| [ 2444 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
したのツリーが長くなってきたので新しく書き込みます。
「しじみと…」しつこいですね。
私もNETPATHに通報しましたが、今日も着弾し、今度はfreebit.netです。
INTERQ、GMOからは返信が全くこなかったので対処が不明でしたが、
NETPATHやINTER-LINKさんは返事がすぐ来て対応がよかったです。
また通報しましたが、このイタチごっこ、どうにかならんのでしょうか?
今回のヘッダ↓
----------
Return-Path:
<rite1@reset.jp>
Received:
from mgate21.so-net.ne.jp (mgate21.so-net.ne.jp [210.139.254.168])
by mail.rd5.so-net.ne.jp with ESMTP id g8A5h4u29262;
Tue, 10 Sep 2002 14:43:04 +0900 (JST)
Received:
from mail10.m.freebit.net (mail12.m.FreeBit.NET [210.143.144.137])
by mgate21.so-net.ne.jp with ESMTP id g8A5h4003292;
Tue, 10 Sep 2002 14:43:04 +0900 (JST)
Received:
from D (p6044-ipad22marunouchi.tokyo.ocn.ne.jp [61.214.35.44]) by mail10.m.freebit.net (Sun Internet Mail Server sims.4.0.2001.07.26.11.50.p9) with SMTP id <0H2700J1AJQQTK@mail10.m.freebit.net>; Tue, 10 Sep 2002 14:42:43 +0900 (JST)
Date:
Tue, 10 Sep 2002 14:42:52 +0900
From:
rite1@reset.jp@p6044-ipad22marunouchi.tokyo.ocn.ne.jp
Subject:
しじみともものコラボレーション
To:
121@p6044-ipad22marunouchi.tokyo.ocn.ne.jp
Reply-to:
rite1@reset.jp
Message-id:
<0H2700JJ5JV3TK@mail10.m.freebit.net>
MIME-version:
1.0
Content-type:
text/plain
Content-transfer-encoding:
8BIT
X-UIDL:
j!g!!B0&"!4JC!!;o/"!
Status:
U
相変わらずいろんなところから送付しているようですね…(鬱
spamcopはOCNに送るばかりで、直近のISP(synapse.ne.jp)には送って
ないような???
以下、ヘッダのみです。
*********************************
Received: from smtpgw1.synapse.ne.jp (smtpgw.synapse.ne.jp [202.208.174.104])
by *****.*****.**.jp (8.9.3/) with ESMTP id OAA16920
for <*****@*****.*****.**.jp>; Tue, 10 Sep 2002 14:18:30 +0900 (JST)
Received: from navgw2.synapse.ne.jp (navgw2.synapse.ne.jp [202.208.174.97])
by smtpgw1.synapse.ne.jp (8.11.6/8.11.6) with SMTP id g8A5IOp10977
for <*****@*****.*****.**.jp>; Tue, 10 Sep 2002 14:18:24 +0900
Received: from po4.synapse.ne.jp ([202.208.174.179])
by navgw2.synapse.ne.jp (NAVGW 2.5.1.19) with SMTP id M2002091014111519539
; Tue, 10 Sep 2002 14:11:43 +0900
Received: from C (p2182-ipad03maru.tokyo.ocn.ne.jp [61.207.154.182])
by po4.synapse.ne.jp (Postfix) with SMTP
id 55A677992; Tue, 10 Sep 2002 14:08:41 +0900 (JST)
From: =?iso-2022-jp?B?cml0ZTFAcG80LnN5bmFwc2UubmUuanA=?=@po4.synapse.ne.jp
To: =?iso-2022-jp?B?aWlp?=@po4.synapse.ne.jp
Reply-To: rite1@po4.synapse.ne.jp
Date: Tue, 10 Sep 2002 14:08:55 +0900
Subject: =?iso-2022-jp?B?GyRCJDckOCRfJEgkYiRiJE4lMyVpJVwlbCE8JTclZyVzGyhK?=
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Message-Id: <20020910050841.55A677992@po4.synapse.ne.jp>
Content-Type: text/plain
X-UIDL: l[`"!@QE!!NWo!!=QP!!
Status: RO
> 相変わらずいろんなところから送付しているようですね…(鬱
> spamcopはOCNに送るばかりで、直近のISP(synapse.ne.jp)には送って
> ないような???
シナプスの苦情先
kousen@synapse.or.jp
多分、アビュ−セに登録されていないからです
もし宜しかったら上の所へ苦情をだしてください
−−−−−
管理者修正:ネット業者、被害者などのメールアドレスに関しては
スパムロボットの収集や、ウイルス撒布を避けるため
半角の@を全角@に変えるなどして頂くよう、
御協力願います。
情報有り難うございました。ついさっき対応依頼のメール
を送付しました。あと、
> kousen@synapse.or.jp
メールを送付して来たサーバと同じne.jp宛に送りましたが、
そっちでOKですよね?
−−−−−
管理者修正:別項参照
> > kousen@synapse.or.jp
>
> メールを送付して来たサーバと同じne.jp宛に送りましたが、
> そっちでOKですよね?
JPNICの届けでは ORに成っていますがとりあえず送信可能で有れば大丈夫だと思います
お疲れさまです
−−−−−
管理者修正:別項参照
珍しく即日回答がありました。
ただし、Netpathでは翌日に
「弊社会員による SPAM Mail と判明し、該当会員の ID を強制的に
剥奪する処置を行いました。
今後、このような事が発生しないよう対処いたします。」
とあったのですが、Freebitでは
「発信元と思われるユーザーへの確認も含め、注意/警告及びサービス停止を致します。」
なのが少し気になります。
回答があったことに関しては素直に喜ぶべきことかもしれませんけどね。
加入しているSo-netでは回答一つよこさなかった事件がありましたから。
(それ以降、プランを最低価格のに格下げしてメインとして使っていない)
この記事は
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=2373&page=0#2465
> 苺クラブと檸檬クラブについて気づいたことがあったので少し。
> 両方ともディレクトリが丸見えのURLがあります。
> 苺クラブ・・・http://www.ichigo-club.net/wi/
> 檸檬クラブ・・・http://www.remon-club.com/wi/
>
> 両者を見比べると、なんと同じフォルダ名がついているものは
> 全く同じ内容だったりします。
> 今いろんなドメイン先で使われているremon-club.comの
> 注文フォームもソース表示させてみるとichigo-club.netが出てきたりして、
> 両者、同じ業者??と思っています。
へのレスです。
−−−−−−−−−
そのad-wingは天使喫茶で取り上げられていますね。
http://www.ne.jp/asahi/makoto88/angel/love009-spamtop.htm
でgoogleのキャッシュでは
http://216.239.33.100/search?q=cache:22AozZWeoqwC:211.129.14.200/~ad-wing/wi/ho/1.html++site:211.129.14.200+ad-wing/wi/&hl=ja&ie=UTF-8
http://216.239.33.100/search?q=cache:8BcueshzdtYC:211.129.14.200/~ad-wing/wi/en/2.html+ad-wing/wi/&hl=ja&ie=UTF-8
http://216.239.33.100/search?q=cache:mw8aFj4dLEsC:211.129.14.200/~ad-wing/wi/en/+&hl=ja&ie=UTF-8
他にも
http://www.google.com/search?hl=ja&lr=&ie=UTF-8&oe=UTF-8&q=+site:211.129.14.200+ad-wing/wi/
のキャッシュに残っている模様。まだ比較検討してません。
情報有り難うございます
ペ−ジの中の文言等少し変わってはおりますが
作り方、紹介しているもの等から見て同一人物が手がけたようですね
使っているISPも共通性が見られますし
苺クラブ=檸檬クラブ=~ad-wingと見て良いのではないででしょうか
#なんか今日は私の方もスパムが千客万来で細かい配慮が足りませんでした
#申し訳有りません(汗
> 苺クラブと檸檬クラブについて気づいたことがあったので少し。
> 両方ともディレクトリが丸見えのURLがあります。
> 苺クラブ・・・http://www.ichigo-club.net/wi/
> 檸檬クラブ・・・http://www.remon-club.com/wi/
>
> 両者を見比べると、なんと同じフォルダ名がついているものは
> 全く同じ内容だったりします。
> 今いろんなドメイン先で使われているremon-club.comの
> 注文フォームもソース表示させてみるとichigo-club.netが出てきたりして、
> 両者、同じ業者??と思っています。
そういえば私、よく分からないのですが
> > 苺クラブ・・・http://www.ichigo-club.net/wi/
> > 檸檬クラブ・・・http://www.remon-club.com/wi/
> Whoisの結果から見てその疑いは濃厚ですね
Whoisの結果...というかその前にすぱすぱで
http://afelandra.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=www.ichigo-club.net
http://afelandra.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=www.remon-club.com
でのレベル3、さらにWhoisは
http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=ichigo-club.net&targetnic=auto
http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=remon-club.com&targetnic=auto
ですけど、両者に似たようなところってあります?
MLでかわはら様とか
> たぶん、バッティングプラザじゃないほうの
> 住所が....
とかおっしゃってたんですけど、どのことを言っているのか
よく分からない。私の見落としているところがあるんでしょうか。
う〜ん。
>私の見落としているところがあるんでしょうか
高崎様の見落としと言う事は恐らく無いと思います
以下は私の勝手な考えで有ることをご承知おき下さい
ichigo-club.netを調べるとwing-n@gamma.ocn.ne.jpとメアドが出てきます
そしてad-wingのスパムの情報の中にこのメアドが現れます
remon-club.comを調べるとKAGOYA.NETと言うのが出てきます
両者に共通した情報はKAGOYA.NETと接続にOCNを使用しています
どうやらメインはOCNの様です
そして、色々な所にサイトを作りその構造がほぼ同一で、宣伝している処と内容がほぼ同一です
ソ−ス云々と言う事も有り、どうも同一人物が使い回しているのでは無いかと思われます
スパムの送信の方法、頻度もほぼ同一です
特徴として共通点は、ワン切りを連想させる送信方法、使い捨ての様なアカウントの使い方、短期決戦形で有るとか
同一人物か同一グル−プかそんなところでしょう
これらの特徴は今回の一連のスパムと共通しています
ドメインの取得情報の中には出鱈目で有ろうと思われるものも見受けられます
> たぶん、バッティングプラザじゃないほうの
> 住所が....
は多分、このあたりの事かと思います(かわはら様がどの様な情報をお持ちかは解らないので何とも言えませんけど)
まあ、そう言う訳で確たる証拠とまでは言えないにしても嫌疑は十分なわけで、ほぼ間違い無いだろうと思っています
今回のものも多分ad-wingに始まるスパム騒ぎの流れで有ろうと思われます
あくまでも私の場合は状況証拠を積み重ねていっての思いこみかも知れませんが
#十分納得は出来かねるとは思いますけど(汗
#情報を得る方法の違いなのかなと思ったりして
> > 両方ともディレクトリが丸見えのURLがあります。
> > 苺クラブ・・・http://www.ichigo-club.net/wi/
> > 檸檬クラブ・・・http://www.remon-club.com/wi/
上記URLは今日見てみたら、フォルダが全部消えていました。
前見に行ったときはずらずらっとフォルダが見えていたのに。
単なるページに変わったようです。
「しみじともも・・・」の送信者の方が上記のことを含め、
ここを見てないわけないのは明らかだと思うのですが、
(一時転送先がここになったことも含め・・・)、
それでもなお、なぜ送信を続けるのか、理解に苦しみます。
最初に送られた「しじみともも」のドメインは、transrave.com。
その後、いろんなサイトを巡っていくわけですが、
もしかして、transrave.comのドメイン情報が業者に非常に
近く、慌てた業者が撹乱のため、いろいろなところへ
移っていったのでは?と思ったりして、それはあまりにも
深読みしすぎ?(笑)。
このドメイン、検索しても特にどのURLもひっかっかって
こないのです・・・HPスペースや転送サービスを提供している
会社でもなし。。。振り回されて、すっかり最初のドメインを
忘れていました(笑)
まあ、WHOIS情報って虚偽ばかりと聞いたことがありますが・・・。
でも手を打たれて、ドメイン情報がなくなるのも
嫌なので、一応UPします。
不適切だったら削除していただけたらと思います。
それにしても「しじみともも・・・」早く止まると
いいですね。
Domain Name.......... transrave.com
Creation Date........ 2002-07-24
Registration Date.... 2002-07-24
Expiry Date.......... 2003-07-24
Organisation Name.... Yukio Nogami
Organisation Address. 8-19-3 Ginnza
Organisation Address. Dai2wingBill,603
Organisation Address. Chuou-ku
Organisation Address. 104-0061
Organisation Address. Tokyo
Organisation Address. JAPAN
Admin Name........... Yukio Nogami
Admin Address........ 8-19-3 Ginnza
Admin Address........ Dai2wingBill,603
Admin Address........ Chuou-ku
Admin Address........ 104-0061
Admin Address........ Tokyo
Admin Address........ JAPAN
Admin Email.......... t-i@kf7.so-net.ne.jp
Admin Phone.......... 03-3544-6210
Admin Fax............ 03-3544-6210
Tech Name............ Solis Corporation
Tech Address......... ApaRight Blg.,7F
Tech Address......... 7-15-1 Nishi Shinjuku
Tech Address......... Shinjuku-ku
Tech Address......... 160-0023
Tech Address......... Tokyo
Tech Address......... JAPAN
Tech Email........... webmaster@japanregistry.com
Tech Phone........... 81 3 5338 0688
Tech Fax............. 81 3 3227 9394
Name Server.......... NS1.SUN3.NET
Name Server.......... SV.DCP.NE.JP
------------------------------------------------------------------
また来ました(;_;)
APはOCNのままですが、今度はぷららのメールアカウントでした。
ぷららには先ほど対処を求めるメールを送りました。
OCNには昨日メールしてあるんですが…、もう一回メールしたほうが
いいのかなぁ…。
ヘッダです。
-------------------------------------------------
Return-Path: <hous2@lapis.plala.or.jp>
Delivered-To: ***@0
Received: (qmail 17057 invoked from network); 11 Sep 2002 06:27:20 -0000
Received: from mpsb-nat18.plala.or.jp (HELO mps3.plala.or.jp) (202.212.115.65)
by ****.*****.** with SMTP; 11 Sep 2002 06:27:20 -0000
Received: from C ([61.207.154.182]) by mps3.plala.or.jp with SMTP
id <20020911062726.EQZV22453.mps3.plala.or.jp@C>;
Wed, 11 Sep 2002 15:27:26 +0900
From: hous2@lapis.plala.or.jp
To: iii
Reply-To: hous2@lapis.plala.or.jp
Date: Wed, 11 Sep 2002 15:27:39 +0900
Subject: しじみともものコラボレーション
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Message-Id: <20020911062726.EQZV22453.mps3.plala.or.jp@C>
今日は別のアカウントにPLALAから来ました。
このメール、週に6〜7回は着弾します。
さすがにキレそうです。
昨日、アドレス転送先のFREE.MEMBERZ.NETに苦情を入れておいたんですが、
先ほどお返事をいただきました(^-^)
以下、メールの内容------
>この度は悪質なユーザーのご報告を頂きまして
>誠に有り難うございました。
>早速アカウントの削除を致しました。
>また悪質なユーザー等を発見されましたら
>ご報告を頂ければ幸いと存じます。
------------------------
※担当者様の名前の部分は省きました。
行ってみたらNOT FOUNDになってました。
すぐに対処してもらえたみたいで、喜ばしいことです。
同時に送ったOCNからはまだ返事がないですが…。
>R.Sato様
>今日は別のアカウントにPLALAから来ました。
>このメール、週に6〜7回は着弾します。
>さすがにキレそうです。
私はまだ2通ですが、他の皆様の被害状況といい、やってることといい、
ほんとに腹立たしいスパムですよね…。
例えスパムが止まっても、逮捕されてくれなきゃ気が済まないカンジです。
> 行ってみたらNOT FOUNDになってました。
http://free.memberz.net/member/rorita/
は生き返ったみたいです。まるでゾンビ君。
今日はプララから発信されたのが2通。通算14通。
警視庁は捜査しているのでしょうけれど、ちゃんと結末をつけて欲しいですね。
別件なのですが、表示義務違反のメールを出した会社で、内容は悪質ではなかったのですが、SpamCopに放り込んでみたら、謝罪のメールが届きました。ただし、「アドレスを外します」という内容なので、今後も出すのでしょうね。SPAMを発信することによって会社の信用を損なうことに気付いていないようです。
うちに来たhttp://book-i.net/mutouから転送先の
http://free.memberz.net/member/rori/ は生きてますよ。
ということは、今、同じ内容でサイトが2つあるということ?
あっちを切られたらこっち、と用意しているのでしょうか。
>ふみたん様
>jankari様
本当だ。生きかえってますね(>_<)
私が18時〜19時ごろに確認したときは確かに「NOT FOUND」だったん
ですが…。
jankari様の仰る通り、FREE.MEMBERZ.NETの中を回っているのかも。
私のところに来たスパムは2通で、URLはどちらも違いました。
えぇと、9/11 21:30の時点で以下のようなカンジで、両方とも
生きているようですね…。
シナプス経由のスパム
http://book-i.net/mutou
→http://free.memberz.net/member/rori/ に転送。
ぷらら経由のスパム
http://book-i.net/rorirori
→http://free.memberz.net/member/rorita に転送。
もいっかいFREE.MEMBERZ.NETにメールしてみようと思います…。
14:25頃にぷらら経由で着弾してました。OCNへはspamcopで、
ぷららとfree.memberz.netへは直接対応依頼のメールを送付
しました。
ほんとイタチゴッコだな…(--;。まあ、とことん付き合って
やるさ(怒
のんびりと追いかけてもっと足跡を残させましょう。
各所で足跡を残しているあたり、素人臭さを感じます。
既に捜査のToDoリストには挙がっていると思いますよ。
児童ポルノのような場合、半年くらいで逮捕されるケースが多いようです。
ログは何年でも保存できるんで、順番がくるまで辛抱辛抱。
最近は記事にもならないくらい大量に逮捕されているんで、
その時をはたして知ることができるのかどうか・・・ちょっとサミシイかも。
是非とも『しばらく出て来れないところ』へ行って
頂きたいものです。
free.memberz.netより返事を貰いました。
book-i.net/roriroriの方の飛び先は停止したようです。
今日はスパム自体は来ませんでしたが、ぷららから返事が来ました。
まず「同様のメールを何通ももらっている」とありまして、
皆さんの出した苦情がちゃんと届いているようでした。
APがOCNってことで、ぷららからもOCNに対処を求める依頼を
しているそうです。
…が。
------ぷららからのメールより抜粋----------------------------
今回お問い合わせいただきましたSPAMメールによる被害の件でござい
ますが、該当メールのヘッダ情報を確認いたしましたところ、メール送信時に
弊社管理のアクセスポイント(接続)を経由しておらず、送信元メールアドレス
として「ぷらら」のメールアドレスが設定されている状況のようです。
誠に恐れ入りますが、上記の送信方法では弊社から実際の送信行為の
確認が行えないため、SPAMメールの送信元として設定されている「ぷらら」
のメールアドレスからでは、当該会員がSPAMメールの発信を行ったと断定
できず、実施者を特定することが致しかねます。
弊社と致しましては、SPAM行為が弊社管理のアクセスポイント(接続)を
経由して行われていることが特定できた場合に、会員規約に則った対応が
可能です。
しかしながら、今回は、ヘッダ情報からでは当該会員がSPAMメールを発信
したと特定できないこと、および、SPAM行為の実施者と該当するメールアド
レスの弊社会員との直接的な関係が確認できないため、現状では該当会員
に対して警告を発することは難しい状態となっております。
----------------------------------
APは使われてないけど、SMTPサーバが使われてますよねぇ?
メールサーバのログとか見れば、分かるのでは…?
ぷららでは自社APさえ使われなければ、野放しなのかー?
サイトのほうは、またFREE.MEMBERZ.NETの中を回ってるようで…。
もっかいFREE.MEMBERZ.NETにメールしてみます。
あぁほんとに、イタチゴッコ(^^;
抜粋部分は同文でした。
「しじみ...」メールを見なかったのは、9月7日以来初めてです。
やれやれ....(++;)
> しかしながら、今回は、ヘッダ情報からでは当該会員がSPAMメールを発信
> したと特定できないこと、および、SPAM行為の実施者と該当するメールアド
> レスの弊社会員との直接的な関係が確認できないため、現状では該当会員
> に対して警告を発することは難しい状態となっております。
> ----------------------------------
>
> APは使われてないけど、SMTPサーバが使われてますよねぇ?
> メールサーバのログとか見れば、分かるのでは…?
> ぷららでは自社APさえ使われなければ、野放しなのかー?
ええっと、その返事は大変まずいです。控えめに考えて、
hdparの信用性に関わる重大事ですので、ぷららにメールを
送っておきました。
hdpar
http://mathom.jp/stak/
で解析したにも関わらず、ぷららから同じような返事を受け取った方々は
あらためて受け取ったスパムのヘッダ、
ぷららに報告したスパムのヘッダが、
ぷららがhdparで苦情先になっていることを確かめて頂きますか?
(なお、あき様が最初に投稿して下さったのは確かに
ぷららからとしか思えません)
この際、注意すべきは
・自分の利用しているネット業者がぷららではないか?
その場合には送信者側の情報だとは限りませんのであり得ます。
(注意書きに述べています)
・今回のスパムはあちこちから来ているので、同じ種類の別なスパムの
ヘッダを張り付けてしまっていないか?
を念のため、ご確認下さい(失礼言ってすみません)。
もしお手間があれば、ぷららに問い合わせて見て下さい。
私はhdparを提供している責任者として
一報送って、返事をお願いしてありますので、もし面倒な方は
ぷららへの再信は無用です。というか私への返事待ちでも構いません。
なお、hdparの解析にはそれなりに自信がありますので
現在の所、hdparが正しい(ただし各種注意事項は守るとして)として
行動して下さって構わないと思います。
(ちゃんと使い方は読んで下さい、自分の側のネット業者が出たり
下の方は捏造である場合もあります、日本語のスパムでは少ないですが)
お疲れさまです。
ぷらら経由のメールのヘッダは次のとおりです。
3時頃にまた1通着弾しておりました。通算16通。
----
Return-Path: <hous2@lapis.plala.or.jp>
Received: from mps3.plala.or.jp (mpsb-nat18.plala.or.jp [202.212.115.65]) by talos.host4u.net (8.11.6/8.11.6) with ESMTP id g8B6gpZ26107 for <ふみたん@ふみたん.com>; Wed, 11 Sep 2002 01:42:51 -0500
Received: from C ([61.207.154.182]) by mps3.plala.or.jp with SMTP id <20020911064241.FGQB22453.mps3.plala.or.jp@C>; Wed, 11 Sep 2002 15:42:41 +0900
From: hous2@lapis.plala.or.jp@talos.host4u.net
To: iii@talos.host4u.net
Reply-To: hous2@lapis.plala.or.jp
Date: Wed, 11 Sep 2002 15:42:53 +0900
Subject: しじみともものコラボレーション
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Message-ID: <20020911064241.FGQB22453.mps3.plala.or.jp@C>
Status: O
X-Pop-Received-Date: 3114581455
X-Pop-Account: ふみたん@ふみたん.com
----
Return-Path: <hous2@lapis.plala.or.jp>
Received: from mps5.plala.or.jp ([202.212.115.65]) by pop17.dreamnet.ne.jp with ESMTP id <20020911081243.ZAQB10895.pop17.dreamnet.ne.jp@mps5.plala.or.jp> for <ふみたん@ea.mbn.or.jp>; Wed, 11 Sep 2002 17:12:43 +0900
Received: from C ([61.207.154.182]) by mps5.plala.or.jp with SMTP id <20020911081242.NCHC12604.mps5.plala.or.jp@C>; Wed, 11 Sep 2002 17:12:42 +0900
From: hous2@lapis.plala.or.jp
To: iii
Reply-To: hous2@lapis.plala.or.jp
Date: Wed, 11 Sep 2002 17:12:54 +0900
Subject: しじみともものコラボレーション
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Message-ID: <20020911081242.NCHC12604.mps5.plala.or.jp@C>
X-Pop-Received-Date: 3114580419
X-Pop-Account: ふみたん@ea.mbn.or.jp
これまでに4通、このspamを受信しているのですが、2通目の11日着のものが、ぷららさん経由でした。
もちろんすぐに、ぷららさんの方に報告を入れて、翌日回答を得たのですが、残念ながらそれが、あきさんと同様の、「うちは関係ないので……」というものでした。
おやと思って、ヘッダを見直しましたが、やはりやはりぷららさんが踏み台として使われている。
202.212.115.65 = mpsb-nat18.plala.or.jp
そこへ、あきさんや管理人さんの投稿です。
私のほうでもぷららさんの方へ、確認のメイルを送信しました。
↓これが、うちへ届いたもののヘッダです。
Received: from mps5.plala.or.jp (mpsb-nat18.plala.or.jp [202.212.115.65])
by *****.*********.net (8.9.3/3.7W) with ESMTP id PAA06975
for <*******@*********.net>; Wed, 11 Sep 2002 15:34:29 +0900 (JST)
Received: from C ([61.207.154.182]) by mps5.plala.or.jp with SMTP
id <20020911063356.IZSM12604.mps5.plala.or.jp@C>;
Wed, 11 Sep 2002 15:33:56 +0900
From: hous2@lapis.plala.or.jp@*****.*********.net
To: iii@*****.*********.net
Reply-To: hous2@lapis.plala.or.jp
Date: Wed, 11 Sep 2002 15:34:09 +0900
Subject: しじみともものコラボレーション
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Message-Id: <20020911063356.IZSM12604.mps5.plala.or.jp@C>
X-UIDL: 22/!!/8=!!\BF!!cIV"!
>管理人様
私がぷららにメールを送ったのは、発言No2475にて投稿させて
いただいたスパムについてです。
ですので、間違いなく、ぷららが踏み台にされていると思われます。
私もぷららからの返事を受け取って、「もしかしてとんちんかんな苦情を
出してしまっただろうか!?」と、驚いてもう一度確認しましたが、
やはりぷらら経由としか思えません。
私も確認のメールを出して見ようと思います。
私も無関係という返事をいただきました。
しかし、CLUBBBQの返事だと、添付されているヘッダの最上段は間違いなく送信元のサーバーと言うことです。
つまり、SMTPはPLALAのものということが断定できます。
シラを切るなんて信じられません。
それがPLALAの対応なんでしょうか?
この掲示板でしか使っていないこのアドレスにも届きました。
発信者、いい度胸してます。
さて、ぷららさんに問合せをしましたが、同様にぷららさんのサーバを
経由しているにもかかわらず、「ユーザの特定は出来ない。OCNさんに
文句をいってくれ」(誇張してます (^^;))といわれました。
当然、ふざけた返事と解釈したので「御社のサーバーは不正中継を
許容しているのですか?」と問合せ中です。
「ぷららのメールサーバーは,from: にぷららのメールアドレスが入って
さえいれば,一切認証ナシで第三者中継を許容する設定になっている」と
いう事でしょうか?
# だとすると,あいらさんが契約解除した某会社もヤバいのかなぁ?(汗)
(ウチのメインスペースなのに)
> 「ぷららのメールサーバーは,from: にぷららのメールアドレスが入って
> さえいれば,一切認証ナシで第三者中継を許容する設定になっている」と
> いう事でしょうか?
いや、第三者中継が出来るということではないと思います。
そうではなくて、たぶんpop before smtpにして(って推測ですが)
plala会員ではないとplalaのsmtpサーバは使えなくしているけれども、
後からメールヘッダとサーバのログを見たときに、
自社の会員の「どのアカウントの人が」そのメールを出したかが
特定できない、ということなのだと思います。
しかしそれが限りなく危険な話であるのはいうまでもありません。
plala会員が自分のアカウントを利用して犯罪行為を行ったとしても
plalaとしては単独では把握できないと言うことなのですから。
plalaはOCNとのやりとりで分かると言っていますが、
これが接続がOCNではなく、たとえばネットカフェなどからの接続だった場合、
「たとえplala会員の誰かが犯罪者であることが分かっていても」
どのplala会員かは特定するのはお手上げになるでしょう。
担当者の認識間違いか、あるいは本当に設定がおかしいかということです。
なお、私の発言は前述のメールからの推測だけですので
他の推測の方法があるなら指摘して頂けると有り難いです。
> そうではなくて、たぶんpop before smtpにして(って推測ですが)
> plala会員ではないとplalaのsmtpサーバは使えなくしているけれども、
> 後からメールヘッダとサーバのログを見たときに、
> 自社の会員の「どのアカウントの人が」そのメールを出したかが
> 特定できない、ということなのだと思います。
記録から「何が起きたか読み取れない」ようじゃログを取ってる意味がない
ですねぇ(苦笑)
あきさんの書込みから無断引用(ごめんなさい)
>------ぷららからのメールより抜粋----------------------------
(略)
>しかしながら、今回は、ヘッダ情報からでは当該会員がSPAMメールを発信
>したと特定できないこと、および、SPAM行為の実施者と該当するメールアド
>レスの弊社会員との直接的な関係が確認できないため、現状では該当会員
>に対して警告を発することは難しい状態となっております。
>----------------------------------
当該会員に対して「こういったspamメールの件で苦情が届いているが,この
時間にメール送信したかどうか」ぐらいは確認できませんかねぇ? もし,
送信していないのならば(怪しいけど),今度は「該当会員のアカウントを
誰かが不正に使用した」事から,「不正アクセス禁止法」にも関ってくると
思うんですがねぇ...
前回のは7通目でした(汗。
昨日の23:35に着弾、今度はdtiです。同じく対応依頼を送付して
おきました。リンクの飛び先を確認したときに、一瞬頭が真っ白
になってしまいました(苦笑
私のところにはぷららからの返事は来ていません。
他社のAPからメールを中継する場合って、普通は第三者中継か
POP before SMTPですよね…。もしこのいずれかなら、ぷらら側
でもやるべきことが有る気がしますが…。
通算11通目の着弾です。
OCNへはspamcopで送りましたが、spacetown.ne.jpの方はドメイン管理を
してるS社宛が良いのか、それともアドレスを管理しているIIJ宛が良いのか
で悩んでいるトコです。
ぷららもシナプスもdtiもなしのつぶて…文面が悪かったのかな(--;
************以下、ヘッダのみ***********
Received: from r-mdd.spacetown.ne.jp (r-mdd.spacetown.ne.jp [210.130.136.43])
by *****.*****.**.jp (8.9.3/) with ESMTP id MAA23157
for <*****@*****.*****.**.jp>; Fri, 13 Sep 2002 12:19:34 +0900 (JST)
Received: from wing-cilnjn2j6v (p4035-ipad03maru.tokyo.ocn.ne.jp [61.207.96.35])
by r-mdd.spacetown.ne.jp (8.11.6) with SMTP id g8D38PD00327;
Fri, 13 Sep 2002 12:08:25 +0900 (JST)
Message-Id: <200209130308.g8D38PD00327@r-mdd.spacetown.ne.jp>
From: =?iso-2022-jp?B?c291c291QG1kZC5zcGFjZXRvd24ubmUuanA=?=@r-mdd.spacetown.ne.jp
To: =?iso-2022-jp?B?MTIx?=@r-mdd.spacetown.ne.jp
Reply-To: sousou@mdd.spacetown.ne.jp
Date: Fri, 13 Sep 2002 12:08:26 +0900
Subject: =?iso-2022-jp?B?GyRCJDckOCRfJEgkYiRiJE4lMyVpJVwlbCE8JTclZyVzGyhK?=
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Content-Type: text/plain
X-UIDL: UPb"!Ij6!!8Ob!!bY'"!
> 通算11通目の着弾です。
>
> OCNへはspamcopで送りましたが、spacetown.ne.jpの方はドメイン管理を
> してるS社宛が良いのか、それともアドレスを管理しているIIJ宛が良いのか
> で悩んでいるトコです。
spacetown.ne.jpの技術担当者のメアドです
@は全角です 書き直してください
jiro-y@iij.ad.jp
取り敢ずここへ苦情を送られてはいかがですか
フォローどうもです。出してみてレスポンスを待ってみることにします。
…就業時間内に行動を起こすべきだったと少し後悔(鬱。
#@全角
#私も配慮が足りなかった一人ですね。
#申し訳無いです(--;。
うちにもspacetown経由のものとcaznetが返信先のものが来てました。
どちらも連絡済で、担当者?の方からお返事戴きました。
> うちにもspacetown経由のものとcaznetが返信先のものが来てました。
懲りないヤツですね。http://book-i.net/roriroridvdは、そのままなので、気付いていないのでしょう。
Return-Path: <sousou@mdd.spacetown.ne.jp>
Received: from r-mdd.spacetown.ne.jp (r-mdd.spacetown.ne.jp [210.130.136.43]) by talos.host4u.net (8.11.6/8.11.6) with ESMTP id g8DBktC23855 for <ふみたん@ふみたん.com>; Fri, 13 Sep 2002 06:46:55 -0500
Received: from wing-z5sgni0se5 (p4039-ipad22marunouchi.tokyo.ocn.ne.jp [61.214.33.39]) by r-mdd.spacetown.ne.jp (8.11.6) with SMTP id g8DBi6D18871; Fri, 13 Sep 2002 20:44:06 +0900 (JST)
Message-ID: <200209131144.g8DBi6D18871@r-mdd.spacetown.ne.jp>
From: sousou@mdd.spacetown.ne.jp@r-mdd.spacetown.ne.jp
To: 121@r-mdd.spacetown.ne.jp
Reply-To: sousou@mdd.spacetown.ne.jp
Date: Fri, 13 Sep 2002 20:44:10 +0900
Subject: しじみともものコラボレーション
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Status:
X-Pop-Received-Date: 3114762956
X-Pop-Account: ふみたん@ふみたん.com
ももがはじけてぶどうがゆれる
しじみともものコラボレーション
ロリータビデオ(DVD)専門
いつまで営業できるかわかりません
ご注文はお早めに!
http://book-i.net/roriroridvd
作品例
少女伝説 名古屋団地9 少女の道草
などなど132作品。好評発売中!
(^-^)/~ロリ炉利ムトー
やはり就業時間内に対応依頼を出せば良かった〜。
既に情報が伝わっていると知った後なので些か気が引けましたが、私も
iij宛に対応依頼を送付しました。
さて、帰宅して確認したところ、ぷらら、dti、FREE.MEMBERZ.NETから
返事が届いていました。ぷららとdtiに関しては、既に掲示板上にて報告
されている内容と同じなのですが…。
*ぷららの返事より抜粋
>>また、本申告に関しましては、お手数ではございますが「OCN」様へ
>>お問い合わせいただければ幸いです。
…最上段のReceived:ヘッダを見た上で言ってるんでしょうか(--;
最後にFREE.MEMBERZ.NETですが、ちょっと掻い摘んでの説明がし難い
ので割愛します。
今日私のところに来た
http://book-i.net/mutouの転送先http://free.memberz.net/member/rori/は、
17:40現在、404 Not Foundです。
今度は、info@fsi.co.jpとOCNでCCで送ってありました。
book−i.netは転送停止を依頼してありました。
管理人様@のことすみません。全角ならいいでしょうか。
転送はするんですが、その先のfree.memberz.netで
404 Not Found ということです。
>http://book-i.net/mutou ですが,以下のURLに変わりました.
>http://free.memberz.net/member/manimani/
>http://book-i.net/rorirori こちらは↓に変わりました.
>http://free.memberz.net/member/rorisenmon/
# この執念,×ルアド企画以上かも(溜息)
ムトーの口座は、
UFJ銀行 日本橋支店の普通預金口座の模様
偽名の口座でなければカタは簡単につくと思いますが…
> ムトーの口座は、
> UFJ銀行 日本橋支店の普通預金口座の模様
> 偽名の口座でなければカタは簡単につくと思いますが…
ムリですね
警察にも被害届けだし
消費者センター にも届けましたが ムリでしした
第一 中身は全く関係の無い 偽DVDが送られてくる模様ですし
・UFJ銀行日本橋支店 03-3272-3011
にも問い合わせましたが 手がかりなしです
・発送元も 〒104-0061
中央区銀座8-19-3-303
ウイング私書箱センター
SKY CO内PCD
とわけが わかりません
完全に詐欺の模様
> > ムトーの口座は、
> > UFJ銀行 日本橋支店の普通預金口座の模様
> > 偽名の口座でなければカタは簡単につくと思いますが…
> ムリですね
> 警察にも被害届けだし
> 消費者センター にも届けましたが ムリでしした
そうですか? 警察が捕まえる気になってるなら、ガラ押さえる方法はあると思いますが・・・。
>
> 第一 中身は全く関係の無い 偽DVDが送られてくる模様ですし
>
それより「模様」ってことは購入済ですか? よければ被害者にもなりたくないし、スパム退治に有効な情報があるかもしれないのでどこらヘン辺りに情報があるのか教えてください。
> ・UFJ銀行日本橋支店 03-3272-3011
> にも問い合わせましたが 手がかりなしです
>
> ・発送元も 〒104-0061
> 中央区銀座8-19-3-303
> ウイング私書箱センター
> SKY CO内PCD
> とわけが わかりません
>
> 完全に詐欺の模様
はじめまして、普段SPAMなどあまり気にしない自分ですが、「しじみと・・」がそこらへんのSPAMよりかなり性質が悪いと思い、関連のネットサーフィンをしていたら、このページに辿りつきました。
既に管理人様他、いろいろと対応をされているようで本当にご苦労様です。
ところで、ちょっと思ったのですが、このサイトですが、SPAMメールも問題ですが、もしかしたらサイト自体も違法なのではないでしょうか?
もしそうなら、迷惑メール撲滅私的委員会様の方針とはちょっと違うかもしれませんが、こっちの糸口からこのサイトを黙らせるということは不可能でしょうか?
もし、この指摘がこちらのサイト様の方針として不適切でしたら御許し下さい。それと、「未許諾広告」等の件名の強制はまだ法制化されていないんでしたっけ?(勉強不足ですみません。)こういう違法らしきサイトについては、別の手段が取れないものかと思い、浅知恵ですが、書き込ませて頂きました。
「特定電子メールの送信の適正化等に関する法律」「特定商取引に関する法律の一部を改正する法律」
に違反しているうえ、「児童ポルノ法」に抵触している恐れがあります。
既に関連各所には通報済みなのですが未だ動きなしなのです。
おそらく本pam送信者は確信犯であると推測されます。
短期間に大量のspamを送り付け、適当に荒稼ぎした後姿をくらますつもりなのでしょう。
「児童ポルノ法」違反で本spam送信者が逮捕される場合、過去の事例から判るように
購入者にも捜査の手が入ります。
おとり捜査のつもりでも、我々が安易に手をだすべき物では有りませんので十分ご注意を。
こんにちは。話題になっているムトー君のspamに悩まされている一人です。
法律の話ですが、ああいうビデオ類の販売は、
児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律の
第七条(児童ポルノ頒布等)違反に当たるでしょう。
spamのヘッダに「未承諾広告※」の表示を付けていなかったり、
住所を記載していなかったりするのは、
特定電子メールの送信の適正化等に関する法律の第三条の各号の
違反に当たることになるはずです。
著作権者に無断で昔のビデオをDVDに焼き直して販売するのは、著作権法にも引っかかりますね。
仮に偽物を送っていた場合は詐欺罪ですね。
猥せつ図画販売目的所持とか、いろいろと引っかかるものが出てきそうです。
著作権法の罰則規定は親告罪扱いですので、著作権者が
告訴してくれないと警察は動けないのですが、あの手のブツで
著作権者が告訴してくれるかどうか怪しいですね。
もしムトー君が好き者の方に内容と違う偽物を送っていたら
詐欺罪が成立するのは間違いないでしょうけど、実際どうなのでしょうね。
適用される罰則は詐欺が一番重いですけども。
> 著作権者が告訴してくれるかどうか怪しいですね。
おっしゃるとおりアングラ系の出版をやっているところは告訴しないでしょう。
>
> もしムトー君が好き者の方に内容と違う偽物を送っていたら
> 詐欺罪が成立するのは間違いないでしょうけど、実際どうなのでしょうね。
ガサを入れてみないと分らないでしょうね。証拠がなければ令状はとれませんから、警察は現在ガサを入れるために証拠収集をしているところでしょうね。本物を送っていたら児童ポルノ法ですし、どちらにしても違法ですね。
> ところで、ちょっと思ったのですが、このサイトですが、SPAMメールも問題ですが、もしかしたらサイト自体も違法なのではないでしょうか?
> もしそうなら、迷惑メール撲滅私的委員会様の方針とはちょっと違うかもしれませんが、こっちの糸口からこのサイトを黙らせるということは不可能でしょうか?
その通り,違法です. その方面で,犯人が利用しているWEBスペースの
管理者に「そちらのユーザで『児童ポルノ法』に違反して利用している人が
いるのでアカウントの停止をお願いします」等のメールを送り,閉鎖に追い
込んでいますが...
いたちごっこなんてもんじゃありません (^_^;
当初は転送サービスを利用していましたが,管理者が転送先を変更した途端
直URLを載せたメールに切り替え,宣伝を繰り返しています.
警察に通報している方もいますが,「証拠固め」も必要でしょうし速やかな
対処は望めないでしょう.
読み流してください。
ぷららのSMTPサーバでなんていうデーモンが動いてるか
知らないけど、記録されるのは送信者のIPアドレスなんですよ。
それがぷららのIPなら、認証サーバをしらべればSPAMが送信された
時間にそのIPを使ってるユーザが分かるけど、OCNが払い出した
IPならOCNに聞くしかないんですわ。
そこでOCNが何もしなければぷららも対処のしようがないんです。
pop beforeが効いてても受信と送信の時間が一緒とは限らないから
アカウントの追跡は無理。1日何万行もログ出るし。
クラックされてるならまだしも普通にパスワード入れてログイン
してたら見分けがつかないしさ。
つうわけであんまりぷららをいじめないでね。
同業者として可哀想に思えたので。長文失礼!
うちでも仕事を増やしてくれたクソSPAMERは泣かす。
> 読み流してください。
読み流せません(笑
> 同業者として可哀想に思えたので。長文失礼!
> うちでも仕事を増やしてくれたクソSPAMERは泣かす。
そう言う、立場の方がそう言ってくださると心強いです
宜しくクソSPAMERを泣かしてやってください(ペコッ)
一般二種「AtelierAiraNetwork」の「あいら」です。
> 読み流してください。
あまりにも突っ込みどころのある記事でしたので。
現場の電気通信事業者(サーバ管理してます)として、ですが。
> ぷららのSMTPサーバでなんていうデーモンが動いてるか
> 知らないけど、記録されるのは送信者のIPアドレスなんですよ。
> それがぷららのIPなら、認証サーバをしらべればSPAMが送信された
> 時間にそのIPを使ってるユーザが分かるけど、OCNが払い出した
> IPならOCNに聞くしかないんですわ。
plala単独でも特定は可能です。
POPbeforeSMTPで記録されたIPと共に(普通は)ユーザ名があるんですよ。
これまでplalaがspam対応を行ってきたのは知っていますので、
plalaにあるPOPbeforeSMTPのログには、
ユーザ名が記入されていると想定できます。
ユーザ名は普通同一サーバであれば、
ユニーク(1つしかない)の筈ですから、
特定は記録がない場合に比べて容易です。
ログはこんな感じです。
#註:実際のログですが「管理者のアカウント」ですので、
#電気通信事業法第4条には該当しません。
#これはpostfix+qpopper+dracのログです。
---------------------------------------------------
Sep 13 18:54:35 afelandra in.qpopper[10070]: [drac]:
login by tech-abuse from host 192.168.0.8 (192.168.0.8)
#tech-abuse(私のアカウント)が192.168.0.8(LANノート)からログイン。
---------------------------------------------------
> そこでOCNが何もしなければぷららも対処のしようがないんです。
> pop beforeが効いてても受信と送信の時間が一緒とは限らないから
> アカウントの追跡は無理。1日何万行もログ出るし。
popのIPが一致すれば、それが送信した人間です。
受信しなけりゃ送信できませんから。
CATVの様にLAN-gateway経由の送信でなければほぼ確定です。
今回はOCN丸の内ですから、gatewayじゃありません。
数が多いとしてもgrepで出て来るでしょう。
まさか、担当者がgrep(または代替手段を)使えないのでしょうか。
> クラックされてるならまだしも普通にパスワード入れてログイン
> してたら見分けがつかないしさ。
見分けがつくはずなのです。
つかないとしたら、ログの意味がない。
> つうわけであんまりぷららをいじめないでね。
「出来るはず」のことが「出来ない」ので突っ込まれているだけです。
もしも記録が「不完全で追跡できない」としたら、
ミスはplalaにあるでしょう。
厳しいですが、ユーザーの管理が出来ないようならば、
電気通信事業者の資格もないと言わざるを得ません。
(他者に迷惑をかける顧客の排除も重要な仕事です)
> 同業者として可哀想に思えたので。長文失礼!
> うちでも仕事を増やしてくれたクソSPAMERは泣かす。
うちも仕事が増えてきた。spam避けフィルタがあるから、
入会申し込みがボツボツ増えてきた。
#まだテスト中で自分の判断で篩いに掛けているけど、
#本サービスはじめるとこんなことも出来ないんだろうな。
まず良様、御意見、情報提供有り難うございます。
当サイトでは不合理な、といいますか、言い方が難しいですが、
ISP側のことを考えない一方的な苦情や批判は行わない、
ネット業者にも十二分に理解を得られるような、
spam問題解決を目指すサイトを目指してきました。
ですからISP側の方からの御意見は大変貴重なものであり、
参考にしたい、また私たちに理解不足の点があれば
是非ご教示して頂きたいと考えております。
ということで書こうと思っていましたが、ちょうど
いいや、
> ログはこんな感じです。
> #註:実際のログですが「管理者のアカウント」ですので、
> #電気通信事業法第4条には該当しません。
> #これはpostfix+qpopper+dracのログです。
> ---------------------------------------------------
> Sep 13 18:54:35 afelandra in.qpopper[10070]: [drac]:
> login by tech-abuse from host 192.168.0.8 (192.168.0.8)
> #tech-abuse(私のアカウント)が192.168.0.8(LANノート)からログイン。
聞きたいんですが、これはPOPの記録なのでしょうか?
そしてSMTPの記録はないのでしょうか?
つまりですね、POP beforeSMTPの時間が30分とする。
ある時刻にスパムが送られたと分かったとき、
その時刻までの30分前に、多くのユーザがPOPをしていたら、
見分けはつかないんでしょうか?
極端な話、もしかするとユーザ全員がこの30分間で
POPしていたら、候補者さえ上げることができないんでしょうか?
そしてそれがPOP before SMTPの普通のことなのでしょうか?
そうしたらplalaさんのいうことはもっともだと思うんです。
逆に、私は今までSMTPで関わったプロバイダーに多くの
処置依頼を送ってきたわけですが、どうしてその場合に
「その前後でPOPした人の中から」一意に発信者を
特定できるのかのほうが不思議になります。
あいら様に限らず、どなたでもいいですから御教示して頂きたいです。
あいらです。説明不足のようでした。申し訳ない。
>(略)
> 聞きたいんですが、これはPOPの記録なのでしょうか?
> そしてSMTPの記録はないのでしょうか?
> つまりですね、POP beforeSMTPの時間が30分とする。
> ある時刻にスパムが送られたと分かったとき、
> その時刻までの30分前に、多くのユーザがPOPをしていたら、
> 見分けはつかないんでしょうか?
うちなら、30分以内(セッション有効期限内)に、
同一IPからのsmtpセッションがあった場合、
popを行ったユーザが送信したと判断します。
ダイヤルアップであれば通常3分以内にsmtpセッションがあります。
常時接続でも10分以内でしょう。
その間、ユーザのIPは固定の筈です。
(同一でないと認証が図れないため再受信を要求するシステムです)
但し、CATV等のLAN-gateway(gatewayが1つ)形式のアクセスでは、
認証の同一性を確定することが出来ません。
同一ネットワークからアクセスした他者が、
有効なセッションを使って送信する可能性も僅かにあるからです。
(限りなく怪しい、ということにはなるのだろう)
#セッション有効を1分程度の短期間にしてしまえば危険は低くなります。
#ただ、短すぎると使いにくくなるため、3〜30分程度にしてあるのです。
以下のログを参考に出しますが、infoで受送信しました。
#例の如く管理者側ですので電気通信事業法第4条非該当の記録です。
----------------------------------------------
Sep 15 08:34:26 afelandra in.qpopper[10084]: [drac]: login by info from host 192.168.0.8 (192.168.0.8)
----------------------------------------------
ここではqpopper(POP)とdrac(POPbeforeSMTPの認証)セッションが、
8:34に行われたことを示します。(qpopper[10084]: [drac]の段で)
で、セッション有効期間内の8:47に、
----------------------------------------------
Sep 15 08:47:39 afelandra postfix/smtpd[10128]: F0D5614400: client=192.168.0.8[192.168.0.8]
Sep 15 08:47:39 afelandra postfix/cleanup[10129]: F0D5614400: message-id=<000701c25c49$7e327840$057ba8c0@euryarray>
Sep 15 08:47:39 afelandra postfix/qmgr[719]: F0D5614400: from=<info@afelandra.com>, size=676, nrcpt=1 (queue active)
Sep 15 08:47:39 afelandra postfix/local[10131]: F0D5614400: to=<info@frosty.jp>, relay=local, delay=0, status=sent ("|/usr/bin/procmail -a $DOMAIN -d $LOGNAME")
Sep 15 08:47:39 afelandra postfix/smtpd[10128]: disconnect from 192.168.0.8[192.168.0.8]
-----------------------------------------------
こういう格好でsmtpセッションが記録されます。
接続元と、to、from、Massage-ID、送信の成功/不成功が記録されます。
今回は、
Sep 15 08:47:39 afelandra postfix/smtpd[10128]: F0D5614400: client=192.168.0.8[192.168.0.8]
の段で、先刻のpopセッションとの同一性が確認できます。
この二つを突き合わせて確認を取ります。
時間はかかるのですが、判らないということ自体がおかしいのです。
> ----------------------------------------------
A> Sep 15 08:34:26 afelandra in.qpopper[10084]: [drac]: login by info from host 192.168.0.8 (192.168.0.8)
> ----------------------------------------------
> ここではqpopper(POP)とdrac(POPbeforeSMTPの認証)セッションが、
> 8:34に行われたことを示します。(qpopper[10084]: [drac]の段で)
>
> で、セッション有効期間内の8:47に、
> ----------------------------------------------
> Sep 15 08:47:39 afelandra postfix/smtpd[10128]: F0D5614400: client=192.168.0.8[192.168.0.8]
> Sep 15 08:47:39 afelandra postfix/cleanup[10129]: F0D5614400: message-id=<000701c25c49$7e327840$057ba8c0@euryarray>
> Sep 15 08:47:39 afelandra postfix/qmgr[719]: F0D5614400: from=<info@afelandra.com>, size=676, nrcpt=1 (queue active)
> Sep 15 08:47:39 afelandra postfix/local[10131]: F0D5614400: to=<info@frosty.jp>, relay=local, delay=0, status=sent ("|/usr/bin/procmail -a $DOMAIN -d $LOGNAME")
> Sep 15 08:47:39 afelandra postfix/smtpd[10128]: disconnect from 192.168.0.8[192.168.0.8]
> -----------------------------------------------
> こういう格好でsmtpセッションが記録されます。
> 接続元と、to、from、Massage-ID、送信の成功/不成功が記録されます。
>
> 今回は、
B> Sep 15 08:47:39 afelandra postfix/smtpd[10128]: F0D5614400: client=192.168.0.8[192.168.0.8]
> の段で、先刻のpopセッションとの同一性が確認できます。
なるほど、これでかなり安心しました。
そうですよね。そうでなければならないと思います。
でも....しつこくて申し訳ないのですが....
BのIPでつなげている人が本当にAのそのIPでつなげている人というのは
同一性が保証されるのでしょうか?
つまり
> ダイヤルアップであれば通常3分以内にsmtpセッションがあります。
> 常時接続でも10分以内でしょう。
> その間、ユーザのIPは固定の筈です。
> (同一でないと認証が図れないため再受信を要求するシステムです)
と書いて下さっていますが、
たとえばあるIPアドレスに繋げていたアカウントAを持つ人が
plalaでPOPを行ったあとに切断し、
その後、同じIPアドレスに繋げたアカウントBを持つ人が
plalaのSMTPサーバで送信をしようとした際、
それは出来ないんでしょうか?
それともIPアドレスが一致したことを
同一の認証と見なしてしまうのでしょうか?
仮にそれで認証にしてしまうなら、
確率はかなり低いと言えるわけですが可能性としてはあり得るわけです。
確率が低いというのは今回のような場合spammerIPに繋げるISPと
SMTPに繋げるネット業者が違います。
ですから上のようなことが起こる場合というのは、
アカウントAとアカウントBのネットに繋げるISPが一致していること
今回の場合にはOCNである必要があります。
しかし、POPをしたときにそのIPアドレスに繋げていた人と
SMTPを使ったときにそのIPアドレスを繋げていた人が同じであることを
plalaが独自に分からないとしたら、OCNの助けが必要になりますよね。
上で記録されているTo,From,Messege-IDは御存知のごとくいい加減なのが
可能ですので、そこからアカウント保持者が誰かは特定できないのでしょう?
つまり上で「同一でないと認証が図れないため再受信を要求する」と
書いていらっしゃいますが、同一でない、同一である、というのは
何で判断しているのか、というのが大事でしょう?
仮にIPで同一性を確認しているのなら、
plala内部では確認していることにはなりませんよね。
私が言いたいことを図にするとこうなります。
時間的流れ→
POPをする SMTPをする
スパムのヘッダ
↑
この間は等しいと言える
↓
IPaddress=a ← 同一人か?α → IPaddress=a
↑ ↑
この間は等しいと言える 結びついていない?γ
↓ ↓
アカウント=A ← 同一人か?β → アカウント=?
つまりplalaとしてはβを知りたいのですが、
αかγが結びつかないとβは結びつかないことになります。
αがplalaの認識できる範囲であるのでしょうか?
> でも....しつこくて申し訳ないのですが....
> BのIPでつなげている人が本当にAのそのIPでつなげている人というのは
> 同一性が保証されるのでしょうか?
> つまり
>
> > ダイヤルアップであれば通常3分以内にsmtpセッションがあります。
> > 常時接続でも10分以内でしょう。
> > その間、ユーザのIPは固定の筈です。
> > (同一でないと認証が図れないため再受信を要求するシステムです)
>
> と書いて下さっていますが、
> たとえばあるIPアドレスに繋げていたアカウントAを持つ人が
> plalaでPOPを行ったあとに切断し、
> その後、同じIPアドレスに繋げたアカウントBを持つ人が
> plalaのSMTPサーバで送信をしようとした際、
> それは出来ないんでしょうか?
非常に低い確率ですが、送信は可能です。
なぜ非常に低い確率か、というのは後述します。
> それともIPアドレスが一致したことを
> 同一の認証と見なしてしまうのでしょうか?
そのとおり、認証されたときに使用されていた、
IPアドレスの一致で認証を行うシステムですね。
> つまりplalaとしてはβを知りたいのですが、
> αかγが結びつかないとβは結びつかないことになります。
> αがplalaの認識できる範囲であるのでしょうか?
確率論というものが出てきそうな感じになります。
余程田舎のISPでもない限り、ユーザに割り振られるIPは限りがあります。
仮に210.0.0.1がユーザaに振られた場合、
30秒ほどの短時間の切断後再接続を行った場合、
aには同じIPが振られる可能性が高いです。
ましてや常時接続であれば、切断の頻度すら低く、
IPが変わることはなかなかありません。
ルータにモデムをつないで接続してあれば、
ルータとモデムが切断されず動いている限りIPの変動は殆どありません。
今回はヘッダから先頭がipadXXXという
OCNのアクセスポイントが見えていましたので、
常時接続だと判断できます。
全く同じ「OCN丸の内のアクセスポイント」から、
「同じようにplalaのsmtpの設定を行った」マシンで、
「受信セッション有効期限内」に、
「セッションを起動させた」ユーザと、
「同じIPとなった」別のユーザが送信する確率は、
天文学的な数値になり極めて低いと言わざるを得ません。
(皆無とはいえませんが無視できる位のものです)
更に今回は常時接続のようですから、
切断もなかったと考えて差し支えないでしょう。
これらによって、かなり精密な認証が出来る為、
設定が簡易なこともあり各所で採用されていると考えられます。
POPbeforeSMTPがあるどのISPでも、
判断基準はIPの合致でしょう。
また、実際にsmtpサーバとしてplalaが使われたので、
(送信メールを元にplalaサーバが記録している)
Massage-IDの偽造もないと考えて判断基準に加えても良いでしょう。
#但し、spammer自営のサーバなら偽造もあります。
認証手段としてはSMTPauthもひとつの手ではありますが・・・
対応していないメーラーもあるとかないとか。
初めまして。朝霧と申します。
「しじみと・・」のDMが、あまりに多く届くため、Webで色々調べている
内に、ここにたどり着きました。
私も一応、第二種通信事業者でもあり、言い方は悪いですが、この問題には
興味もありますし、しかるべき対処を行わないといけないと思っており、
ここに来る前から、DMが経由してきたISPなどにもメールするなどして報告
を上げていましたが、ここに来て、同じように頑張っておられる方々が一杯いらっしゃると知り、少し嬉しくなりました。
> 私が言いたいことを図にするとこうなります。
>
>
> 時間的流れ→
> POPをする SMTPをする
>
> スパムのヘッダ
> ↑
> この間は等しいと言える
> ↓
> IPaddress=a ← 同一人か?α → IPaddress=a
> ↑ ↑
> この間は等しいと言える 結びついていない?γ
> ↓ ↓
> アカウント=A ← 同一人か?β → アカウント=?
>
> つまりplalaとしてはβを知りたいのですが、
> αかγが結びつかないとβは結びつかないことになります。
> αがplalaの認識できる範囲であるのでしょうか?
plalaのサーバー上のログに限って言えば、
「最初にpopで接続するために受ける認証のアカウント名」
「その時に残るIPアドレス」
「SMTPを使用した時のアカウント名」
は、同一人物のものと、ほぼ断定できるはずです。
但し、plalaとしては、上記で使用されたアカウントを持つ会員が、
そのままspammerであるとは断定しにくいとも思います。
何故なら、spammerが単にそのアカウント情報を盗みとって悪用している
という可能性も否めないからです。
今回使用された、mps2.plala.or.jp というMTAの上で利用されている
アカウント名の情報は、ネット上を散策しているだけでもいくつかは入手
可能でしょうし、メールアドレスだけを収集して売っているような業者も
あり、plalaに限らず、色んなプロバイダのMTA上のアカウント情報は、
裏の世界でもかなり流れているでしょうからね。
(上記の内、mps2.plala.or.jpは、私の所には、plala経由で届いた時には
このサーバーを介していたというだけであって、皆様の所には、同じ
plalaでも、違うサーバーを介して届いていたかもしれません。)
集めたメルアド情報の中から、各社のMTA情報を割り出すことまでは、
少しの知識があれば十分できるはず。
そして、パスワードの解析ツールなどを使って、上手く解析できた
アカウント情報だけをピックアップし、そのアカウントを使って送信して
いるという風に考えることもできると思います。
(解析ツールなどを利用するまでもなく、姓名・TELの一部・住所の番地等、
安直なパスワードを使っている利用者も多いことですし…)
たまたまパスワードまで解析できたアカウント情報の中に、plalaを使用
するものがあったり、spacetownやdtiやsynapseなどのサーバーを使用する
ものがあったと・・・そう考えることもできますよね。
話を戻して・・・plalaとしては、今回使用されたアカウントを、いきなり
削除した場合、その会員が真っ当な会員であった場合、申し訳が立たない
ので、OCNの協力も必要と考えられたのではないでしょうか?
今回のケースでは、最初の接続時にOCNの丸の内のAPを使っていることが
多いのは事実であり、このAPに接続する時点で受ける認証は、OCNによって
提供さっれたものでもある訳ですから、その認証情報から、誰が利用して
いるかを追及できるのは、OCNしかありません。
勿論、OCN接続時のアカウント情報すら盗用されているという可能性はあり
ますが・・・接続していた場所などを究明できれば、そこから割り出すこと
もできるかもしれないし・・・
仮に、OCNのアカウント情報から得た会員情報と、plalaのアカウント情報
から得た会員情報が一致すれば、今度こそ、かなりの確率で、その会員が
「悪者」と断定もできますし…
そういう意味でも、plalaさんもOCNに依存されたかったと推測もできると
思います。
メールヘッダの情報や、送信者の所に表示されている情報などから判断すると、
単に自分が契約したアカウントを使用、または他人のアカウントを盗用して
送信して来ているのではなく、事前にプロバイダなどのMTAの情報を調べたり、
Reply-Toを駆使していたり、普通のサーバー管理者でも知っている人が少ないと
思われる、「%」を含むメールアドレスを付加してみたりと、用意周到かつ、
熟練者的な一面もうかがえます。
仮に本人は無知だとしても、その周囲には、かなりのツワモノの存在が見え
隠れすると感じているのは、私だけでしょうか?