ID-code:pOoxOobGZGk

私　未熟者では御座いますが、
spamに関する特徴あるヘッダの情報を交換し合う目的でスレッドを立てさせて頂きました。

[スレッドの概要]
spamは使用される設備（ハード＆ソフト）は　独特の情報をヘッダに示す場合が多々ある様で、
特に顕著なのが[X-Mailer:]ですが、
他にも"ヘッダが独特の情報を示す場合がある"ような事を
意味していると思われる投稿をしている常連を含む投稿者様がいらっしゃいます。
その貴重な情報を交換し合えればと思いスレッドを作成した訳です。
例えば、担任様の投稿された
-----------
> TLS tunnelですな。
> 日韓以外ではもう常識というか。
-----------
と言うような情報ですね
こんな感じの情報を交換し合えればと思います。

[投稿時の注意]
下記の様に投稿頂けると分り易いと思います。
１．spamをメーラーで受信した場合のヘッダの状態
２．その受信したヘッダから導き出されるspam用の設備の詳細
３．その設備からの回避法
４．その他の詳細情報

ID-code:oPUyJszvQVY

黄泉さん、オレ今回はすごーく反省している。
山本氏の件でね、電話で話したけど良い人間だったよ。それをあんなにガチャガチャにしちゃって、もう人間やめたくなったよ。
あまりにも自分の環境と違うんでね。黄泉さんにまで迷惑かけて
まぁオレの性格だな、なんでもやり過ぎなんだよね。妥協を知らない
仕事でもそうなんだ。これで今まで生きてきたんだよ。だから自分
にとっては普通なんだよね。考え込んだよ今日。

あー嫌だ。

ID-code:pOoxOobGZGk

> 黄泉さん、オレ今回はすごーく反省している。
> 山本氏の件でね、電話で話したけど良い人間だったよ。それをあんなにガチャガチャにしちゃって、もう人間やめたくなったよ。
> あまりにも自分の環境と違うんでね。黄泉さんにまで迷惑かけて
> まぁオレの性格だな、なんでもやり過ぎなんだよね。妥協を知らない
> 仕事でもそうなんだ。これで今まで生きてきたんだよ。だから自分
> にとっては普通なんだよね。考え込んだよ今日。
>
> あー嫌だ。

自分で"間違えた"、"悪い事をした"と思ったら、
素直に"ごめんなさい"とか"悪かった"と謝れば良いんですよ。
私の記事を見てみて下さい、本当に謝罪の文章が多いですよ。
一本気な性格なんで、行き過ぎる事もしばしばです。
そして、失敗したら"ごめんなさい"です。
人間なんて不完全な存在です。
失敗するのが普通で、完璧な人間なんていやしません。
みんな同じだと思いますよ。
＃ｓａｇｅ

ID-code:tOjIOMCGlOo

> -----------
> > TLS tunnelですな。
> > 日韓以外ではもう常識というか。
> -----------
あてつけかいな。そうだな？そうだな？


一般論として X-Mailer に「私はspamwareでござい」
とバカ正直に書くツールはほとんどありません。
他のメーラーを詐称するのが一般的。


まその中でも以下のよーなものはまともとは
言い難いので、さくっと拒否していいと思いますが。

X-Mailer: {%xmailer%}
X-Mailer: CyberCreek Avalanche Millennium $*
X-Mailer: X-Mailer$*
X-Mailer: Bulker
# //cdlist.myrice.com/note/doc9912/DiffondiCool.htm,//come.to/diffondi, //www.diffondimailer.com/
X-Mailer: V3,1,6,1 (W95/NT) (Build: Oct 18 1999)
X-Mailer: DiffondiCool V3,1,2,0 (W95/NT) (Build: Jun 6 1999)
# N2SOFT spamware
X-Mailer: <X-Mail>

解説を要するようなもの…

X-Mailer: MMailer $*
mIRC のアドオンの MMailerはX-Mailerをつけないので、
これはニセモノ。

X-Mailer: The Bat! (v1.52f) Business
//www.ritlabs.com/the_bat/spammer.html
spamに使われるのはこのバージョンが多い。
本物ではなくspamwareの詐称リストに入っているものと思われる

X-Mailer: eGroups Message Poster
単独では判定不可。Received:でegroupsが含まれていなければニセモノ。

X-Mailer: Microsoft Outlook Express $-.$-.$-.$-
大人気だが単独では判定不可。本物は X-MimeOLE をつけるので
それとの合わせ技で判定。
Macintoshは事例が少ないが違う形式なので、間違って
拒否しないよう注意。
腐ったメーリングリストだとヘッダをいじくられる
こともあるので注意。

X-Mailer: MIME-tools 5.409 (Entity 5.404)
本物はContent-Transfer-Encodingをつけるので
それと合わせて判定。

X-Mailer: AOL $-.0 for Windows $*
単独では判定不可。Received:でaolを通過しているか確認。

AOLはルーターに細工がされていて、
通常発信とspamwareの直結発信では外から見える
アドレスが違うので、めんどくさければDNS PTRごと
拒否しても可、AOL自身も拒否推奨、らしい。
詳細調査せず。(aol直結spam少ないんだもん)

X-mailer: MailMan v0.1
本物は2.0以降が普通。昔のはX-Mailerをつけなかったと思う。

X-Mailer: JrdiNaZLdzWIXEQ1SzC6FAgQ
文字列不定。これはさすがにregexpでもきれいに判定するのは難しい


X-EM-Registration: ....
X-SMTPExp-Registration: ...
x-esmtp:
EMUMail がつけるもの。たぶんspamware

X-Encoding: MIME
Ralskyご愛用のspamware

X-Precedence-Ref: l234056789zxcvbnmlkjhgfqwr
知らん。明らかにhashbusterではあるが

Date: Sun, 02 Jun 2002 23:13:12 -1600
地球上に存在する時間帯は +1400 から -1100 まで。
これ以外は時刻詐称と思ってよい。

To: <xx＠xx>www.hoge.com
formmail.pl . qmail を経由してくると
<xx＠xx>, www.hoge.com＠qmail.host に書き変わるので
このパターンもチェックすべし。


以下のようなHELOのマッチングは、安易に
「迷惑メール撲滅ソフト」でざくざく消していると
大怪我することがあるので、現象や事例をちゃんと把握してから
行うこと。サーバー側でなら安全に消せるものが多い。

Received: from QRJATYDI (固定文字列)
かなり古いspamware

Received: from localhost
韓国spamwareの定番。
HELO localhost 自体は内部転送で使われていることもあるので
拒否するのは外部からの直結SMTP時に限るべし。

Received: from html
Received: from your
Received: from sender
わりと人気。

Received: from Irzxhxnge (ランダム)
大好評頒布中の Klez. 内部からの発信もチェックすべし。
普通の HELO は[a-z.]+ か [A-Z]+ なので、
[A-Z][a-z]{4,} あたりはKlezと決めうちしてもいいかも。
うちはそこまでやってませんが

KlezはMAIL FROMなども詐称するので、転送先では
拒否ではなくゴミ箱行にしないと
第三者に迷惑をかけるので注意。
(腐った「アンチウィルス」の警告返信を何度受け取ったことか…)

Received: from AFRICA
Frethem virus. 今は流行りませんが

Received: from yahoo.com ....
メールアドレスのドメイン名部分を HELO に突っ込む
spamwareは広く使われており、
HELOにまともなPTR名を入れるサーバーしか置いてない
ドメインであればこういったものは安全に弾ける。
ホスト名が入らないHELOを使うのは
hotmail.com, caramail.com, btamail.net.cn (米国spammerご愛用)
くらいか。

とりあえずyahoo系とhotmail.com,aol.com,localhost,
Message-Id不備、程度の対策で50%くらいまでは減らせるので
試してみるべし。
(Message-ID不備はメールサーバーでないと判定不可)

Received: from stylustech.com by 40WVUK4S.stylustech.com with SMTP for xx＠xx; Mon, 29 Jul 2002 13:25:02 -0800
RalskyだかEmpire Towersだかのspamware.
ホスト名の繰り返しが目印。わりと人気。

Received: from xx.xx (11070 [236.78.210.100])
by xx.xx (8.12.1/8.12.1) with ESMTP id 4516
for <xx＠xx>; Wed, 12 Feb 2003 03:13:58 +0000

jeem.mail.pv trojanがつけるにせReceived
(最近のものはつかないかも)
PTR部分の数字と "by "のスペースが目印

Received: .... IDENT:CacheFlowServer＠[nn.nn.nn.nn] ...
Received: .... IDENT:squid＠[nn.nn.nn.nn] ...
通常のメールではあり得ない経路。
わかんないひとは辞書ひいてください

CacheFlowはVer.4あたりからデフォルト閉になったのか
減ってきてはいますが


ウチんとこではもっとルールあるけど
とりあえずこの辺でいいかいな


なお、X-Mailerなどのヘッダで拒否するのは
SMTP DATA部の受信を必要とするので、
通信費盗用というspamの悪さ撲滅には

　　　　　全く

貢献していないことに注意。
いわゆる「迷惑メール撲滅ソフト」も同様。
メールサーバーで対策しないと解決になっていない。
＃ｓａｇｅ

ID-code:pOoxOobGZGk

> > -----------
> > > TLS tunnelですな。
> > > 日韓以外ではもう常識というか。
> > -----------
> あてつけかいな。そうだな？そうだな？

いいえ、純粋な探究心です。
私も意味が解らなかったので、他にも多数の有益な情報を有している方が居るだろうと思ってのスレッド立てです。

戦争では　情報の優劣で勝敗が決まる事が多々有ります。
# 戦争と表現したのは　"円滑なインターネット上の情報交換を阻害する者達"と
# "阻害する者を排除する個々"との状況が"戦争"と表現しても良いかな？と思いまして
敵の手口が解れば、それに対する対応も取り易いもの、
そして、本文以外で受信者が得る事の出来るスパマーの情報はヘッダです。
ならば、トコトンヘッダから得られる情報を得ようと言う訳です。

御協力を御願い致します。