[14957]番スレッド迷惑メール(spam)撲滅私的調査会 HTML化ログ

[掲示板に戻る] [HTML化ログ大目次へ] [ツリー一覧0029番へ]

[ 14957 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ

Date: 2003 Oct 15 07:11:52

記事No.14957/タイトル：Spamの送信元にされてしまいました(--;;;;;;
投稿日：2003/10/15(Wed) 07:11:52 / 投稿者：流しのエンジニア
★ツリー/親記事[14957]
-レス記事[14958][14959][14960][14972]

ID-code:no_id

・・んです。
個人でドメイン取得して、友人のマシンにホスティングを依頼、
コンテンツを作ってる最中に、大量のワケわからんリターンメールが
来て、ビックリしたのが先週末でした。
どーやら、ウチのサイト名でSpamらしきメールが大量に送信されて
いるようなんです。
最初はウィルスの仕業かと思い、アレコレ対策しましたが、感染の
兆候はまったく無く、どーやら、メルアド詐称で別の場所から発信
されているようです。
訳知りのヒトに聞くと、メルアド詐称はとても簡単らしいですね。
だと、管理のしようもなく、誰でも被害にあう可能性があります。
でも、他人名義の、しかもまだ稼動前のサイトの名前でそんなことして、
誰か利益があるとも思えず、手の混んだイタズラなのか、それとも
Symantecのツールにもひっかからない巧妙なウィルスなのか、まるで
わかりません。
どなたか、こーゆー事例についての情報、お持ちの方はいらっしゃいませんか？

記事No.14958/タイトル：Re: Spamの送信元にされてしまいました(--;;;;;;
投稿日：2003/10/15(Wed) 07:16:02 / 投稿者：流しのエンジニア
★ツリー/親記事[14957]＋前記事[14957]

ID-code:no_id

現在、当該サイトのメールは閉鎖しています。
（きっとSpamの流布自体には、全く効果ないと思いますが・・）
被害元とは別のメルアド、ココです→hiroshige-xcrj＠jcom.home.ne.jp

記事No.14959/タイトル：不正中継？ドメイン詐称？(Re: Spamの送信元にされてしまいました(--;;;;;;)
投稿日：2003/10/15(Wed) 09:43:41 / 投稿者：管理人
★ツリー/親記事[14957]＋前記事[14957]

ID-code:w6SZ3BprNCg（本記事は投稿者自身により10/15-09:49に修正されました）

> どなたか、こーゆー事例についての情報、お持ちの方はいらっしゃいませんか？

　当サイトが扱っている問題です。
ただし、その前に、サーバのセキュリティは
open relay
open ploxy
などに関して十分な対策を取っておられますよね？

　実際にあなた様のサーバが踏み台にされているのと
単に詐称されたのでは大きく違います。

まずは

「spam情報 = spamと不正なメール中継についての解説 =」
http://www.hart.co.jp/spam/

「open http proxyによるspam中継」
http://spam.h1r.org/openproxy.html

上を御覧になり、御自分のサーバが踏み台にされていないか
（＝半分は被害者、半分は加害者です）
確認し、
それについて十分に「自分のサーバは発信・中継に利用されていない」
と断定できるならば、当サイトの下記ページを参考に
対処を行って下さい。
　以下のページですが、まず熟読し、
もし必要ならこの掲示板で相談なさるか、
あるいはもし自力で解決なされたら、
経過報告をして下さると参考事例として大変助かります。

「スパム行為冤罪被害対策調査室
（アドレス詐称・ドメイン詐称spam冤罪被害対策調査室）」
http://antispam.stakasaki.net/laji-yuanzui.html

記事No.14960/タイトル：Re: Spamの送信元にされてしまいました(--;;;;;;
投稿日：2003/10/15(Wed) 09:43:45 / 投稿者：kazu
★ツリー/親記事[14957]＋前記事[14957]

ID-code:jxymMTCx/bo

こんにちは。

> 訳知りのヒトに聞くと、メルアド詐称はとても簡単らしいですね。
> だと、管理のしようもなく、誰でも被害にあう可能性があります。
> でも、他人名義の、しかもまだ稼動前のサイトの名前でそんなことして、
> 誰か利益があるとも思えず、手の混んだイタズラなのか、それとも
> Symantecのツールにもひっかからない巧妙なウィルスなのか、まるで
> わかりません。
> どなたか、こーゆー事例についての情報、お持ちの方はいらっしゃいませんか？

似たような事が前にありました。私の場合存在しないアドレスで
発信されたので、サーバーにリターンメールが送られてきても
User Unknownになるだけなのですが…。
結局６０万通、２週間ほど嵐が通り過ぎるのを待ってました。
もちろん発信元の中国のISPにも連絡しましたが何の返答もなく、
発信元も数百箇所あって埒があかないのであきらめてました。

まず発信元を特定してみてはいかがでしょうか。
もしかしたらご友人のサーバーにセキュリティーホールがあって
乗っ取られているのかもしれませんし、発信元のISPが特定でき
ればそこに苦情を入れて対処してもらうこともできると思います。

ところでどんな内容のメールですか？
できればヘッダーもわかればアドバイスがしやすいと思います。

#それにしても、人がスパム対応で大変なときに From:アドレスを
#鵜呑みにして苦情言われるとスパム以上にむかつきます。(^^;

記事No.14972/タイトル：Re: Spamの送信元にされてしまいました(--;;;;;;
投稿日：2003/10/16(Thu) 00:03:15 / 投稿者：友人
★ツリー/親記事[14957]＋前記事[14957]
-レス記事[14973]

ID-code:no_id

上記の書き込みにあるホスティングをしている者です。

返信いただいた内容について確認してほしいとのことなので、
直接返信させていただきます。

まず、第三者によるメール送信は、拒否する設定になってい
ますので、Open Relayになっているというわけではありませ
ん。

kazuさんが書かれているパターンで、送信ホストは世界各地
に点在しており特定のISPから大量に、というわけではなさそ
うです。（リターンメールで送られてくるオリジナルメッセー
ジのヘッダから確認）

また、送信で名乗っているFromは、ドメイン以外すべて、人
名辞書による総当りのようです。

そのため、リターンメールはこちらのサーバでもすべてUser
Unknownになっています。

詐称されたメールアドレスは、xxxxx＠example.comのようなド
メイン直下のものでした。

現在は、対策としてドメイン直下をやめ、xxxxx＠subdomain.example.com
のように、メール用のサブドメインを増やして、ドメイン直
下のメールアドレスは、MXを引けないようにしました。

それでも、まだDNSのキャッシュが効いているところには伝播
していないので、リターンメールのための接続が1分に数件の
割合で続いています。

記事No.14973/タイトル：Re^2: Spamの送信元にされてしまいました(--;;;;;;
投稿日：2003/10/16(Thu) 01:20:50 / 投稿者：管理人
★ツリー/親記事[14957]＋＋前記事[14972]

ID-code:w6SZ3BprNCg

> kazuさんが書かれているパターンで、送信ホストは世界各地
> に点在しており特定のISPから大量に、というわけではなさそ
> うです。（リターンメールで送られてくるオリジナルメッセー
> ジのヘッダから確認）

確かに
http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050302
にも書いたように、大元のネット業者を把握できない場合もあります。

　サーバ管理をしておられるなら
見落としはないとは思いますけれども、
もしよろしければヘッダ、すなわち
エラーメールとして報告された中のもともとのspamのヘッダを
５～10個ほど載せて頂くとこちらの参考になるかもしれません。。

　分かっておられると思いますが、それらを片っ端から
http://antispam.stakasaki.net/tools/hdpar-fr.html
に突っ込んでみて、少しでも共通の、
といいますか、なるべく多くの共通の
サーバのIPがないかどうかを確認するということなわけですね。

　で、それらを見てもやはり大元のネット業者を把握できず、
spam送信で中継された（世界中の）サーバのIPしか分からない場合には．．．

> 詐称されたメールアドレスは、xxxxx＠example.comのようなド
> メイン直下のものでした。
>
> 現在は、対策としてドメイン直下をやめ、xxxxx＠subdomain.example.com
> のように、メール用のサブドメインを増やして、ドメイン直
> 下のメールアドレスは、MXを引けないようにしました。
>
> それでも、まだDNSのキャッシュが効いているところには伝播
> していないので、リターンメールのための接続が1分に数件の
> 割合で続いています。

すでに今回は状況を判断して柔軟な対応をなさっているわけで、
非常に妥当だと思いますが、
あと出来ることとしては、
今までの私の経験（というか相談例）でいうならば
－－－
１．（もし極力エラーメールを減らしたいならば）
spamを受け取って、エラーメールを返してくるところが、
単一のネット業者すなわちhotmailやaol、もしくは
日本の大手プロバイダーなど。
いくつかに絞ることが出来ないかを確認する。
　もし絞れる場合、それらのサーバ管理者にきちんと
状況を伝えれば、
「流しのエンジニア様」と御友人達のサーバへの、
そのspam絡みのエラーメールを
とりあえず送ってこなくなるようにしてくれるのが
一般的なようである。

２．もし英語でメールを書くことが苦痛でないなら、
上でおっしゃっている
「世界各地に点在している」中継サーバのうちどれか
適当な所のサーバ管理者に、
もし英語があまり得意でないなら
中継サーバのうち、日本のサーバのものを探して
そこサーバ管理者に、状況を伝え、中継のログから
大元のネット業者（IP）をお尋ねになることをお勧めします。

　ただし不正中継されているようなサーバの管理人ですので
状況を理解し、またきちんとログなどを解析できるとは限りません。
－－－

　今回の場合は、既にお取りになった措置によって、
しばらくしたら詐称はやむのではないかと思います。
常に出来る方法ではないとはいえ、
適切な処置をお取りになりましたね、
覚えている限りではそのような対処をした、
あるいは方法の一つとして
アドバイスされたことはなかったと思います。

（まあもっとも、今まで周知させてきたドメイン直下の
メアドが一時的とはいえ使えなくなるわけですので、
普通はなかなか使えませんかね、汗）

　この手の詐称の際の対処ですけれども、
今まで見聞きする話では、詐称された側が何らかの形で抵抗しないと
ずるずると何週間、何ヶ月も詐称を続けられてしまう場合があるようです。
考えてみればそりゃそうで、

　spammerはエラーメールのゴミ箱として詐称ドメインを使っているのですから
ゴミ箱がひたすらエラーメールを受け付けてくれる限り、
そのゴミ箱を使うのを止めようとはしませんし、
彼らに取ってみれば止める必要もありません。
彼らが止めようと言う気になるのは
そのゴミ箱が少しでも使いにくくなった場合なのです。

　ゴミ箱として選んだドメイン（もしくはメールアドレス）は
適当に選んだだけですので、少しでも抵抗されれば
さっさと変えてしまいます。
　本当に困ったものですね。

　もしよろしければ事後報告をして頂ければ有り難いです。
IPAでもアドレス・ドメイン詐称の報告を受け付けています。
http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050304

[掲示板に戻る] [HTML化ログ大目次へ][ツリー一覧0029番へ]
bokumetusiteki