人がいたかも。

#だからなんだというわけではないですが。

IPAへの被害届は本当は終わってで良かったんだと思いますよ。
どうせあそこは情報収集機関で、特にスパム冤罪に関しては統計としては
とっているけど別になんかしてくれるわけじゃない
雰囲気だったんじゃないですか?

 本質的に止まったのか、hotmailが止めているだけかも気になりますが
どうなんでしょうねえ、返事があるのやら。

 御苦労さまでした。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0003番へ]
bokumetusiteki