ID-code:XLGjDJNdO2U

中国系のスパムは調査しにくくて…
以下のスパムはどこに苦情を入れればいいでしょう?

ヘッダ解析やwhois、nslookupでは調べましたがホスト元がよくわからなくて。
zhello.nlだからって、オランダじゃあるまいし。
ちなみに、a231242.upc-a.zhello.nl→Hangzhou shileshidaという経路のスパムは最近よく来ているものらしいです。この経路によるスパム自身は、googleで調べると報告が出ています。そういえばsvalofskil＠yahoo.com.brにも見覚えがあるし。
X-Mailer: Microsoft Outlook Expressってのは本当かな。

-----(original message)-----
From - Tue Dec 24 08:07:45 2002
Return-path: <support＠member.jpn>
Received: from member.jpn ([218.108.16.98])
by ***.***.**.** (**********************) with SMTP id QAA16733 for
<********＠***.**.**>; Mon, 23 Dec 2002 16:21:23 +0900 (JST)
Received: from [67.159.243.234] by a231242.upc-a.zhello.nl with smtp; Sun,
22 Dec 2002 21:21:22 +1000
Date: Mon, 23 Dec 2002 06:12:38 +0100
From: support＠member.jpn
Subject: ADV:NX}XLy[
To: ********＠***.**.**
Reply-to: support＠member.jpn
Message-id: <004d17e46a6b$7485b3a6$8cd14ce0＠mwxpak>
MIME-version: 1.0
X-Mailer: Microsoft Outlook Express 5.00.2615.200
Content-type: text/html; charset=shift-jis
Content-transfer-encoding: 8BIT
Importance: Normal

<BR>
3分後には見れちゃうオンラインビデオ<BR>
<BR>
<a href="http://www.aaaastar.com/cybergirls/">無料サンプルはこちら！</a><BR><BR>
無修正アダルトビデオ配信の新番組です。<br>
とりあえずタダだしどうぞご覧ください。<BR><BR>
---------------------------------------------------------------------------------------------------<BR>
※メール配信を希望されない方は、svalofskil＠yahoo.com.brまで<BR>
空メールを送信してください。次回からの送信はありません。<BR>
---------------------------------------------------------------------------------------------------<BR>

ID-code:/q8xmlI5ru2

> ヘッダ解析やwhois、nslookupでは調べましたがホスト元がよくわからなくて。
> zhello.nlだからって、オランダじゃあるまいし。
> ちなみに、a231242.upc-a.zhello.nl→Hangzhou shileshidaという経路の
> スパムは最近よく来ているものらしいです。この経路によるスパム自身は、
> googleで調べると報告が出ています。そういえばsvalofskil＠yahoo.com.brにも見覚えがあるし。
> X-Mailer: Microsoft Outlook Expressってのは本当かな。

　hdparで入れて出てくる、中国の

http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=218.108.16.98&targetnic=auto

ですね。

a231242.upc-a.zhello.nl
の行は捏造ヘッダの可能性が高いです。

ID-code:vvHVj2PBYT.

かめやま様、始めまして。

うちにも同じ文面のものが着信してしまいました。
何も考えず、とりあえずSpamCopに持っていきました。
最終的には abuse＠telemar.net.br にレポートが行きました。
（GeekToolsで探してみても同じところが苦情先となりました。）

本文と宣伝されているサイトのアドレスのどちらも
かめやま様のところに着信したものと同一ですが、
ヘッダが違いますので、うちに来たものを貼り付けておきます。
（何の情報にも参考にもならないかもしれませんが・・・。）
複数の経路で同じものがばら撒かれているのでしょうか。

なお、Receivedの上から２つ目、by rly-xw05.oxyeli.com の部分
（かめやま様の受信メールだと by upc-a.zhello.nl の部分）は、SpamCopによると、
"rly-xw05.oxyeli.com does not report source IP accurately"
「rly-xw05.oxyeli.com はソースIPを正しく述べていません」
だそうです。

----ここから貼り付け---------------------------
Return-Path: <support＠shop.jpn>
Received: from shop.jpn ([200.217.74.2])
by *****.ne.jp (8.9.3/3.7W) with SMTP id UAA07220
for <*****＠*****.ne.jp>; Tue, 24 Dec 2002 20:14:07 +0900
From: support＠shop.jpn
Received: from unknown (HELO web.mail.halfeye.com) (91.1.125.189)
by rly-xw05.oxyeli.com with SMTP; 24 Dec 2002 21:14:03 +0400
Received: from unknown (HELO rly-xw05.oxyeli.com) (169.141.10.39)
by web.mail.halfeye.com with asmtp; Wed, 25 Dec 2002 01:12:25 -1100
Received: from unknown (HELO asy100.as122.sol-superunderline.com) (188.187.242.115)
by mta21.bigpong.com with asmtp; Tue, 24 Dec 2002 14:10:47 -0000
Received: from unknown (HELO rly-xl04.mx.aolmd.com) (47.184.23.132)
by symail.kustanai.co.kr with smtp; 24 Dec 2002 14:09:09 +0200
Received: from unknown (HELO smtp4.cyberecschange.com) (61.142.179.58)
by n9.groups.huyahoo.com with SMTP; 24 Dec 2002 16:07:31 -0500
Reply-To: <support＠shop.jpn>
Message-ID: <017b84c41b7e$2228b8e7$7ea58ab6＠uukyok>
To: <*****＠*****.ne.jp>
Subject: ADV:V�B
Date: Tue, 24 Dec 2002 00:07:40 +1100
MiME-Version: 1.0
Content-Type: text/html; charset="shift-jis"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
Importance: Normal
X-UIDL: k~-!!K*0!!,Z?"!G5+"!
Status: U
----ここまで貼り付け----------------------------------

宣伝されてるサイト（サイバーガールズ）は 210.19.205.122 で、
苦情先は azmy＠isp.time.net.my と sabariah＠isp.time.net.my。
マレーシアの業者さんだとのことです。

＃ヘッダの読み方などはまだ勉強中ですので、
＃もしも的外れなことを言っていたらご指摘・ご教示ください。
＃よろしくお願いいたします。

ID-code:XLGjDJNdO2U

書き方が悪かったようです。

Hangzhou shileshidaだというのはわかったんですが、googleでも引っかからないし、
abuseはabuse＠chinahcn.comらしいんですが信頼できるかどうかわからなかったもので。
(whoisのデータからドメインだけ引っ張ったので、適切な苦情申し入れ先かどうか
不明なのです。Hangzhou shileshidaのchanged欄から見てるだけですから。)

いけださんのabuse＠telemar.net.brは違うところですよねぇ。拒否連絡先のヤフーの
アカウントはブラジルなので、そちらが正しいのかなぁ?というわけで、結局中国なのか
ブラジルなのか迷ったままです。

nlのほうは信用してません。(詐称かどうかは不明ですが、googleで見た感じでは
10月くらいからここのマシン名(a231242.upc-a.zhello.nl)で送っているようです。)

ちなみに、私はSpamCopを使わずに、自分で調べてISPに苦情を送っているんです。
だから苦情申し入れ先の調査もちょっと慎重にしようかな、と。

ID-code:vvHVj2PBYT.

かめやま様、こんにちは。お返事が遅くなってすみません。

私の方こそ、書き方が変だったかもしれません。

> いけださんのabuse＠telemar.net.brは違うところですよねぇ。拒否連絡先のヤフーの
> アカウントはブラジルなので、そちらが正しいのかなぁ?というわけで、結局中国なのか
> ブラジルなのか迷ったままです。

かめやま様の受信したものは218.108.16.98、
私の受信したものは200.217.74.2から発信されている、とすれば、
同一の内容のものを、複数の発信元から発信している、ということでしょうか？
だとすれば、spam reportを送る先も異なる、ということですよね・・・。

なお、拒否連絡先のアカウント（ブラジルのYahoo）は
メールが届かないとの報告もありました（後述）。

> 10月くらいからここのマシン名(a231242.upc-a.zhello.nl)で送っているようです。)

前からあるspamなのですね。
Return-Pathで名乗られているドメイン名で検索したところ、
私のところに着信したものと同じReturn-Path・同じオプトアウト窓口で、
本文の内容や宣伝されているサイトなどが異なるspamが、
こちらの掲示板で11月にすでに報告されていたことに気づきました。
（よく調べもせずに投稿してしまって申し訳ありません。）
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=5417&pastlog=0011&act=past#5439

↑によると、オプトアウトのメールを送ったらmailer demonが返ってきたそうです。
ということは、ブラジルのYahooのオプトアウト用のアドレスは、
実在しないということですよね・・・。
（自分ではオプトアウトの手続きを取っていないので確信は持てていません。）

また、11月にも
１）support＠member.jpn（今回かめやま様のところに着信したものと同じ）
２）support＠shop.jpn（今回私のところに着信したものと同じ）
の２通りのReturn-Pathのものがあったのことです。
ずっと続いているものなのでしょうか。

２）の方は11月に送られたもののヘッダが投稿されていたので
12月24日に私が受信したものと比べてみました。
送信に用いられたIPは、微妙に違いますが、
ブラジルのYahooのIPという点は同じでした。
その先は、見ているうちにわけがわからなくなってしまいました。