| [ 8797 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:CkJudqkaXPo
当掲示板の主旨には外れますが、海外spamをフィルタしたい人は読んでください。
最近のMUAはフィルタリングオプションが標準装備ですが、海外及び韓国系などには無力です。
うちのサーバーで利用しているspamassasinというフィルタツールのWindows版
SpamAssassin POP3 Proxy(SAproxy)
を使ってみました。
http://saproxy.bloomba.com/
結論としては「これは使えます!」
海外spamに悩まされている人は是非使ってみてください。
ダウンロードして普通にインストールし、起動したらConfigureで設定
●Settingタブ
Use non-local..をチェックすると、ORDBやSPAMCOPのDB参照をします。
(動作が重くなってうまく受信できない時はチェックを外しましょう)
●Languageタブ
デフォルトはすべての言語を許可になっています。これはこのままでもいいと思います。
●Host Mapタブ
110 = pop.yourdomain.ne.jp:110
"pop.yourdomain.ne.jp"はあなたが使っているpopサーバー名
を追加しないと動きません。
冒頭の"#"印はコメントアウトで、この行は無効になってます。
●Rulesタブ
設定をちょっと変えないと日本語対応になりません。
一番下に
score HEADER_8BITS<TAB>0.00
score HTML_COMMENT_8BITS<TAB>0.00
score SUBJ_FULL_OF_8BITS<TAB>0.00
score UPPERCASE_25_50<TAB>0.00
score UPPERCASE_50_75<TAB>0.00
score UPPERCASE_75_100<TAB>0.00
を追加。日本語がspamとされないためのおまじないです。
<TAB>はタブコードなので、メモ帳などのテキストエディタで作って貼り付けると
いいと思います。(そのまま入力してもTABが入らないバグあり)
未承諾という日本語文字列をspamとするには
header MISYOUDAKU<TAB>Subject =~ /L\$>5Bz/
describe MISYOUDAKU<TAB>MISYOUDAKU
score MISYOUDAKU<TAB>5.00
を追加。
メール本文に"さわやか広告社"があればspamとしたいなら
body SAWAYAKA_KOKUKOKU<TAB>/\$5\$o\$d\$\+9\-9p<R/
describe SAWAYAKA_KOKUKOKU<TAB>SAWAYAKA KOUKOKUSHA
score SAWAYAKA_KOUKOKU<TAB>5.00
といった感じになります。
abcd.ne.jpからは無条件に許す場合は
whitelist_from<TAB>*@abcd.ne.jp
逆は
blacklist_from<TAB>*@abcd.ne.jp
spammer御用達Achi-Kochiメールからの着信を拒否する場合は
header X_MAILER_Achi-Kochi<TAB>X-Mailer =~ /Achi-Kochi Mail/
describe X_MAILER_Achi-Kochi<TAB>'X-Mailer' Achi-Kochi Mail
score X_MAILER_Achi-Kochi<TAB>6
●メールクライアントの設定
Outlook ExpressでしたらPOP3サーバーを
127.0.0.1
に変更するだけでOKです。他のMUAをお使いの方はドキュメントを見てください。
●解析
受信後の解析結果がspamと認定されたら、サブジェクトに
*****SPAM*****
という文字が挿入されますので、OEの題名による振り分け機能などを使ってspam専用のフォル
ダでも作って置いて放りこみましょう。
英文系、韓国系はデフォルトで9割以上弾きます。
メールアドレスのblacklistやwhitelistも登録出来ます。
Configureを書き換えたらSpamAssassin POP3 Proxyの再起動が必要みたいです。
ローカルでメールのプロキシサーバーを立てて、そこを通過させるときにフィルタしますので
ほとんどのメールソフトで使えると思います。
ID-code:/q8xmlI5ru2(本記事は02/23-19:10に修正されました)
> 当掲示板の主旨には外れますが、海外spamをフィルタしたい人は読んでください。
>
> 最近のMUAはフィルタリングオプションが標準装備ですが、
> 海外及び韓国系などには無力です。
> うちのサーバーで利用しているspamassasinというフィルタツールのWindows版
> SpamAssassin POP3 Proxy(SAproxy)
> を使ってみました。
> http://saproxy.bloomba.com/
> 結論としては「これは使えます!」
> 海外spamに悩まされている人は是非使ってみてください。
Sakurai氏が一部を日本語訳しているようです。
http://ssss.jp/~trombik/eng/index.html
当サイトではspamの根本的な解決を目指すことを主張していますが
ISPへの通報とフィルタリングは必ずしも相反するものではありません。
フィルターでspamボックスに入れ、手が空いたときに
ISPに通報すれば良いからです。フィルタリングは
spamのメールを判断して振り分ける手間を減らし、
ISPへの通報する時間を生み出します。
で、上のツールですが...こ、これは...なんか「使える」気がする...
ID-code:/q8xmlI5ru2(本記事は02/23-21:09に修正されました)
あー、ちょっとSAproxyのまずい所発見。
http://bbs.spamstop.net/wforum.cgi?mode=allread&no=8852&page=0#8852
で文字化けが発生し、嫌な予感がしたので、過去のスパムを
自分に転送していろいろ試したところ、どうもspamと判定した場合に
いじくるヘッダや本文の操作で、メールがズタズタにされる場合がある模様。
上の文字化けはその典型として、ここ3,4ヶ月増えた
Content-Transfer-Encoding: base64
の英文スパムなどは、解読不能の文字羅列になってしまう。
HTMLなどもテキストメール化されるらしい。
spam処置依頼などをするに当たっては、spamの原型が損なわれるのは
ちょっとまずい。
#ヘッダにつくくらいなら良いのだが。
ましてやspamと判断したのだが、
万が一真っ当なメールだったら目も当てられないかもしれない。
これはバグなのだろうか、それとも仕様?
ID-code:pOoxOobGZGk
> で文字化けが発生し、嫌な予感がしたので、過去のスパムを
> 自分に転送していろいろ試したところ、どうもspamと判定した場合に
> いじくるヘッダや本文の操作で、メールがズタズタにされる場合がある模様。
>
> 上の文字化けはその典型として、ここ3,4ヶ月増えた
> Content-Transfer-Encoding: base64
> の英文スパムなどは、解読不能の文字羅列になってしまう。
> HTMLなどもテキストメール化されるらしい。
>
> spam処置依頼などをするに当たっては、spamの原型が損なわれるのは
> ちょっとまずい。
> #ヘッダにつくくらいなら良いのだが。
> ましてやspamと判断したのだが、
> 万が一真っ当なメールだったら目も当てられないかもしれない。
>
> これはバグなのだろうか、それとも仕様?
あ〜良かった…導入するか悩んでいる最中でした。
情報を感謝m(_ _)m
ID-code:/q8xmlI5ru2
> あ〜良かった…導入するか悩んでいる最中でした。
> 情報を感謝m(_ _)m
う〜ん...ちなみに私はBecky!を使っていて、
上のを使ってみたところそうなりました。
他のOEとかなら普通にいくのかもしれませんし、
よくわかりません。
「ズタズタにする」というのはちょっと適切ではなかったようです。
結論から言うと、ソースをそのままデコードせずに表示してしまう模様。
補足します。
まず、数ヶ月前から
Content-Transfer-Encoding: base64
という形式のスパムが結構増えています。
私はつい先日までは、Becky!の「ソースの表示」という
機能を使って「ヘッダ+本文」を表示し、その返信として
スパム苦情を書いていたんですが
Content-Transfer-Encoding: base64
という方式はソースが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こんなふうになっています。そのために「ソースの表示」の返信として
spam苦情が送れず、ひどく不便でした。
ただし、上の文字列はあくまで変換されているもので、多分デコード
(っていうのか?)可能です。
で、ともかく、SAproxyを導入すると
<html>
<BODY text=#000000 bgColor=#ffffff><TABLE cellSpacing=0 cellPadding=7 width="100%" border=0>
<TBODY>
<TR bgColor=#ffffff>
<TD width="67%">
<P align=center><FONT color=#ff9900 size=6><B>Snagster.com<BR>
Over 30 Million Members!</B></FONT><BR><FONT size=2><B>(Better Than Napster Could Ever Be)</B></FONT></P></TD></TR>
<TR bgColor=#ff9900>
<TD width="67%">
<TABLE width="50%" align=center border=0>
<TBODY>
<TR>
<TD>
<DIV align=left>
<P>Are you looking for the Ho
このような本文(ソースですけど)のメールが、
上のような文字列のメールになってしまうようです。
それから
<head>
<meta http-equiv="Content-Type" content="text/html; charset=x-sjis">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<title>最 終 販 売!</title>
</head>
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns="http://www.w3.org/TR/REC-html40">
<body bgcolor="#000000">
<p align="center"><font size="6" color="#FF0000">ネットショップ開業&宣伝パック</font></p>
<div align="center">
<center>
<table border="0" cellpadding="0" cellspacing="0" style="border-collapse: collapse" width="55%" id="AutoNumber1">
<tr>
<td width="100%">
<p align="center"><b><font color="#FFFF00" size="6">最 終 販 売!</font></b><p align="center">
<font color="#FFFF00"><b>2月5日販売中止させて頂きます。</b></font></td>
</tr>
</table>
のメールは
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dx-sjis">
<meta name=3D"GENERATOR" content=3D"Microsoft FrontPage 5.0">
<title>=8D=C5=81@=8FI=81@=94=CC=81@=94=84=81I</title>
</head>
<html xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns:o=3D=
"urn:schemas-microsoft-com:office:office" xmlns=3D=
"http://www.w3.org/TR/REC-html40">
<body bgcolor=3D"#000000">
<p align=3D"center"><font size=3D"6" color=3D"#FF0000">=83l=83b=83g=83V=83=87=
=83b=83v=8AJ=8B=C6=81=95=90=E9=93`=83p=83b=83N</font></p>
<div align=3D"center">
<center>
<table border=3D"0" cellpadding=3D"0" cellspacing=3D"0" style=3D=
"border-collapse: collapse" width=3D"55%" id=3D"AutoNumber1">
<tr>
<td width=3D"100%">
<p align=3D"center"><b><font color=3D"#FFFF00" size=3D"6">=8D=C5=81@=8F=
I=81@=94=CC=81@=94=84=81I</font></b><p align=3D"center">
<font color=3D"#FFFF00"><b>=82Q=8C=8E=82T=93=FA=94=CC=94=84=92=86=8E~=82=
=B3=82=B9=82=C4=92=B8=82=AB=82=DC=82=B7=81B</b></font></td>
となっちゃいました。見ると分かるように、日本語が変換されていますが、
これは実は、やはり前述と同じ問題だった「ソース」のもともとの文字列です。
もしかするとBecky!の設定で何か出来るんでしょうか。
SAproxy
の設定の方ではこれに関係する部分はなさそうでした。
ID-code:pOoxOobGZGk
> > あ〜良かった…導入するか悩んでいる最中でした。
> > 情報を感謝m(_ _)m
>
> う〜ん...ちなみに私はBecky!を使っていて、
> 上のを使ってみたところそうなりました。
> 他のOEとかなら普通にいくのかもしれませんし、
> よくわかりません。
<中略>
> もしかするとBecky!の設定で何か出来るんでしょうか。
> SAproxy
> の設定の方ではこれに関係する部分はなさそうでした。
フィルタを通さずに受信した場合には 普通に表示され、
通すと文字化けを起こすのであれば、おそらくフィルタ側が原因ではないかと…
つまり、フィルタのデコードが不完全で起きているのではないかと推測しますが、どうなんでしょうね?
こんなフィルタを各人で準備するのでは無く、
フリーライクなスパムコップの和製版でも作成し、多くのサーバーで使用して貰うってのは
構想としては不可能なんでしょうか?
ID-code:CkJudqkaXPo
> こんなフィルタを各人で準備するのでは無く、
> フリーライクなスパムコップの和製版でも作成し、多くのサーバーで使用して貰うってのは
> 構想としては不可能なんでしょうか?
http://www.rbl.jp/
で進行中ですね。
ID-code:pOoxOobGZGk
> > こんなフィルタを各人で準備するのでは無く、
> > フリーライクなスパムコップの和製版でも作成し、多くのサーバーで使用して貰うってのは
> > 構想としては不可能なんでしょうか?
>
> http://www.rbl.jp/
> で進行中ですね。
おお!凄い!完成が楽しみです。
でも、完成はいつごろ?
ID-code:CkJudqkaXPo
Rulesに
report_header<tab>1
use_terse_report<tab>1
defang_mime<TAB>0
を追加してみてください。もしかしたら変更しなくなるかもです。
ID-code:/q8xmlI5ru2
> report_header<tab>1
> use_terse_report<tab>1
> defang_mime<TAB>0
>
> を追加してみてください。もしかしたら変更しなくなるかもです。
有り難うございます〜。
しかし駄目でした。
ええっと、教わったのをきっかけに
http://www.spamassassin.org/doc/Mail_SpamAssassin_Conf.html
を見て自分でもいろいろ変えてみましたが現在のところ駄目ですね。
ええっと、このツールを使うとヘッダの終わりに
解析結果と共に
X-Spam-Prev-Content-Type: text/html; charset="iso-2022-jp"
X-Spam-Prev-Content-Transfer-Encoding: quoted-printable
とか
X-Spam-Prev-Content-Type: text/html; charset="iso-8859-1"
X-Spam-Prev-Content-Transfer-Encoding: base64
とかの表示になるんですが、ベッキーがそれを認識しないのだと思います。
他のメールは知りませんがBecky(Ver2)はエンコードされた内容をそのまま
ソースに保存していて、閲覧の時にデコードするようなんですが、
そのデコードの指針とするのに
X-Spam-Prev-
がついていては駄目なんじゃないかなあ。
私はぜんぜnエンコードとかデコードの話は知らないんですが。
Beckyの人でも単にデコードされないだけだったらいいやって人は
使ってみても良いでしょうし、他のメールソフトでは
挙動が分からないので是非試してみたらいいかもしれません。
ID-code:/q8xmlI5ru2
> Rulesに
>
> report_header<tab>1
> use_terse_report<tab>1
> defang_mime<TAB>0
うまくいかなかった後、浪人様とやり取りさせて貰ったんですが、
原因はその通りだけどやはり上の設定で出来るようになります。
私もようやく出来ました。
う〜ん、さっきは私も随分試したんですが、やっぱり
TABの入れそこないかなあ。
ということでしばらくためしてみます。
ID-code:CkJudqkaXPo
> う〜ん、さっきは私も随分試したんですが、やっぱり
> TABの入れそこないかなあ。
Configureの変更をうまく認識しない事もあるような感じです。
一旦認識してくれるとその後はうまくいきますが。
本家Spamassasinは2.50になっているので、SAProxyもそのうちアップするでしょう。
2.50では少しオプションも増え、デフォルトではspamレポートのメールが届き、
spam本体は変更を一切加えずに添付になるはずです。(たぶん)
その方がより安全ですね。
ウチのサーバーでは2.50が動いています。
ID-code:/q8xmlI5ru2(本記事は02/24-12:30に修正されました)
spam処置依頼の自動返信をspamと誤爆。
ちなみに昨日から今日にかけて届いた英文spam3通と「宣伝パック」spam1通をスパムと判定。
英文spamに関してはどちらかというと誤爆が不安?
Return-Path: <>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id MAA27904; Mon, 24 Feb 2003 12:16:12 +0900 (JST)
Received: from wobnma1-smtp1.genuity.com (wobnma1-smtp1.genuity.com [4.2.128.52])
by rcpt-impgw.biglobe.ne.jp (mnmy/3410050802) with ESMTP id h1O3GBH27900
for <staxxxx@mtb.biglobe.ne.jp>; Mon, 24 Feb 2003 12:16:11 +0900 (JST)
Received: from there (genucart.genuity.com [171.78.202.135])
by wobnma1-smtp1.genuity.com (8.12.1/8.12.1) with SMTP id h1O3G9Eq006461
for <staxxxxx@mtb.biglobe.ne.jp>; Mon, 24 Feb 2003 03:16:09 GMT
Message-Id: <200302240316.h1O3G9Eq006461@wobnma1-smtp1.genuity.com>
From: abuse@genuity.com
To: xxxx@xxx.biglobe.ne.jp
Subject: !!!Please deal with SPAM(Mason9919x@partymail.net) [DFL-C218970Z]
Date: Mon, 24 Feb 2003 03:16:09
X-Loop: spam1
X-UIDL: 799697758783875F982761905F999966875F255
X-Spam-Status: Yes, hits=6.2 required=5.0
tests=INVALID_DATE,MASS_EMAIL,NO_REAL_NAME,PLING_PLING,
SPAM_PHRASE_08_13,X_LOOP
version=2.45-cvs
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Checker-Version: SpamAssassin 2.45-cvs (1.115.2.25-2003-01-31-exp)
X-Spam-Report: 6.20 hits, 5 required;
* -0.2 -- Found a X-Loop header
* 1.5 -- Invalid Date: header (not RFC 2822)
* 1.3 -- From: does not include a real name
* 0.7 -- BODY: Talks about mass email
* 1.4 -- BODY: Spam phrases score is 08 to 13 (medium)
[score: 10]
* 1.5 -- Subject has lots of exclamation marks
Thank you for your message regarding
!!!Please deal with SPAM(Mason9919x@partymail.net)
A ticket will be opened on this issue, and it will be forwarded to the
appropriate personnel for analysis. Please note that an Abuse
Tracking Number has been included in the "Subject" line of your
message.
Please note that you are receiving this mail if you sent a complaint to
abuse@xxxgenuity.net, abuse@xxxgenuity.com, abuse@xxxbbnplanet.com,
abuse@nxxap.net, or any of the GENUITY InterNIC or ARIN contact addresses.
The most effective way to contact us with additional information
regarding this issue is to reply to this E-mail message. The return
addresses and subject information it contains will ensure your message
is routed correctly.
A limited number of copies of this message will be generated for a
given E-mail address. However, all messages are received and handled.
Direct further correspondence to:
以下略
ID-code:CkJudqkaXPo
> 英文spamに関してはどちらかというと誤爆が不安?
管理人様やここの猛者の方々は、とぢらかというと特殊な環境を必要とするのでしょう。
普通はHTMLメールはそのまま閲覧出来ない形にしてテキストとして見るようにして、
悪意あるjavaなどを無力化したりしてくれた方が安心ですから、デフォはそうなってますね。
当方のデータでは、全メール981通のうち
spamでないのにspamと認識1通
spamだが通してしまったもの22通
となっており、認識率は約98%でした。
チューニング次第ではもっと上がりますので、充分実用になります。
#sage
ID-code:/q8xmlI5ru2
そういえばこれってウイルスバスターのメール検知機能などとの
共存は出来なさそうですね。基本的にウイルスソフトと似たような
仕組みです。あとBecky!のホットメールブラグインとかとも
共存できないですね、多分。
私の場合はウイルス検知機能は外し、ホットメールはSAproxyを
通さないことにしました。
#もともと私はHTML形式をソースでしか閲覧するように
#していないのであんまり必要性を感じないせいがありますけど。
仮にOEの人でメールウイルス検知機能を外す人は以下必須。
http://earth.endless.ne.jp/users/stakasa/spam/bingdu-chuli.html
ID-code:quFGPhTLPZk
mozillaブラウザのバージョンが1.3bになってからjunk mail filterの
機能がつきました。
今一歩設定が不明なところがあるのですがなんだか適当にやっておい
たら海外系スパムはじゃんじゃんJunkフォルダに移動しています。
受信してからなのでトラフィックを減らすことにはならないのですが
大事なメールがスパムにまぎれるのを防いでくれるのはうれしい。
英語なのですが
http://www.mozilla.org/mailnews/spam.html
に説明がありました。1.3bなためまだベータバージョンですが
うちでは安定して使えています。