| [ 15385 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:jk7.pri9OFw(本記事は投稿者自身により11/13-00:31に修正されました)
こんばんは。
しばらく前から届いていたスパムで、チラチラ気にはしていたのですが
NGワードにしてやりたいぐらいのペースで受信しています。
(携帯端末なのでそれもかないませんが)
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
Received: from ExpoWin2k ([221.188.79.242])
by tgmsbmtk01sc.**********
with SMTP id <20031107194236137.ULBO.21238@tgmsbmtk01sc.**********>
for <自分のアドレス>; Sat, 8 Nov 2003 04:42:36 +0900
Date: Sat, 8 Nov 2003 04:42:36 +0900
From: 自分のアドレス
Subject: 無題
To: 自分のアドレス
Message-id: <20031107194236137.ULBO.21238@tgmsbmtk01sc.**********>
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
[221.188.79.242] <-> p4242-ipad92marunouchi.tokyo.ocn.ne.jp
(OCNに報告済みです)
ここでRecived行に着目すると、"Expowin2k"というのはこのスパム
送信者の依頼したSMTPサーバで、"tgms〜"は自分の携帯キャリアだと
いうことはわかるのですが、聞いたこともないサーバ名です。
検索してみて、紹介サイトというより単にフレーズが
含まれているように見えるサイトがヒットしました。
http://www.csharphelp.com/archives/archive122.html
ここのタイトルだけを読むと、SMTPサーバではなくクライアント?
日本のメール関連ソフトと同じものと考えていいのでしょうか…
これも悪用されたソフトの一例なのかなぁ。
う〜〜ん、ちょっとわかりません。
もう少しかき集めてみます。
ID-code:XOOTGUqUwQA
> ここでRecived行に着目すると、"Expowin2k"というのはこのスパム
> 送信者の依頼したSMTPサーバで、"tgms〜"は自分の携帯キャリアだと
> いうことはわかるのですが、聞いたこともないサーバ名です。
> > 検索してみて、紹介サイトというより単にフレーズが
> 含まれているように見えるサイトがヒットしました。
> http://www.csharphelp.com/archives/archive122.html
見てみましたが、C#によるSMTPクライアントのサンプルコードのよう
ですね。
サーバに渡すHELOの文字列がexpowin2kとなっています。
> ここのタイトルだけを読むと、SMTPサーバではなくクライアント?
> 日本のメール関連ソフトと同じものと考えていいのでしょうか…
> これも悪用されたソフトの一例なのかなぁ。
spamwareの中のSMTPサーバにメールを流し込むときのコードに、これが流用された可能性はありますが・・・
実は、SMTPの会話で、サーバに渡すHELOの文字列はクライアント側が自由に決められます。
従って、この文字列には特に意味はないと考えていいと思います。
ID-code:jk7.pri9OFw
TCEさん、ご返答いただき嬉しく思っております。
> > http://www.csharphelp.com/archives/archive122.html
> 見てみましたが、C#によるSMTPクライアントのサンプルコードのよう
> ですね。
> サーバに渡すHELOの文字列がexpowin2kとなっています。
自分、Cは(Cもか)よくわからないのですが、サイト内の構文を見るに
> private System.String _Identity = "expowin2k" ;
このあたりが直訳からなんとなく伝わってきました。
> spamwareの中のSMTPサーバにメールを流し込むときのコードに、これが流用された可能性はありますが・・・
先程の無知な発言、大変失礼致しました。m( )m
ソフトではなくコードのようですね。
> 実は、SMTPの会話で、サーバに渡すHELOの文字列はクライアント側が自由に決められます。
> 従って、この文字列には特に意味はないと考えていいと思います。
なるほど〜〜 なぜかこの言葉が多用されていたもので、
知らない事で変に気にしてしまいました。確かにおっしゃる通り
Received: from unknown (HELO **********)
など同じ送信者だけど文字列はバラバラな例も見つかりました。
言い換えるとヘッダが編集できるということですね。
大変勉強になりましたです。
ありがとうございました。
#sage
ID-code:nT5Cm6vXLS6
ws@ネット詐欺情報交換掲示板です。皆様ご無沙汰しておりますm(__)m
回答については間違いないと思うのですが補足トリビアを。
> http://www.csharphelp.com/archives/archive122.html
> 見てみましたが、C#によるSMTPクライアントのサンプルコードのよう
> ですね。
> サーバに渡すHELOの文字列がexpowin2kとなっています。
小生もCどころかプログラムに関してさっぱりなのですが
何箇所かマシンネーム(コンピューター名、compnameともいいます)が出るところがあります。
今回の場合はそのsmtpクライアントの名前が出たのだと思います。
うちのようなネット詐欺を追跡するような場合、received from xxxx
(HELO xxxx) または**********@xxxx
といった具合にxxxxのところに使っているパソコンの名前が出ることがあるのでそこである程度同一かどうかを判断することがあります。
このパソコンの名前は通常はパソコンメーカーがデフォルトで付けている機種の名前をあらわすような文字列ということが多いです。
またはご自分で名前を入力されていてそこから名前の分かるなんていうこともあります。
マシンネームを変更するソフトというのもあります。
あとウイルスに感染した場合はウイルスが任意の文字列に変更して送りつけるということもあるようです。
ある程度同一かどうか特定する際には判定基準のひとつとして利用することもある項目です。
プロバイダによって出るものが違うということもあるみたいですね。
本当に余計な雑談ですがご参考まで。
ここで同一のパソコンから送信とほぼ判定される例もありますので
自分のメールヘッダはどんなものが出るのか見ておいて損はないと思いました。
追伸:余談ですが丸の内OCNということはネットカフェの可能性も高いですね。
詐欺関係でも良く見かけるリモートホストです。
ID-code:jk7.pri9OFw
wsさん、はじめまして。Dと申します。
> うちのようなネット詐欺を追跡するような場合、received from xxxx
> (HELO xxxx) または**********@xxxx
> といった具合にxxxxのところに使っているパソコンの名前が出ることがあるのでそこである程度同一かどうかを判断することがあります。
> このパソコンの名前は通常はパソコンメーカーがデフォルトで付けている機種の名前をあらわすような文字列ということが多いです。
> またはご自分で名前を入力されていてそこから名前の分かるなんていうこともあります。
なるほど〜 情報ありがとうございます。
自分の受信スパムにはありませんが、例えばよく見かけるもので
Received from vaioなんてのもwsさんの言葉をお借りすると
compnameということでしょうね。
> 追伸:余談ですが丸の内OCNということはネットカフェの可能性も高いですね。
> 詐欺関係でも良く見かけるリモートホストです。
OCN丸の内といえばアドレス収集やスパム送信で主に使われている
ことがよく目につきますが、そういう可能性もあるわけですね。
今後の参考にさせていただきたいと思っております。
#sage