[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0034番へ]
[ 17331 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2004 May 03 12:52:35
記事No.17331/タイトル:発信元・返信先詐称による被害
投稿日:2004/05/03(Mon) 12:52:35 / 投稿者:せいきち
★ツリー/親記事[17331]
-レス記事[17332][17343][17364][17400][17409][17411][17428][17433][17436][17445][17448][17451][17488][17491][17498][17504][17528][17542][17577]

ID-code:lwRj9ghOVmM

 初めまして。ちょっと困った事態になっておりますものでこちらに投
稿させていただきます。過去ログ1326番のかたとよく似た状況のような
のですが、一昨日の晩あたりから、当方のメールボックスに英国のサー
バーかららしい配信不能報告が続々と届いております。10分ほどの間に
5通前後、多いときには1時間で50通程度届くこともあります。

 最初は何がなんだか分からず混乱したのですが、一部の配信不能報
告には配信できなかったメール自体が引用されており、そのメールがア
ダルトコンテンツか何かにみせかけてexeファイルをダウンロードさせ
ようという悪質なものであり、そのヘッダを検討したところ当方のアド
レスが
発信元と返信先に詐称されていることがわかりました。
 メーラーの設定でこれらのメールは受信直後に自動分別・排除して
いるのですが、五年以上も仕事で使用している当方のアドレスがこのよ
うなメールの発信元に詐称されているのははなはだ迷惑で正直頭が痛い
状況です。
 何とか対処したいのですが、良いお知恵はありませんでしょうか?

 なお、以下に「当方が発信した」ことになっているメールのヘッダ
を二通ほど引用します。

-----その1

Return-Path: <*****@****.ne.jp> ←当方のメールアドレス
X-Rocket-Spam: 68.113.201.85
X-YahooFilteredBulk: 68.113.201.85
X-Rocket-Track: 1: 100 ; SFLAG=OPENRELAY ; IPCR=g-w0,n0,g100 ;
IP=68.113.201.85 ; IPV=1083153145 ; SERVER=217.12.12.165
X-Originating-IP: [68.113.201.85]
Return-Path: <*****@****.ne.jp> ←当方のメールアドレス
Received: from 68.113.201.85 (HELO 68.113.201.85.ts46v-02.mhe2
.ftwrth.tx.charter.com) (68.113.201.85)
by mta811.mail.ukl.yahoo.com with SMTP; Fri, 30 Apr 2004 14:5
5:24 +0000
Date: Sat, 01 May 2004 17:54:04 +0200
From: "Justine Abbott" <*****@****.ne.jp> ←当
方のメールアドレス(名前は別人です)
Subject: How was your vacation?
To: m*****@btopenworld.com, m*****@btopenworld.com, m*****@btop
enworld.com, m*****@btopenworld.com, m****@btopenworld.com, m***
**@btopenworld.com, m*****@btopenworld.com, m*****@btopenworld.c
om ←「m」で始まる同じサーバー内のアドレス
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii

<html><table border="1" width="11%"
; bgcolor="#CF2D78" height="79"> <tr&
gt;<td width="100%" height="73"><p
align="center"><a href="ttp://gvg%2Esite%2E
voila%2Efr/FreeTeenMovies.exe"><img border="0&q
uot; src="ttp://gvg%2Esite%2Evoila%2Efr/f.jpg" width=&
quot;145" height="273"></a>
<p align="center"><a href="ttp//g
vg%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"></a>&l
t;/td></tr></table><br><br><br>
ssw plead cod violin ft tarzan carib whimper
(以下、英文ではなく英単語の羅列)

-----その2

Return-path: <*****@****.ne.jp> ←当方のメールアドレス
Received: from chicken ([194.247.64.31] helo=pop.scotland.net)
by smtp.scotland.net with esmtp (Exim 3.36 #1)
id 1BKI3y-00071L-00
for d*****@tullibody.sol.co.uk; Sun, 02 May 2004 15:35:2
6 +0100
Received: from [194.247.65.132] (helo=relay.scotland.net)
by pop.scotland.net with esmtp (Exim 3.36 #3)
id 1BKI3y-0000gx-00; Sun, 02 May 2004 15:35:26 +0100
Received: from [24.91.247.39] (helo=h0007e9727f9e.ne.client2.at
tbi.com)
by relay.scotland.net with smtp (Exim 3.36 #2)
id 1BKI3x-0000BT-00; Sun, 02 May 2004 15:35:25 +0100
Date: Thu, 02 Sep 2004 13:22:49 -0100
From: "John Harrison" <*****@****.ne.jp> ←当
方のメールアドレス(名前は別人です)
Subject: Re: remeber the other day whenn we talked on the phone
??
To: d*****@almac.co.uk, d*****@almac.co.uk, d*****@almac.co.uk,
d*****@almac.co.uk, d*****@almac.co.uk, d*****@almac.co.uk,
d*****@almac.co.uk, d*****@almac.co.uk ←「d」で始まる同じサー
バー内のアドレス
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Message-Id: <E1BKI3x-0000BT-00@relay.scotland.net>



<html><table border="1" width="11%"
; bgcolor="#CF2D78" height="79">
<tr><td width="100%" height="73"&g
t;<p align="center"><a
href="ttp://deyt%2Esite%2Evoila%2Efr/FreeTeenMovies.exe&q
uot;><img
border="0" src="ttp://deyt%2Esite%2Evoila%2Efr/f
.jpg?decennial"
width="145" height="273"></a>
<p align="center"><a
href="ttp://deyt%2Esite%2Evoila%2Efr/FreeTeenMovies.exe&q
uot;></a></td></tr></table><br>
khaki<br>reeve<br>victory
(以下、英文ではなく英単語の羅列)


記事No.17332/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/03(Mon) 13:27:49 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17334][17399]

ID-code:w6SZ3BprNCg

取りあえずですけど。

>  初めまして。ちょっと困った事態になっておりますものでこちらに投
> 稿させていただきます。過去ログ1326番のかたとよく似た状況のような
> のですが、一昨日の晩あたりから、当方のメールボックスに英国のサー
> バーかららしい配信不能報告が続々と届いております。

 当サイトで扱っている問題です。下記ページを熟読して対処を行って下さい。

スパム行為冤罪被害対策調査室
(アドレス詐称・ドメイン詐称spam冤罪被害対策調査室)
http://antispam.stakasaki.net/laji-yuanzui.html

 上のページを熟読し、それでも分からない点があれば、
この掲示板で再び相談して下さい。
 最後、問題がほぼ解決した場合には、事後報告を下さると
有り難いです。


記事No.17334/タイトル:[resage]Re^2: 発信元・返信先詐称による被害
投稿日:2004/05/03(Mon) 14:15:50 / 投稿者:せいきち
★ツリー/親記事[17331]++前記事[17332]
-レス記事[17336]

ID-code:5wzJOM2KDzk

>  当サイトで扱っている問題です。下記ページを熟読して対処を
行って下さい。
>
> スパム行為冤罪被害対策調査室
> (アドレス詐称・ドメイン詐称spam冤罪被害対策調査室)
> http://antispam.stakasaki.net/laji-yuanzui.html
>
>  上のページを熟読し、それでも分からない点があれば、
> この掲示板で再び相談して下さい。

 さっそく拝見させていただき、発信元あるいは経由していると思わ
れる業者の苦情受付先にそれぞれ連絡いたしました。事態が好転するこ
とを祈るばかりです。

>  最後、問題がほぼ解決した場合には、事後報告を下さると
> 有り難いです。

 解決後に御報告できることを願っております。失礼いたしました。


記事No.17336/タイトル:Re^3: 発信元・返信先詐称による被害
投稿日:2004/05/03(Mon) 15:24:20 / 投稿者:管理人
★ツリー/親記事[17331]+++前記事[17334]
-レス記事[17338]

ID-code:w6SZ3BprNCg

> >  当サイトで扱っている問題です。下記ページを熟読して対処を
> 行って下さい。
> >
> > スパム行為冤罪被害対策調査室
> > (アドレス詐称・ドメイン詐称spam冤罪被害対策調査室)
> > http://antispam.stakasaki.net/laji-yuanzui.html
> >
> >  上のページを熟読し、それでも分からない点があれば、
> > この掲示板で再び相談して下さい。
>
>  さっそく拝見させていただき、発信元あるいは経由していると思わ
> れる業者の苦情受付先にそれぞれ連絡いたしました。事態が好転するこ
> とを祈るばかりです。

 書き忘れていたことがあります。最近の英文spamは
悪質化しているので、本当の大元のネット業者が
分からないことが多いかもしれません。
 基本的には「大元あるいは中継のネット業者への連絡」が
大事ですが、取りあえずエラーメールを減らす為に
エラーを返してきているネット業者に「お願い」する方法があります。
 一応そのことについて

5.3.3 取りあえずエラーメールの量を減らす

という文章を付け足しておきました。
http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050303


記事No.17338/タイトル:Re^4: 発信元・返信先詐称による被害
投稿日:2004/05/03(Mon) 15:56:16 / 投稿者:せいきち
★ツリー/親記事[17331]++++前記事[17336]

ID-code:5wzJOM2KDzk

>  書き忘れていたことがあります。最近の英文spamは
> 悪質化しているので、本当の大元のネット業者が
> 分からないことが多いかもしれません。
>  基本的には「大元あるいは中継のネット業者への連絡」が
> 大事ですが、取りあえずエラーメールを減らす為に
> エラーを返してきているネット業者に「お願い」する方法があり
ます。
>  一応そのことについて
>
> 5.3.3 取りあえずエラーメールの量を減らす
>
> という文章を付け足しておきました。
> http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050
303

 重ね重ねありがとうございます。大多数のエラーメールは単一のネ
ット業者から送られているものですので、そちらまで連絡してみようと
思います。
#sage


記事No.17399/タイトル:詐称されたアドレス
投稿日:2004/05/08(Sat) 07:10:36 / 投稿者:仔鹿
★ツリー/親記事[17331]++前記事[17332]

ID-code:t/QWNYpcRm6

こんにちは。またまた初歩的な質問で申し訳ないです。
よく、yahooやhotmailのアドレスを騙ったspamが
来ますが、yahooやhotmailなどの詐称された所って
困ってないのでしょうか?

以前、spamが来たときに送信元のアドレスを詐称されたyahoo
に報告したら、「アドレスを詐称されていますよ。」と
連絡したのに、見当違いの返信があったことを記憶しております。


記事No.17343/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/04(Tue) 16:34:35 / 投稿者:すぎっち
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17346]

ID-code:pNpkKtb.cwo

はじめまして。わたしもせいきちさんと同様に5月3日の夜からイギリス・アメリカのサーバーを経由していると思われるアドレス詐称(私のアドレスを使用)メールのreturnが着ています。昨日からもう100通近いと思います。以下にその一部を示します。

Return-Path: <私のメールアドレス>
Received: (qmail 31901 invoked from network); 4 May 2004 01:40:53 -0000
Received: from cpe-69-75-65-245.dc.rr.com (69.75.65.245)
by 0 with SMTP; 4 May 2004 01:40:53 -0000
Date: Sun, 04 Apr 2004 20:44:21 -0700
From: "知らない外人の名前" <私のメールアドレス>
Subject: I think you are interested
To: ****@onmail.co.uk, ****@onmail.co.uk, ****@onmail.co.uk, ****@onmail.co.uk, ****@onmail.co.uk, d**nd@onmail.co.uk
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii

とか,

--- Original message follows.

X-YahooFilteredBulk: 221.166.139.133
X-Originating-IP: [221.166.139.133]
Return-Path: <私のメールアドレス>
Received: from 221.166.139.133 (HELO 195.50.106.135) (221.166.139.133)
by mta812.mail.ukl.yahoo.com with SMTP; Mon, 03 May 2004 18:49:07 +0000
Date: Fri, 03 Sep 2004 11:37:26 -0700
From: "Frank Herron" <私のメールアドレス>
Subject: Re: remeber the other day whenn we talked on the phone??
To: *****@btinternet.com, dia***c@btinternet.com, d***amd@btinternet.com, d*****organ@btinternet.com
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii



<html><table border="1" width="11%" bgcolor="#CF2D78" height="79"> <tr><td width="100%" height="73"><p align="center"><a href="http://qty%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"><img border="0" src="http://qty%2Esite%2Evoila%2Efr/f.jpg" width="145" height="273"></a>
<p align="center"><a href="http://qty%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"></a></td></tr></table><br><br><br>ratiocinate antithetic benzedrine creole showroom propitiate beverage adjudge
vault guiding kate tuck collegian asset kingbird accumulate
bacon reginald polyhedral logician caliph elisabeth litterbug cutback
influenza carrara push pedagogue celluloid camaraderie abolition pittsburgh
angus cannel ahmadabad circuit civet dissension complementation dilate strive inseparable levity
offprint euler coffee curb pestilential accrual methanol freedom
jitterbugger feet mortician nadia blackwell vasquez onrush screechy
benjamin citric highland blimp shantung rowland tollhouse maxima combatant magruder sixfold
treble hawthorn scour chinamen ks military showmen arsenal
bernstein bishop ombudsman allemand confectionery jugoslavia bunkmate springe
platelet marcel blueberry coven asceticism kathy coppery bates paean cramp nineteenth
codeword handhold piper bye marquis write accredit electrify
boathouse countersunk ignorant parishioner cetera eureka handwaving birthday
candidate acquaint bract iran adequacy boltzmann alway perspicuous</html>



*** MESSAGE TRUNCATED ***

心当たりがないのですが対策はあるのでしょうか?


記事No.17346/タイトル:日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 21:48:24 / 投稿者:管理人
★ツリー/親記事[17331]++前記事[17343]
-レス記事[17350][17351][17352][17353][17426]

ID-code:w6SZ3BprNCg

うっ、私のBIGLOBEメアドも詐称され始めたっぽい。
4日午前3時頃から始まり、今までに40通ほどのエラーメールが
届いています。
 私の場合には
freeserve.com
へのspamが多いようで、特にそこからエラーメールが届いています。

> 心当たりがないのですが対策はあるのでしょうか?

 アドレス詐称は特に心当たりが無くても行われます。

 spammerは自分がエラーメールを受け取りさえしなければ構わないので
適当に、本当の意味(?)で「てきとー」に、詐称するメアドを選び出すようです。
今まで話に聞いたことはありませんが、
仮に意図的に選ぶとしたら、皆様よりも、
antispammerとしてネット上で活動している私などが選ばれてしまうでしょうね。

 対処については既に紹介している

> スパム行為冤罪被害対策調査室
> (アドレス詐称・ドメイン詐称spam冤罪被害対策調査室)
> http://antispam.stakasaki.net/laji-yuanzui.html

を熟読し、適宜対処して下さい。疑問があればこのスレッドにて
質問して下さい。


記事No.17350/タイトル:Re: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 22:12:03 / 投稿者:管理人
★ツリー/親記事[17331]+++前記事[17346]

ID-code:w6SZ3BprNCg

> うっ、私のBIGLOBEメアドも詐称され始めたっぽい。

 くまたろう氏の掲示板でも報告が出ています。
http://www.kumat.com/cgi-bin/hmbbs2/smokedx.cgi
#sage


記事No.17351/タイトル:Re: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 22:14:02 / 投稿者:すぎっち
★ツリー/親記事[17331]+++前記事[17346]

ID-code:pNpkKtb.cwo

お返事ありがとうございます。私の方もfreeserve.comを介したものも多数返ってきています。現時点では地道ながらヘッダーを参考に管理者宛にメールを送っています。ちなみに先ほどはnasa.govを経由したものと思われるものもきはじめています。


記事No.17352/タイトル:Re: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 22:31:41 / 投稿者:すぎっち
★ツリー/親記事[17331]+++前記事[17346]

ID-code:pNpkKtb.cwo

追加させていただきます。先ほどからはrecieved:**のあとが幅広いIPになっているものも来ています。これでは管理者にメールとも行きませんがいかがでしょうか?

------ This is a copy of the message, including all the headers. ------

Return-path: <私のメアド>
Received: from [67.11.240.66] (helo=cs6711240-66.satx.rr.com)
by mx6.123-reg.co.uk with smtp (Exim 3.36 #4)
id 1BKzic-0008Eo-00; Tue, 04 May 2004 14:12:20 +0100
Received: from 78.36.97.10 by 67.11.240.66; Wed, 05 May 2004 19:15:06 +0400
From: "Barton Hess" <私のメアド>
Reply-To: "Barton Hess" <私のメアド>
To: email@stevedennis.**.uk, email@stevedennis.**.uk, email@stevedennis.**.uk
Subject: why are you always offline? miocene
Message-ID: <FJBPMBFKDAJFEXINWJQH@yahoo.com>
Date: Wed, 05 May 2004 20:18:06 +0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--741243867059273"
X-Priority: 3
X-MSMail-Priority: Normal

----741243867059273
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><table border="1" width="11%" bgcolor="#CF2D72" height="79"> <tr><td width="100%" height="73"><p align="center"><a href="http://dmmr%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"><img border="0" src="http://dmmr%2Esite%2Evoila%2Efr/f.jpg" width="145" height="273"></a>
<p align="center"><a href="http://dmmr%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"></a></td></tr></table><br><br><br>
英単語の羅列</html>

----741243867059273--


記事No.17353/タイトル:Re: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 22:58:14 / 投稿者:一体全体
★ツリー/親記事[17331]+++前記事[17346]
-レス記事[17354]

ID-code:no_id

うちにも、5月4日午前3時台から来始め、今も続々と来ているようです。やはり
freeserve.comからのエラーメールが一番多く、次はbtinternet.comで、ほかにもいろ
いろあります。
spamcopのアドレスを取得して、それをフィルタに使っているのですが、こういう
エラーメールはspamcopをすり抜けてしまうのだということがわかりました。
ここの掲示板で見ても被害者が複数のようですから、そのうち終息するだろうと、
ちょっと安堵しております。
#sage


記事No.17354/タイトル:Re^2: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 23:18:25 / 投稿者:管理人
★ツリー/親記事[17331]++++前記事[17353]
-レス記事[17356][17360][17430]

ID-code:w6SZ3BprNCg

> ここの掲示板で見ても被害者が複数のようですから、そのうち終息するだろうと、
> ちょっと安堵しております。

 いや、あまり安心は出来ないです。
今回は私も初めて被害に遭っているわけですが
今までの相談事例では、何もしていないと
spammerがそれを良いことに徹底的に詐称アドレスを悪用する傾向がありました。

 あくまで今までの相談での経験ですが、どちらかというと
ジタバタした方が解決が早かったような感じです。

 今回、私も含めて
freeserve.com
からのエラーが多いようですが、少しでも余裕のある方は
そこへ連絡してエラーを止めて貰うように言うべきかと思います。
hotmailの場合
http://www.interq.or.jp/dragon/stakasa/spam/wforum-data/yuanzui1113.htm
や、別な事例で有効な場合がありました。

 spamの受け手側のネット業者は、エラーを出さなくするだけでなく、
送ってきている所に対して、spam発信者が分かるくらいの措置を何かするのかも。
#ってしようがない?

 ちなみに私ですけど、他の方との比較と、
アドバイスページの制作上、実際の被害に遭った場合のサンプルとして
もう少しエラーメールを集めたいので1〜2日はアクションを
取らずに様子を見ようと思っていますけど。
#そんな余裕をかましていていいのだろうか....


記事No.17356/タイトル:Re^3: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/04(Tue) 23:44:07 / 投稿者:せいきち
★ツリー/親記事[17331]+++++前記事[17354]

ID-code:IlluPhLWrhY

 せいきちです。書き込ませていただいてから一日経ちましたが、やは
り御同憂のかたがおられましたか。

>  いや、あまり安心は出来ないです。
> 今回は私も初めて被害に遭っているわけですが
> 今までの相談事例では、何もしていないと
> spammerがそれを良いことに徹底的に詐称アドレスを悪用する傾
向がありました。
>
>  あくまで今までの相談での経験ですが、どちらかというと
> ジタバタした方が解決が早かったような感じです。
>
>  今回、私も含めて
> freeserve.com
> からのエラーが多いようですが、少しでも余裕のある方は
> そこへ連絡してエラーを止めて貰うように言うべきかと思います

> hotmailの場合
> http://www.interq.or.jp/dragon/stakasa/spam/wforum-data/yu
anzui1113.htm
> や、別な事例で有効な場合がありました。
>
>  spamの受け手側のネット業者は、エラーを出さなくするだけで
なく、
> 送ってきている所に対して、spam発信者が分かるくらいの措置を
何かするのかも。
> #ってしようがない?

 当方では、スパムの発信または経由に関わっていそうな業者、また
エラーメールを返してくる業者のいくつかに調査をお願いするメールを
送付しましたころ、果たしてその効果かどうかはわかりませんが昨日よ
りはだいぶ沈静してきました。送信先は下記の通りです。

abuse@attbi.com
abuse@charter.net
ipreg@nauticom.net
abuse@comcast.net
abuse@rr.com
abuse@cogeco.net
internet.abuse@sjrb.ca
uk-abuse@yahoo-inc.com
mail-abuse@yahoo-inc.com
support@bt.net
abuse@btopenworld.com

 このうち現在までに自動返信以外の返答があったのはyahooでしたが
、「yahooからの発信ではないのでこちらとしても何ともできません」
といった内容でした。
 エラーメールの返送が止まないのは主にbtinternet.com、btopenwor
ld.comですね……と書こうとしましたが、確認してみたところ最近30分
ほどはどこからもエラーメールが送られてきていませんでした。

 ともあれもうちょっと様子を見ます。


記事No.17360/タイトル:Re^3: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/05(Wed) 00:50:42 / 投稿者:一体全体
★ツリー/親記事[17331]+++++前記事[17354]

ID-code:gZjmu3nRu1k

アドヴァイス、ありがとうございました。ジタバタすることにいたします。

こんなにたくさんエラーを返していると、被害者の数によっては、たいそうな、
ネットの迷惑にもなっているでしょう。早くとめてもらった方が世のためでもありますね。
とりあえず、abuse@freeserve.com、abuse@btopenworld.comに、依頼を出しました。
と書いている間に、royalmail.co.ukから5通のエラーメッセージが来てるし。。。

それから、すぎっちさんが「エラーメールを止めて」と依頼すべき先は、せいきちさんもすでに出したとおっしゃっている、abuse@rr.comではないかと思うのですが、いかがでしょう。


記事No.17430/タイトル:当方・管理人へは小康状態に2(Re^3: 日本のメアド詐称被害増大中?)
投稿日:2004/05/09(Sun) 21:05:32 / 投稿者:管理人
★ツリー/親記事[17331]+++++前記事[17354]
-レス記事[17437]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/10-16:52に修正されました)

> もう少しエラーメールを集めたいので1〜2日はアクションを
> 取らずに様子を見ようと思っていますけど。
> #そんな余裕をかましていていいのだろうか....

http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17414
で書いたように小康状態になったのですが
mail.ukl.yahoo.com
からのエラーはポツポツ続いています。

 こういう場合、実際にはmail.ukl.yahoo.comはアクションを既に取ったのだけど
アクションを取る前のspamに関するエラーメールが
遅れて届く場合があります。
 しかしなががら今回気になるのはポツポツ届く元のspamのヘッダを
見るとリアルタイムで送られているようで、すなわち
mail.ukl.yahoo.com
が対処をしているのではない可能性があります。

 よって3回目の対処要請を
mail.ukl.yahoo.com
に出しておきました。
 電子メールの使用に基づいてエラーメールを返す
mail.ukl.yahoo.comには責任が直接あるわけではないのですが
まともに対処し、更に効果が出るのは取りあえず
そこが一番な気がしますので。

 ということで余裕をかましていられる状況じゃなくなりました。
しかも一番大事なメインプロバアドレスですし(トホホ)

 ちなみに
MAILER-DAEMON@me.freeserve.com
からはぴたっと届かなくなって28時間になります。
こちらは対処してくれたと考える方が良さそうです。
ここからのがまだ続いている方いますか?

 こういう場合、私宛だけのものだけ対処するのか
同じ発信者らしき者からの同様なメールについて
一律同じアクションを取るのか、興味深かったのですが。


記事No.17437/タイトル:Re^4: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害)
投稿日:2004/05/10(Mon) 03:44:06 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]++++++前記事[17430]
-レス記事[17447]

ID-code:pW6x64vR1eI

> MAILER-DAEMON@me.freeserve.com
> からはぴたっと届かなくなって28時間になります。
> こちらは対処してくれたと考える方が良さそうです。
> ここからのがまだ続いている方いますか?

 私のところにでは、2004/05/09 23:39にエラーメールがきています。
 Arrival-Date: Sun, 9 May 2004 16:39:27 +0200 (CEST)のエラーということになってますね。

 全体としては小康状態ですが、単に休みだったような気もしますね。ポツポツとエラーは届いているので……


記事No.17447/タイトル:当方・管理人へは小康状態に3(Re^5: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害))
投稿日:2004/05/10(Mon) 15:16:14 / 投稿者:管理人
★ツリー/親記事[17331]+++++++前記事[17437]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/10-16:51に修正されました)

> > MAILER-DAEMON@me.freeserve.com
> > からはぴたっと届かなくなって28時間になります。
> > こちらは対処してくれたと考える方が良さそうです。
> > ここからのがまだ続いている方いますか?
>
>  私のところにでは、2004/05/09 23:39にエラーメールがきています。
>  Arrival-Date: Sun, 9 May 2004 16:39:27 +0200 (CEST)のエラーということになってますね。

若干訂正します。

freeserve.com
からのエラーメールですが
Sat, 08 May 2004 16:21:08 +0900 (JST)
に来た以降、一通もないと書きましたが30時間ほど経った後に
以下の2通が届きました。

Sun, 09 May 2004 22:41:16 +0900 (JST)
Sun, 09 May 2004 21:50:30 +0900 (JST)

 しかしながらその後届いていません。
それからお馴染みの
ukl.yahoo.com
からのメールですが

Mon, 10 May 2004 03:24:51 +0900 (JST)
Mon, 10 May 2004 01:21:59 +0900 (JST)

を最後に届いていません。
そして他からのものですが

Mon, 10 May 2004 04:44:28 +0900 (JST)
Mon, 10 May 2004 04:18:36 +0900 (JST)

を最後にやはり届いていません。予断は出来ませんが
当方へのエラーメールは確実にその量を減らしているようです。
英国または米国の休日が完全にあける今晩から明日の動向が勝負になりそうです。


記事No.17426/タイトル:詐称被害エラーメールのサンプル(Re: 日本のメアド詐称被害増大中?(Re^2: 発信元・返信先詐称による被害))
投稿日:2004/05/09(Sun) 19:34:48 / 投稿者:管理人
★ツリー/親記事[17331]+++前記事[17346]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/09-19:37に修正されました)

> うっ、私のBIGLOBEメアドも詐称され始めたっぽい。

参考までに私に届いたエラーメールのサンプルをあげておきます。

-------------------------------------------------------------------------------
1■■MAILER-DAEMON@btinternet.comから来ているmail.ukl.yahoo.com発のエラーメール

Return-Path: <>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id OAA02560; Sat, 08 May 2004 14:36:36 +0900 (JST)
Received: from mta807.mail.ukl.yahoo.com (mta807.mail.ukl.yahoo.com [217.12.12.151])
by rcpt-impgw.biglobe.ne.jp (nkrw/4717090404) with SMTP id i485aYo02533
for <xxx@xxx.biglobe.xx.jp>; Sat, 8 May 2004 14:36:35 +0900 (JST)
Date: Sat, 8 May 2004 14:36:35 +0900 (JST)
Message-Id: <200405080536.i485aYo02533@rcpt-impgw.biglobe.ne.jp>
From: MAILER-DAEMON@btinternet.com
To: xxx@xxx.biglobe.xx.jp
X-Loop: MAILER-DAEMON@btinternet.com
Subject: Delivery failure
X-UIDL: 799594918563645F863894175Fc99997U55F255
X-Text-Classification: spam-r
X-POPFile-Link: http://127.0.0.1:8080/jump_to_message?view=popfile25229=6.msg

Message from btinternet.com.
Unable to deliver message to the following address(es).

<colfam@btinternet.com>:
unable to complete delivery, server [194.73.73.127:25] said: '550 Unknown local part colfam in <colfam@btinternet.com>' (RCPT TO:<colfam@btinternet.com>).

--- Original message follows.

X-Originating-IP: [67.20.83.139]
Return-Path: <xxx@xxx.biglobe.xx.jp>
Received: from 67.20.83.139 (HELO ca-crlsca-cuda3-c10bb-139.crlsca.adelphia.net) (67.20.83.139)
by mta807.mail.ukl.yahoo.com with SMTP; Sat, 08 May 2004 05:36:23 +0000
Received: from 209.25.214.200 by 67.20.83.139; Thu, 13 May 2004 22:25:40 -0700
From: "Mamie Childress" <xxx@xxx.biglobe.xx.jp>
Reply-To: "Mamie Childress" xxx@xxx.biglobe.xx.jp>
To: coley007@btinternet.com
Subject: Re: I didn't feel good last week mckee
Date: Fri, 14 May 2004 10:25:40 +0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--761389065925078979"
X-Priority: 3
X-MSMail-Priority: Normal

----761389065925078979
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html>Loading please wait...<br><a href="http://qin%2Esite%2Evoila%2Efr/FrreeTeenMovies.exe"><img border="0" src="http://qin%2Esite%2Evoila%2Efr/a.jpg" width="190" height="162"><img border="0" src="http://qin%2Esite%2Evoila%2Efr/b.jpg" width="190" height="163">
</a><br><br><br>schism cool adverbial telephony alliance suppress cinnamon alton
abacus douglas clinch delphinium patsy class greek iniquitous
warden circuitry laborious hold committal saltwater armillaria askance
constellate bladdernut consolation hutchison convalescent landlord employ indissoluble
alcmena orbit functor precis paramount height amply landlord weather avocation bogota
antigone millions bulb elephant altern backplane compensate contend
bender cookbook dorcas lifo chopin bess denny skyrocket
perturbation polytechnic matins extraterrestrial blowback bondage venerable communicant stir delphic london
creek alfonso ophthalmology tasting cupidity nicotine convenient rankine
puffed easel canaveral portulaca joyce opprobrium healthful budget
terre decommission iniquitous charlottesville dactyl bradshaw discretionary nerve acknowledge ptolemy ahoy
conscript contact unkempt affinity yuki bacchus sled contaminant
viva shish linotype rise circulant cheek congregate retrovision
ferromagnet yawn madhouse orphic mackinaw sadism drought ellwood</html>

----761389065925078979--
*** MESSAGE TRUNCATED ***


.
-------------------------------------------------------------------------------
2■■MAILER-DAEMON@btopenworld.comから来ている同じくmail.ukl.yahoo.com発のエラーメール

Return-Path: <>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id NAA03155; Sat, 08 May 2004 13:33:00 +0900 (JST)
Received: from mta818.mail.ukl.yahoo.com (mta818.mail.ukl.yahoo.com [217.12.12.162])
by rcpt-impgw.biglobe.ne.jp (nkrw/4717090404) with SMTP id i484Wwa03138
for <xxx@xxx.biglobe.xx.jp>; Sat, 8 May 2004 13:32:59 +0900 (JST)
Date: Sat, 8 May 2004 13:32:59 +0900 (JST)
Message-Id: <200405080432.i484Wwa03138@rcpt-impgw.biglobe.ne.jp>
From: MAILER-DAEMON@btopenworld.com
To: xxx@xxx.biglobe.xx.jp
X-Loop: MAILER-DAEMON@btopenworld.com
Subject: Delivery failure
X-UIDL: 799594918666995F863898495Fc999970M5F255
X-Text-Classification: spam-r
X-POPFile-Link: http://127.0.0.1:8080/jump_to_message?view=popfile25216=16.msg

Message from btopenworld.com.
Unable to deliver message to the following address(es).

<navt@btopenworld.com>:
unable to complete delivery, server [194.73.73.127:25] said: '550 Unknown local part navt in <navt@btopenworld.com>' (RCPT TO:<navt@btopenworld.com>).

--- Original message follows.

X-Originating-IP: [65.171.1.176]
Return-Path: <xxx@xxx.biglobe.xx.jp>
Received: from 65.171.1.176 (HELO 195.50.106.135) (65.171.1.176)
by mta818.mail.ukl.yahoo.com with SMTP; Sat, 08 May 2004 04:32:56 +0000
Received: from 152.76.128.148 by 65.171.1.176; Sun, 09 May 2004 01:25:18 -0300
From: "Rickey Suarez" <xxx@xxx.biglobe.xx.jp>
Reply-To: "Rickey Suarez" <xxx@xxx.biglobe.xx.jp>
To: navkar@btopenworld.com
Subject: Re: maybe I found that chalmers
Date: Sun, 09 May 2004 08:27:18 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--662300565044345611"
X-Priority: 3
X-MSMail-Priority: Normal

----662300565044345611
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><a href="http://gtyu%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"><img border="0" src="http://gtyu%2Esite%2Evoila%2Efr/f.jpg?cheerlead" width="145" height="273"></a>
<br><br><br>antaeus folly gaunt saturnalia bailiff acerbic vacuo protease
centaur argonaut lowe jose deforestation stave dulcet physique
dendritic exemplar yamaha byrne h's brothel chance awesome
mastermind balinese bottle explosive arena tabula willoughby demean
conscionable gordian asocial buckaroo integrate baird bacteria age expiration clarendon fillet
rapier infantile subsist concerti dogbane landhold neapolitan verbiage
ratty commotion squeal hitherto cedric cravat conqueror az
burnham marrow locksmith condescend couch chili chalice cologne fumigate chromatin okinawa
chub conjunct champaign nostalgic photography crave actual attendee
chef halstead determinate ride onondaga compound scramble thor
cocksure appalachia paine roberts biotite field hadamard embargo disciplinary mediate parke
concourse venerate deliberate refugee cortland abstention placeholder quakeress
theocracy narcotic turf collectible bastard gawk goddess stool
enchantress buss arrear hairy clark reef region athenian</html>

----662300565044345611--
*** MESSAGE TRUNCATED ***


.

-------------------------------------------------------------------------------
3■■MAILER-DAEMON@me.freeserve.comから来ているfreeserve.com発のエラーメール

Return-Path: <>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id CAA22335; Sat, 08 May 2004 02:44:50 +0900 (JST)
Received: from mwinf3106.me.freeserve.com (smtp2.freeserve.com [193.252.22.157])
by rcpt-impgw.biglobe.ne.jp (nkrw/4717090404) with ESMTP id i47Hinp22317
for <xxx@xxx.biglobe.xx.jp>; Sat, 8 May 2004 02:44:49 +0900 (JST)
Received: by mwinf3106.me.freeserve.com (SMTP Server)
id 7DD2A180008A; Fri, 7 May 2004 19:44:48 +0200 (CEST)
Date: Fri, 7 May 2004 19:44:48 +0200 (CEST)
X-ME-bounce-domain: me.freeserve.com
From: MAILER-DAEMON@me.freeserve.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: xxx@xxx.biglobe.xx.jp
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="75CE718000B7.1083951888/me.freeserve.com"
Message-Id: <20040507174448.7DD2A180008A@mwinf3106.me.freeserve.com>
X-UIDL: 799594919755495F863897995Fc99996NI5F255
Status: RO
X-Text-Classification: spam-r
X-POPFile-Link: http://127.0.0.1:8080/jump_to_message?view=popfile25053=150.msg

This is a MIME-encapsulated message.

--75CE718000B7.1083951888/me.freeserve.com
Content-Description: Notification
Content-Type: text/plain

This is the SMTP Server program at host me.freeserve.com.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The SMTP Server program
<provost@nairn-briggs.freeserve.co.uk>: host 172.22.190.69[172.22.190.69] said:
552 5.2.2 Over quota

--75CE718000B7.1083951888/me.freeserve.com
Content-Description: Delivery error report
Content-Type: message/delivery-status

Reporting-MTA: dns; me.freeserve.com
Arrival-Date: Fri, 7 May 2004 19:44:48 +0200 (CEST)

Final-Recipient: rfc822; provost@nairn-briggs.freeserve.co.uk
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host 172.22.190.69[172.22.190.69] said: 552 5.2.2
Over quota

--75CE718000B7.1083951888/me.freeserve.com
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: by mwinf3106.me.freeserve.com (SMTP Server, from userid 1003)
id 75CE718000B7; Fri, 7 May 2004 19:44:48 +0200 (CEST)
Received: from pcp09174943pcs.union01.nj.comcast.net (pcp09174943pcs.union01.nj.comcast.net [69.142.178.29])
by mwinf3106.me.freeserve.com (SMTP Server) with SMTP id AD7201800135
for <provost@nairn-briggs.freeserve.co.uk>; Fri, 7 May 2004 19:44:47 +0200 (CEST)
Received: from 190.40.240.233 by 69.142.178.29; Sat, 08 May 2004 21:42:35 +0200
From: "Lemuel Romo" <takayuki_iwaasa@yokogawa.co.jp>
Reply-To: "Lemuel Romo" <tanisuke@fkym.enjoy.ne.jp>
To: provost@nairn-briggs.freeserve.co.uk
Subject: *** SPAM *** remeber the other day whenn we talked on the phone?? bake
Date: Sat, 08 May 2004 14:46:35 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--17255211590781607632"
Message-Id: <20040507174447.AD7201800135@mwinf3106.me.freeserve.com>
X-me-spamlevel: med
X-me-spamrating: 100.000000


----17255211590781607632
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><table border="1" width="11%" bgcolor="#CF2D78" height="79"> <tr><td width="100%" height="73"><p align="center"><a href="http://phne%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"><img border="0" src="http://phne%2Esite%2Evoila%2Efr/f.jpg?telegram" width="145" height="273"></a>
<p align="center"><a href="http://phne%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"></a></td></tr></table><br><br><br>disparate dortmund apple tortoise dogmatism jerk digestible fibration
defecate knock alphabet scottsdale campaign faculty vincent berenices
juke vertebrate tenet vellum ablaze hewett exploit tent
arteriolosclerosis ratty paz novitiate kodak beg absinthe hideout
combination whichever sniffly sophistry belly slumber bacterial amorphous australia angelo amity
assess airy hippodrome brest casualty boron contrariwise became
anthropomorphic coronate burdensome seething creamery chesterton axiomatic subsidy
veronica centipede clink orthorhombic dogfish sundial crucify mulatto proscenium pursuant octoroon
gloom hove crease torpedo dearborn domino scarlatti cheeky
vehicular broody fructose worth characteristic contagious catherwood crowfoot
flux soapsud carbonium el pyknotic incommensurable syllabus liquid fanout traumatic unction
compellable corvallis gigawatt like atom accelerate sycamore divestiture
incomprehensible transpire denmark shamefaced recompense greet cranelike bema
variac sylow adriatic astral allis rhetoric whitehall bustle</html>

----17255211590781607632--


--75CE718000B7.1083951888/me.freeserve.com--

-------------------------------------------------------------------------------

4■■

Return-Path: <>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id NAA24418; Sat, 08 May 2004 13:34:39 +0900 (JST)
Received: from mta05-svc.ntlworld.com (mta05-svc.ntlworld.com [62.253.162.45])
by rcpt-impgw.biglobe.ne.jp (nkrw/4717090404) with ESMTP id i484Yco24405
for <xxx@xxx.biglobe.xx.jp>; Sat, 8 May 2004 13:34:38 +0900 (JST)
To: xxx@xxx.biglobe.xx.jp
From: Mail Administrator <Postmaster@ntlworld.com>
Reply-To: Mail Administrator <Postmaster@ntlworld.com>
Subject: Mail System Error - Returned Mail
Date: Sat, 8 May 2004 05:33:10 +0100
Message-ID: <20040508043310.TWSD11474.mta05-svc.ntlworld.com@mta05-svc>
MIME-Version: 1.0
Content-Type: multipart/report;
report-type=delivery-status;
Boundary="===========================_ _= 8700256(11474)1083990790"
X-UIDL: 799594918665605F863870035Fc99997AN5F255
X-Text-Classification: spam-r
X-POPFile-Link: http://127.0.0.1:8080/jump_to_message?view=popfile25216=18.msg


--===========================_ _= 8700256(11474)1083990790
Content-Type: text/plain

This Message was undeliverable due to the following reason:

The user(s) account is temporarily over quota.

<wayne6@ntlworld.com>

Please reply to Postmaster@ntlworld.com
if you feel this message to be in error.

--===========================_ _= 8700256(11474)1083990790
Content-Type: message/delivery-status

Reporting-MTA: dns; mta5-win.server.ntlworld.com
Arrival-Date: Thu, 6 May 2004 20:18:38 +0100
Received-From-MTA: dns; autson5.autson.com (66.28.36.5)

Final-Recipient: RFC822; <wayne6@ntlworld.com>
Action: failed
Status: 4.2.2

--===========================_ _= 8700256(11474)1083990790
Content-Type: message/rfc822

Received: from autson5.autson.com ([66.28.36.5]) by mta08-svc.ntlworld.com
(InterMail vM.4.01.03.37 201-229-121-137-20020806) with ESMTP
id <20040506191834.BYPO6002.mta08-svc.ntlworld.com@autson5.autson.com>
for <wayne6@ntlworld.com>; Thu, 6 May 2004 20:18:37 +0100
Received: from VA1-1B-u-1344.mc.onolab.com (VA1-1B-u-1344.mc.onolab.com [62.42.9.65])
by autson5.autson.com (8.11.1/8.11.1) with SMTP id i46KG5X66761
for <caroline@textmenow.co.uk>; Thu, 6 May 2004 13:16:08 -0700 (PDT)
(envelope-from xxx@xxx.biglobe.xx.jp)
Received: from 118.192.4.14 by 62.42.9.65; Fri, 07 May 2004 17:09:18 -0300
Message-Id: <200405062016.i46KG5X66761@autson5.autson.com>
From: "Yesenia Conner" <xxx@xxx.biglobe.xx.jp>
Reply-To: "Yesenia Conner" <xxx@xxx.biglobe.xx.jp>
Subject: girlnextdoor would l5ke to say hello
Date: Fri, 07 May 2004 18:17:18 -0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--66678317922426959"
X-Priority: 3
X-MSMail-Priority: Normal
To: undisclosed-recipients:;

----66678317922426959
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><a href="http://deyg%2Esite%2Evoila%2Efr/FreeParisHiltonMovie.exe"><img border="0" src="http://deyg%2Esite%2Evoila%2Efr/p.jpg?septate"></a><p style="FONT-SIZE: 0px; COLOR: #fffbB6" align="left">
expense irrevocable revenge travelogue handicapper uhf helical emotional
accustom cairn create plaza cemetery bevy hat rummage
contrariety appointee courtesy reliquary beresford hank chauffeur hollandaise
germany postgraduate mottle kirkpatrick lambert puerto brennan beijing
bright hanover impunity anabel challenge tiny premise appellant
trap aspire jagging lana montgomery laplace alsatian document
spongy posner embrace chungking bondholder corpsmen drain scripps
giggle cabinetry sent andes minsky thayer pershing poincare
constant creole deus chant belle accentuate burlington kirkpatrick
algebraic schism scattergun transient cesium bookkeep whore bellyache
occupy sleeve recline equipped whet somerville joy monteverdi
custer stepmother feb mould syenite admiration composition mahogany
cannot ivan portmanteau brake aerobacter fum w's gouge </html>

----66678317922426959--


--===========================_ _= 8700256(11474)1083990790--


記事No.17364/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/05(Wed) 01:44:07 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17377]

ID-code:pW6x64vR1eI

 さんじゅうろうと申します。
 実は私も5月4日3時ごろから、同じ内容のエラーが帰ってきています。

adelphia.net
ac.uk
attbi.com
broadviewnet.net
charter.com
comcast.net
comsat.net.ar
cv.net
easynet.net
kornet.net
hanaro.com
optonline.net
qrix.com
rr.com
seed.net.tw
swbell.net
uni-karlsruhe.de
uu.net
zaq.ne.jp

 これらが中継されているようなので、連絡してみてあります。
 どうやら、みなさんと同じようですね……


記事No.17377/タイトル:Re^2: 発信元・返信先詐称による被害
投稿日:2004/05/06(Thu) 01:29:07 / 投稿者:一体全体
★ツリー/親記事[17331]++前記事[17364]
-レス記事[17382]

ID-code:gZjmu3nRu1k

問題のエラーメールは、5月4日はちょうど100件来ましたが、5月5
日の17時半頃からは全然来なくなっています。spammerがエラーの元凶
のメールを送信するのをやめただけなのか、何だかわかりませんが、今
回はこれで終わったのかもしれません(そうであってほしいですし、今
後もナシにしてもらいたいです...)。
#sage


記事No.17382/タイトル:Re^3: 発信元・返信先詐称による被害
投稿日:2004/05/06(Thu) 11:59:37 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]+++前記事[17377]
-レス記事[17383]

ID-code:pW6x64vR1eI

当方ではまだ収束しておりません。
どうも日本時間未明を中心に発信しているようで、夕方から夜中にかけてはほとんどエラーがきませんが、朝、端末を起動すると大量に入っているという感じです。
引き続き、しつこく中継サーバなどに依頼メールをかけていますが、業者が多岐に及ぶところを見ると、かなり絶望的かもしれませんね……


記事No.17383/タイトル:Re^4: 発信元・返信先詐称による被害
投稿日:2004/05/06(Thu) 16:09:05 / 投稿者:一体全体
★ツリー/親記事[17331]++++前記事[17382]
-レス記事[17389]

ID-code:gZjmu3nRu1k

そうですね...甘かったようです。うちにもまたまた来てしまいました
。4日から5日にかけてよりは、数が減ったような気はするものの、fr
eeserve、btinternetなど、連絡したところからもまだまだ来ています

#sage


記事No.17389/タイトル:Re^5: 発信元・返信先詐称による被害
投稿日:2004/05/07(Fri) 13:12:55 / 投稿者:ラフロイグ
★ツリー/親記事[17331]+++++前記事[17383]
-レス記事[17390][17418]

ID-code:tBHICTaaOcw

> そうですね...甘かったようです。うちにもまたまた来てしまいました

 ああ、ここにたどりついてよかった。
 被害者は私だけではないのですね!
 私も会社のアドレスにGW頭からDelivaryFailureメールが大量に
届いて困っております。
 最初は「SPAM業者がウイルスに感染したのかな?」と思っていたので
すが、どうもそうではなく詐称されていることに思い当たったのが昨日。
とはいえ、サーバも内容もまちまちなので、SPAM業者を特定できず、
対応に苦慮して探しているうちにここまで来ました。
 今も一時間に数十件のメールが・・・・・
 ああ、目の前でまた5件・・・・・

 とりあえず、可能な限りサーバを限定して対応依頼メールを送ろうかと
思っているのですが、あれれ、hdparに繋がらなくなった・・・
 まあ、手作業でこれまで解析してきたからいいんですけど、
ひょっとして被害者が多すぎてパンクしてる?

 ところで一つお伺いしたいのですが、ウイルスを疑ったのは、
パターンがまちまちだったことから。中には、fromアドレスは
私のアドレスではない(bekkoameのアドレスですから日本ですね)
のですが、RETURN-PATHにご丁寧に私のアドレスが指定されている
ケースもありました。なんでこんなことするんでしょうかね?

 あと、一生懸命SPAM本文の英文を訳そうとして断念したのですが、
これって、単語の羅列なんですね。どうりで・・・・・・
 


記事No.17390/タイトル:Re^6: 発信元・返信先詐称による被害
投稿日:2004/05/07(Fri) 14:55:50 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]++++++前記事[17389]
-レス記事[17395]

ID-code:pW6x64vR1eI

>  ところで一つお伺いしたいのですが、ウイルスを疑ったのは、
> パターンがまちまちだったことから。中には、fromアドレスは
> 私のアドレスではない(bekkoameのアドレスですから日本ですね)
> のですが、RETURN-PATHにご丁寧に私のアドレスが指定されている
> ケースもありました。なんでこんなことするんでしょうかね?

 私のところでもそういったものがありました。
 Subjectを含めたヘッダーは自己IPを詐称したり、SPAMフィルタを避けるために合成しているのだと思うのですが、その生成プログラムのせいですかね??
 今のところ、一社から、詐称された発信者IPなので手がうてないというメールが帰ってきただけで、相変わらずSPAMは発信され続けているようです……
#sage


記事No.17395/タイトル:Re^7: 発信元・返信先詐称による被害
投稿日:2004/05/07(Fri) 22:59:26 / 投稿者:一体全体
★ツリー/親記事[17331]+++++++前記事[17390]
-レス記事[17396][17421]

ID-code:gZjmu3nRu1k

進展はありません。むしろ今日は、どーんと増えてしまいました。270件余。内容を見る気も萎えます。ac.uk、co.uk、net.uk、nhs.uk、freeserve.com、btinternet.com、btopenworld.com、bt.netから来るメールは転送しないような
フィルタをかけて別のアドレスへ転送したら、 15件ほどになりました。
しかし、犯人は何のためにこれをやっているんでしょうかね。エラーが出なくて誰かの
所にちゃんと届いているものもあるんでしょうか。spammerの濡れ衣を着せられてし
まうので、そうだったらますます困りますが。
#sage


記事No.17396/タイトル:[resage]Re^8: 発信元・返信先詐称による被害
投稿日:2004/05/08(Sat) 01:29:40 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]++++++++前記事[17395]

ID-code:pW6x64vR1eI

違うマシンから書き込んでいますので、ID違い失礼。

> 進展はありません。むしろ今日は、どーんと増えてしまいました。270件余。

こちらも増えています。
4日からの合計で660通を突破。
査証されているアドレスには日本の大学や大手企業のアドレスが含まれていますね。IT企業も含まれているので、なんとかしてくれないでしょうかね(^^; ←他力本願モード


記事No.17421/タイトル:spam発信の実態(Re^8: 発信元・返信先詐称による被害)
投稿日:2004/05/09(Sun) 18:01:11 / 投稿者:管理人
★ツリー/親記事[17331]++++++++前記事[17395]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/09-18:03に修正されました)

> しかし、犯人は何のためにこれをやっているんでしょうかね。
> エラーが出なくて誰かの所にちゃんと届いているものもあるんでしょうか。

 はい、そうですよ。実際に届いているメールも多いから
spammerはやっているのです。
 ただしどれくらいかはなんとも言えません。
 これは、前の投稿の

>>> こんなにたくさんエラーを返していると、被害者の数によっては、
>>> たいそうな、ネットの迷惑にもなっているでしょう。
>>> 早くとめてもらった方が世のためでもありますね。

にも関係しますが、たとえば日本で社会問題化した
携帯電話の迷惑メールですけれど、あれがひどかった時期に
話題になったのは
「携帯メールの流通量の8割以上が
詐称によって発生するエラーメール」
というニュースだったのです。

 注意すべきは「8割以上が迷惑メール」ではなく、
8割以上が私達が現在受けているようなエラーメールであったという点です。

 すなわち、届いてしまった迷惑メールは
さらに残りの1〜2割の中に含まれているわけです。
その1〜2割だけでも
多くの携帯ユーザに毎日何十通も届いていたのですから
多くの人には見えなかったエラーメールがどんなに
ひどいものだったか想像できるでしょう。

 以上のようなspamの仕組みをあまり分かっていない方々は
(そしておそらくそれがむしろ普通だと思いますが)
上のニュースを聞いてもピンと来なかったと思いますが
そういうことなのです。

> spammerの濡れ衣を着せられてしまうので、そうだったらますます困りますが。

 日本では当サイトも含めて
「spamメールを晒す」「晒して情報交換する」
ということが多いですが、私は自分のメアドがそういう所に
近いうちにいづれ載るのではないか、という覚悟をしています。
そんなことになると、それによってまたspamも増えてしまうでしょうから
困ったものです。

 詐称のアドバイスのページを見せながらそういう所には
削除を要請するつもりですけど。
現段階では私のアドレスに関する限り、
そういう情報はネット上に見つかりません。

 なお、知識が無くて、本当に私達がspamを送っている、と思う人々が
たくさん出ては困るからこそ私は

スパム行為冤罪被害対策調査室
(アドレス詐称・ドメイン詐称spam冤罪被害対策調査室)
Spoofed/Forged Email問題
http://antispam.stakasaki.net/laji-yuanzui.html

を作ってきたのです。そしてこのような被害は世界の誰かが毎日
受けていると想像すべきなのです。困ったものですね。
 だからこそこんな不条理な状況を減らす、無くすべく
少しでも皆様には協力をお願いしているわけですね。

「迷惑メール(spam)撲滅の為に、私達がすべきこと
インターネットで失われがちなバランスを、一緒に取り戻しませんか?」
http://www2g.biglobe.ne.jp/~stakasa/spam/keyi3.html


記事No.17418/タイトル:spamの悪質性(Re^6: 発信元・返信先詐称による被害)
投稿日:2004/05/09(Sun) 17:43:42 / 投稿者:管理人
★ツリー/親記事[17331]++++++前記事[17389]
-レス記事[17427]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/09-17:44に修正されました)

>  ところで一つお伺いしたいのですが、ウイルスを疑ったのは、
> パターンがまちまちだったことから。中には、fromアドレスは
> 私のアドレスではない(bekkoameのアドレスですから日本ですね)
> のですが、RETURN-PATHにご丁寧に私のアドレスが指定されている
> ケースもありました。なんでこんなことするんでしょうかね?

 spamerは関係する人々を混乱させる為のアドレス詐称、
メールヘッダ捏造ならばとにかくいろんなことをします。

 メールヘッダの
From、Reply-to、Message-ID、ReturnPath
それらに含まれるドメインは一般に同じなのが普通のメールですが
spamではそれらに含まれるドメインが全て違う、なども珍しくありません。
そしてそれらが全て、実際にはspamに全く関係ない、
というのも全く珍しくありません。
というかそれがspamでの一般的なことです。

 実際、今回詐称される以前から、
私は日本のISP(のユーザ)が関係したspamをチェックするため
毎日200通以上の英文spamから
http://antispam.stakasaki.net/filter-fenxi.html#3_5
というメールをチェックしていますが、
そのようにしてチェックされる
メールは毎日数通〜5、6通ありますけれども、
実際に日本関係のサーバが中継・発信に利用されているものよりも
上の4つのカ所のどこか日本関係ドメインが詐称されているだけのパターンの方が多いです。

 すなわち私にくるspamでは日本のサーバが中継・発信に悪用されているよりも
単なる詐称被害を受けている数の方が多いのです。

>  あと、一生懸命SPAM本文の英文を訳そうとして断念したのですが、
> これって、単語の羅列なんですね。どうりで・・・・・・

 これですね。

Q.スパムの中に変な文字列が入っているのですがこれは何のためですか?
http://www2g.biglobe.ne.jp/~stakasa/spam/spam-FAQ01.html#bianma

 なお、それで書いた他にも最近の本文の文字列から学習する
ベイジアンフィルタの判定をすり抜けるため、という節もあるようです。
とにかくspammerは受け手・第三者がどんなに迷惑しようが
なんでもやります。そういう破廉恥な輩なのです。

 今回の詐称被害に遭っておられる方は私がspam撲滅を主張している意義・意味、
spamの問題性を分かっていただけるでありましょう。
従来からあり、ネット上でもひどくなっている
「名誉毀損・誹謗中傷」などの犯罪とは違いますが、
spam行為も間違いなく犯罪として糾弾されるべきものなのです。


記事No.17427/タイトル:Re: spamの悪質性(Re^6: 発信元・返信先詐称による被害)
投稿日:2004/05/09(Sun) 20:05:20 / 投稿者:白梟
★ツリー/親記事[17331]+++++++前記事[17418]

ID-code:VZYXNtkShLg(本記事は投稿者自身により05/09-20:07に修正されました)

> >  あと、一生懸命SPAM本文の英文を訳そうとして断念したのですが、
> > これって、単語の羅列なんですね。どうりで・・・・・・
>  これですね。
> Q.スパムの中に変な文字列が入っているのですがこれは何のためですか?
> http://www2g.biglobe.ne.jp/~stakasa/spam/spam-FAQ01.html#bianma

 おそらく、単語の羅列の部分はフィルタリングよけだと思います。
前々から英文スパムでは本文の最後に入っているものが多かったのですが、
最近は(HTMLの)font size 1 で本文の前に入れてくるものもよく見かけるように
なった気がします。

CASH を C@SH とするような意図的なスペルミスも多くて、これもフィルタリング
よけのつもりなんでしょうね。
本当にこの程度の小細工でフィルタをすり抜けられるかどうかはともかく…。

 それはさておき、本文に2つの URL があるようですが、おそらく2つとも
ビーコン入りです。
(まぁ、exe ファイルの方は、クリックしなきゃ意味がないので、ビーコンと
いうのが適切かどうかよく分かりませんが。)

ttp://xxxxx%2Esite%2Evoila%2Efr/f.jpg → ttp://xxxxx.site.voila.fr/f.jpg

この xxxxx の部分が、メール毎に異なっているようです。
おそらく site.voila.fr はスパマーのサイトだから、xxxxx の部分は好きに
使えるんでしょう。

 極めて怪しげな実行ファイルへのリンクも含んでいる事だし、なるべく
http のhを取り除くなどして、リンクを切っておいた方が良いかも。


記事No.17400/タイトル:管理人・高崎のアドレス詐称被害状況(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/08(Sat) 08:58:10 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17402]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/09-16:37に修正されました)

 報告していませんでしたが、私・高崎も詐称被害が拡大・深刻化しています。
一体全体氏と同様に
freeserve.com、btinternet.com、btopenworld.com
からのエラーメールがかなり多く、私の経験上から今回の場合は
そこが動いて貰うのがおそらく一番早いと考え、
日本時間5/7朝から、そこのサーバ管理者に
エラーメールを止めて貰うよう依頼するメールを送り始めました。

もっとも
freeserve.com
への送る先に
abuse@freeserve.com
のみを選んだのは失敗だったようで、まず返事が来ない。で
abuse@fsmail.net, fsd@uk.wanadoo.com, abuse@freeserve.com, abuse@francetelecom.com, abuse@wanadoo.fr
などがふさわしかった気がします。8日朝、再度それらへ要請を行いました。

btinternet.com、btopenworld.com
については
uk-abuse@yahoo-inc.com, mail-abuse@yahoo-inc.com, kwoods@uk.yahoo-inc.com, khawkins@europe.yahoo-inc.com
に送っていて、
返事が7日14時と8日1時に来たのですが、それぞれ
「一つの中に複数のspam報告が入っている」
「ウイルスによる詐称が流行っている」
という頓珍漢な内容でした。いかにもYahooはどこもおんなじだなー、
というおざなりな内容。

 しかしめげている状況ではないので、8日朝、再度

「何いっとんねん、私しゃ日本のanntispammerで
サイトもツール集も作っていて、
わたしゃのサイトはYahooJapanNewsのspamカテでも紹介されとる。
ウイルスとspamの違いくらい見分けがつく。
確かにこの数ヶ月ウイルスが多いのは確かで
私はその受信データも公開しておる。
http://antispam.stakasaki.net/img/virus-jushin.gif
http://antispam.stakasaki.net/img/virus-jushin2.gif
しかし今回連絡しているエラーメールは
それによるものではない。
よく紹介したエラーメールを見ろ。
今は毎日数百通のエラーがあんたのサーバからきとる。
とめてくれ」

という感じのメールを送りました。

http://antispam.stakasaki.net/laji-yuanzui.html
でのアドバイスに書いたような、大元と中継のサーバに
連絡しない理由ですけれども、
それらを分析するのが面倒であることと、
取りあえずは状況を見るため、
アクションを順次取っていこうと考えているからです。

 上のようなアドバイスにしているものの、最近では
英文spamの中継は悪質化しており、なかなか効き目が出ないようです。
それよりも、spammerがspamを送っている上の2社がアクションを取った場合、
エラーメールが止まるだけではなく、
そのアクションの内容によってはそのことがspamに分かり、
そのメアドについては発信しにくくなるため、
spammerがその詐称メアドも使わなくなる、以前に解決したパターンは
そういう感じがうかがえました。
#なお、これは確認したことではなく、あくまで今まで
#相談を受け付けてきた中での「勘」です。

 ということで、まずはそっちの方のアクションを取っているわけですが
中継や大元に連絡することよりも優れた方法かは当方も確信は持てません。
言えるのは今までの経験上、最初に述べたように
「ジタバタしないと状況は良くならない」
という印象が強いですので、極力なんらかの対処をすることを勧めます。

 まあでもこのサイトを作っている立場からすると、
それぞれの方々がそれぞれのアクションを取る、
あるいは動かない人もいてもいいのですが、
それらが自分の行動報告と、被害状況の変遷を、
ここで報告していただけると助かります。


記事No.17402/タイトル:Re: 管理人・高崎のアドレス詐称被害状況(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/08(Sat) 09:28:52 / 投稿者:管理人
★ツリー/親記事[17331]++前記事[17400]
-レス記事[17414]

ID-code:w6SZ3BprNCg

ちなみに私へのエラーメールですが5/4の被害開始から総計
freeserve.comから200通
mail.ukl.yahoo.comからが446通
その他がいろいろで300通強です。

 確かにかなりうっとおしいですが、
その一方で私はspamが200通以上/日
http://antispam.stakasaki.net/img/tongji-g.gif
に加えて、ウイルスの30通/日あまり
http://antispam.stakasaki.net/img/virus-jushin.gif
になっているので、まあスケール的には
それらの延長程度の被害に収まっているため、
パニくるほどの状況ではないのですが
しかし被害量は増大していますし、このまま続くのはなんとしても
止めないと。
 BIGLOBEのメールボックスはMAX1000通ですので
これをあふれると困るんですが。

 もっともこれを意図的に溢れさせる、あるいは他の方の場合でしたら
(可能なら)一時的にメアドを停止し、
エラーをそちらにpostmasterに返すことで
今依頼しているような先に、
否応なしに別な所にアクションを起こさせる、というのも手としてあります。
現在、詐称されている我々が一番しわ寄せが来ているわけですが
無力な我々ではなく、アクションを取る価値のある所に
しわ寄せをさせるわけです。本当は無関係な我々にしわ寄せが来ていること自体
おかしいのですが。
#まあだからエラーメールを返している先に対処依頼を
#送っているわけですが。

 まあそれをする場合には自分側のpostmasterと相談が必要です。
自分側のpostmasterにしわ寄せが行ってはほとんど意味がない、
最悪自分のアカウントを停止させられるだけで終わってしまいますので。

 まあボチボチがんばりまひょか、皆さん。


記事No.17414/タイトル:当方・管理人へは小康状態に2(Re^2: 管理人・高崎のアドレス詐称被害状況)
投稿日:2004/05/09(Sun) 16:35:50 / 投稿者:管理人
★ツリー/親記事[17331]+++前記事[17402]
-レス記事[17416]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/10-15:17に修正されました)

 現在、小康状態になりました。ただし完全に停止したわけではなく、
ポツポツとはエラーが届いていますが。

 たとえば
MAILER-DAEMON@me.freeserve.com
からのエラーがそれまで220通だったのが今から24時間前の
Sat, 08 May 2004 16:21:08 +0900 (JST)
の以降に0通に。

MAILER-DAEMON@btopenworld.com
MAILER-DAEMON@btinternet.com
のFromでくる
mail.ukl.yahoo.com
からのエラーメールが今日午前0時以前には590通届いていたのが
それ以降9通に止まっています。

その他からのものは今日午前0時以前には319通届いていたのが
それ以降やはり9通に止まっています。

 ただしspammerも週末でお休み中、などのオチでなければ
良いのですが。


記事No.17416/タイトル:Re: 小康状態に(Re^2: 管理人・高崎のアドレス詐称被害状況)
投稿日:2004/05/09(Sun) 17:01:41 / 投稿者:一体全体
★ツリー/親記事[17331]++++前記事[17414]
-レス記事[17419]

ID-code:gZjmu3nRu1k

こちらも昨晩から小康状態で、btinternetが4通、btopenworldが1通、その他5通、しか来ていません。前に、おさまったかな、と思ってがっかりしたことがあったので、なるべく期待しないようにしていますが。日曜ですし。
#sage


記事No.17419/タイトル:Re^2: 小康状態に(Re^2: 管理人・高崎のアドレス詐称被害状況)
投稿日:2004/05/09(Sun) 17:51:36 / 投稿者:ラフロイグ
★ツリー/親記事[17331]+++++前記事[17416]

ID-code:/l.vIGmagfU

 うちも二つのメールアドレスで被害にあっているのですが、確かに両方とも今日になって小康状態になっていますね。
 でも、世界的に日曜日だし、SPAMMERが週明け、
「あー、休んだ休んだ、よーし、ばりばり働くぞー」
なんて思われたら困るなあ。
 いらないです、勤勉なSPAMMER。


記事No.17409/タイトル:自分のプロバイダから変なメールが(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/09(Sun) 01:19:55 / 投稿者:一体全体
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17415]

ID-code:gZjmu3nRu1k

今日一日で300件を超えました。
ところで、今日は中に変なのが混じっていました。自分の使っているプロバイダ(日本)のポストマスターから来たのです。が、hostのIPがイギリスのサーバ。ここの部分は、IPアドレスとドメインが、普通一致しているものだと思っていたのですが、違うこともあり、なのでしょうか。そして、送り先=私のユーザーネームが見あたらないfatal errorだから、届かないよ、というように読み取れるのです。わけがわからないので、我がプロバイダに問い合わせのメールを出してしまいました。返事はまだです。

以下、そのメールの全文です。残念ながらオリジナルのメールは引用されていませんので、「いつもの」と同じものかどうかわかりません。

Received: from 【私の使ってるプロバイダ。以下xxx】.or.jp (host217-42-203-246.range217-42.btcentralplus.com [217.42.203.246]) by mx.xxx.or.jp (8.9.3/3.7W-xxx) with SMTP id FAA18492 for <私のメルアド。以下aaa@xxx.or.jp>; Sat, 8 May 2004 05:26:57 +0900 (JST)
Message-ID: <157240-220045572027031@xxx.or.jp>
From: "Mail Delivery Subsystem" <POSTMASTER@xxx.or.jp>
To: aaa@xxx.or.jp
Subject: MAILER-DAEMON Returned mail: User unknown
Date: Fri, 7 May 2004 21:27:00 +0100
MIME-Version: 1.0
Content-Type: text/plain; charset="US-ASCII"
X-UIDL: 1ff06a5222a15b62c313495a861f3c6e
Status: RO
X-Pop-Received-Date: 3166873190
X-Pop-Account: aaa@pop.xxx.or.jp

The original message was received at 07/05/2004 21:25:06 -0100 from
02FB1023.mail1.xxx.or.jp
----- The following addresses had permanent fatal errors -----
<aaa@xxx.or.jp>
(expanded from: <aaa@xxx.or.jp>)

----- Transcript of session follows -----
mail.local: unknown Name: aaa
550 <aaa@xxx.or.jp>... User unknown


Reporting-MTA: dns; mx1.xxx.or.jp
Received-From-MTA: DNS; 02FB1023.mail1.xxx.or.jp
Arrival-Date: 07/05/2004 21:25:06 -0500

Final-Recipient: RFC822; <aaa@xxx.or.jp>
X-Actual-Recipient: RFC822; aaa@xxx.or.jp
Action: failed
Status: 5.1.1
Last-Attempt-Date: 07/05/2004 21:25:06 -0100


記事No.17415/タイトル:エラーメールのFromと実際の発信元(Re: 自分のプロバイダから変なメールが(Re: 発信元・返信先詐称による被害))
投稿日:2004/05/09(Sun) 16:53:57 / 投稿者:管理人
★ツリー/親記事[17331]++前記事[17409]
-レス記事[17425]

ID-code:w6SZ3BprNCg

 私も同様なことが発生していますがそれはともかく。

> 今日一日で300件を超えました。
> ところで、今日は中に変なのが混じっていました。
> 自分の使っているプロバイダ(日本)のポストマスターから来たのです。
> が、hostのIPがイギリスのサーバ。ここの部分は、IPアドレスとドメインが、
> 普通一致しているものだと思っていたのですが、違うこともあり、
> なのでしょうか。そして、送り先=私のユーザーネームが見あたらない
> fatal errorだから、届かないよ、というように読み取れるのです。
> わけがわからないので、我がプロバイダに問い合わせのメールを
> 出してしまいました。返事はまだです。

 私はサーバ管理を碌にしたことがないので分からないのですが、
そうでもないようです。というのは、エラーメールは
相手先に送られたときに届かないで戻ってくるもの、という表現を
していますが、実は最近のシステムではこの言い方は必ずしも
適切だとは限りません。

 というのも、今、AというサーバからBというサーバにメールが送られようとする時、
AのサーバはBのサーバにお伺いをし、送る先のメールアドレスが存在するかを尋ねます。その際にBが「そのアドレスはうちのユーザ向けだがそのアカウントは存在しない」
と返事をするとそれに基づき、
「Aのサーバが」発信者にエラーメールを送り、
その時にはBのサーバのシステムをFromアドレスにするようなのです。
その結果、エラーメールにおけるFromとヘッダを見た時の実際に発信している
サーバは異なります。

 実際、今回の場合には
MAILER-DAEMON@btinternet.com
MAILER-DAEMON@btopenworld.com
からのアドレスは
mail.ukl.yahoo.com
から届いているのです。

 う〜ん、しかしということは実際にはspammerはAのサーバを利用しているのであり
今回の場合
mail.ukl.yahoo.com
を主に使っている、ということになるんでしょうか?

 ちなみに上のシステムとは異なり
「実際に送ってくれないと判断はしないよ」
というサーバもあり、その場合にメールアドレスが存在しないと
Fromとヘッダの発信元が一致するメールになります。
今回のようなアドレス詐称では上のようなエラーメールが混在していることになります。

 しかし以上は確信のある話ではありません。詳しい方が
フォローして頂けると助かります。


記事No.17425/タイトル:Re: エラーメールのFromと実際の発信元(Re: 自分のプロバイダから変なメールが(Re: 発信元・返信先詐称による被害))
投稿日:2004/05/09(Sun) 19:22:40 / 投稿者:管理人
★ツリー/親記事[17331]+++前記事[17415]
-レス記事[17468]

ID-code:w6SZ3BprNCg

> │ 「Aのサーバが」発信者にエラーメールを送り、 │
> │ その時にはBのサーバのシステムをFromアドレスにするようなのです。 │

 これ間違いだそうです。上のような際
(すなわちSMTPセッション中)に
Aのサーバがエラーメールを送るのは正しいようですが
AのDaemonが発信者になるそうです。


記事No.17468/タイトル:Re^2: エラーメールのFromと実際の発信元(Re: 自分のプロバイダから変なメールが(Re: 発信元・返信先詐称による被害))
投稿日:2004/05/11(Tue) 05:30:15 / 投稿者:一体全体
★ツリー/親記事[17331]++++前記事[17425]
-レス記事[17481]

ID-code:gZjmu3nRu1k

どうもありがとうございます。
自分のところのプロバイダから、「このユーザ(=私)は存在しない」みたいなエラーが出た、とお知らせが来るのはおかしいので、一連のスパムはいろいろなサーバにそういうエラーを無理矢理出させるように仕組んで送られていたりしないかな、と素人考えで推測したりしてたんです。
とにかく、まだプロバイダから返事は来ないので、来たらこちらにお知らせするつもりでおります。
#sage


記事No.17481/タイトル:Re^3: エラーメールのFromと実際の発信元(Re: 自分のプロバイダから変なメールが(Re: 発信元・返信先詐称による被害))
投稿日:2004/05/11(Tue) 23:21:04 / 投稿者:一体全体
★ツリー/親記事[17331]+++++前記事[17468]

ID-code:gZjmu3nRu1k

プロバイダさんから返事が来ました。次のような回答でした。
ヘッダ(以前に投稿したのと同じヘッダを送ってあったのですが)は全ての情報ではないみたいなので、詳細はわからない。ただ、おそらく、メールの送信に使ったサーバが複数あり、メールサーバにこのプロバイダのドメインを使ったのだろう。そこからのリターンメールであることを装うためか。最初のメール(スパムの本文にあたるもの)には送信者として私のアドレスを使い、宛名にも私のアドレスが入っているが、それを受けた偽のメールサーバには、私のユーザネームはないので、user unknownになる。そしてこのリターンメールを私の所に送りつけてくる。
回答者に断りを入れていないので、そのまま引用するのを避けました。かえってわかりにくいかと思います。すみません。それにしても、ちゃんと応対してくれるプロバイダさんはありがたいです。
終息の模様なのでsageにしました。
#sage


記事No.17411/タイトル:実は私のメルアドも…
投稿日:2004/05/09(Sun) 13:09:08 / 投稿者:黄泉
★ツリー/親記事[17331]+前記事[17331]
参照先:http://no-spam.24ne.jp/

ID-code:BSxLaIBJSYc

実は、最近 私のメルアド(BIGLOBEドメイン)も海外のスパマーに詐称されているっぽい
# 全く晒した事の無いアドレスです。

まぁ〜今の所 エラーの量は大した数じゃないんで、放置していても問題ない程度なんですが、
数が増えたら面倒かも?

JPドメインが詐称アドレスとして狙われているんですかね?
#sage


記事No.17428/タイトル:ErrorMail見せかけウイルスメールとの違いに注意(Re: 発信元・返信先詐称による被害
投稿日:2004/05/09(Sun) 20:18:24 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]

ID-code:w6SZ3BprNCg

 念のためですけど、数ヶ月前から流行っている
ウイルスメールNetskyはエラーメールを装います。
 spamのアドレス詐称によるエラーメールをそれと区別するのを
間違えないようにして下さい。

 私の所にはウイルスメールは以下のような状況で
現在日に30通ばかり届いています。
http://antispam.stakasaki.net/img/virus-jushin.gif
http://antispam.stakasaki.net/img/virus-jushin2.gif

 ウイルスに関する対処は
http://antispam.stakasaki.net/bingdu.html

http://antispam.stakasaki.net/bingdu-chuli.html
を参考にして下さい。

 あまりしておられる方は多くないようですが
ウイルスもspamと同様に対処依頼をISPに送ると対処してくれます。
日本のISPなどは
むしろspamよりも真摯に対応してくれる雰囲気があります。

 ただし私の場合、同じ発信者と思われるものからの
ウイルスが一週間程度続いたときにのみISPに対処依頼を送ります。
数通ウイルスが来ただけでは送りません。
(spamは一通来ただけでも対処依頼を送ります)

 そうすると、同じ発信者と思われる者からのウイルスは
大概その後1週間以内に止まるようです。
もっとも最近はISPさんもウイルスにてんてこ舞いだったり、
一回くらい連絡されたくらいじゃ動かない
困ったちゃんユーザも多いようで、止まらない場合もありまして、
その際にはもう一度依頼を送ります。

(一回目のISPからの返事でもISPさんは大抵
「対処をしたが、もし一週間程度様子を見て
それでも止まらなかったら再度連絡くれ」
と書いてくれています)

 それでも止まらないものは私の場合、現在ありません。

 2、3日前に、それまでしつこかった系統のウイルスに関して
一斉にISPにお願いした(10通くらい)ので、
減ってくれるのでは...と期待しています。


記事No.17433/タイトル:spam受信被害者からの見せかけエラーもあるようです(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/10(Mon) 00:32:37 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/10-15:19に修正されました)

 指摘されて気が付いたのですが、私の所には以下のような2通のメール、
差出人に当方(BIGLOBE)のシステムからを装うメールが届いています
(5/7と5/9、xxxxxxx@btinternet.comは全て同じアドレス)。

 これらのメールはなんと、マッキントッシュの
「見せかけエラーメール返信機能」
によるものだそうで、すなわちspamを受け取った
xxxxxxx@btinternet.com
のアドレスを持つマッキントッシュユーザが、私のアドレス
stayyyy@mtb.biglobe.yy.jp
が本当のspamの差出人だと思い、
「見せかけエラーメール」
を送ってきたもののようです(-_-)。

 すなわち

Q.差出人にエラーメールを返すという手法は有効ですか?
http://www2g.biglobe.ne.jp/~stakasa/spam/spam-FAQ02.html#error

で問題視しているものであり、
また、私のメアドをFromに詐称するspamが
送られてきている別な証拠のメールだとも言えます。
 トホホですね。特徴として
−−
・メール本文中に書かれている「メールアドレスXXXがない」というXXXと
エラーメール自体のRetrun-Pathが同じ。

・Macの場合にはヘッダに「X-Mailer: Apple Mail」がある。
−−
 困ったものですね。こういうことをするツールは
Mac以外にもあるので、探せば他のエラーメールからも見つかるかもしれません。

●このエラーメール自体のメールヘッダ部分

Return-Path: <xxxxxxx@btinternet.com>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id EAA17034; Sun, 09 May 2004 04:26:00 +0900 (JST)
Received: from smtp800.mail.ukl.yahoo.com (smtp800.mail.ukl.yahoo.com [217.12.12.142])
by rcpt-impgw.biglobe.ne.jp (nkrw/4717090404) with SMTP id i48JPx417022
for <stayyyy@mtb.biglobe.yy.jp>; Sun, 9 May 2004 04:25:59 +0900 (JST)
Resent-Date: Sun, 9 May 2004 04:25:59 +0900 (JST)
Date: Sun, 9 May 2004 04:25:59 +0900 (JST)
Resent-Message-Id: <200405081925.i48JPx417022@rcpt-impgw.biglobe.ne.jp>
Message-Id: <200405081925.i48JPx417022@rcpt-impgw.biglobe.ne.jp>
Received: from unknown (HELO btinternet.com) (stayyyy@mtb.biglobe.yy.jp@81.131.83.149 with poptime)
by smtp800.mail.ukl.yahoo.com with SMTP; 8 May 2004 19:25:56 -0000
Content-Type: multipart/report;
boundary=BE270455-A125-11D8-A561-000393D2559A;
report-type=delivery-status
X-Mailer: Apple Mail (2.553)
Auto-Submitted: auto-generated (failure)
Mime-Version: 1.0
Subject: Returned mail: User unknown
From: postoffice@rcpt-impgw.biglobe.ne.jp
To: "Les Campos" <stayyyy@mtb.biglobe.yy.jp>
Resent-From: xxxxxxx@btinternet.com
Received: from 4.26.36.226 (HELO 195.50.106.135) (4.26.36.226) by mta818.mail.ukl.yahoo.com with SMTP; Fri, 07 May 2004 22:53:00 +0000
Received: from 72.30.249.20 by 4.26.36.226; Sat, 10 Jul 2004 02:41:52 +0300
X-UIDL: 799594909573995F863666655Fc999960S5F255
Status: RO
X-Text-Classification: spam-r
X-POPFile-Link: http://127.0.0.1:8080/jump_to_message?view=popfile25397=24.msg

●エラーメールの中身

--BE270455-A125-11D8-A561-000393D2559A
Content-Type: text/plain;
charset=US-ASCII

The original message was received at 2004-05-08 20:24:08 +0100
from postoffice.local. [10.0.0.1]

----- The following addresses had permanent fatal errors -----
<xxxxxxx@btinternet.com>

-----Transcript of session follows -----
... while talking to postoffice.local..:
>>> RCPT To:<xxxxxxx@btinternet.com>
<<< 550 5.1.1 unknown or illegal alias: xxxxxxx@btinternet.com
550 <xxxxxxx@btinternet.com>... User unknown

--BE270455-A125-11D8-A561-000393D2559A
Content-Type: message/delivery-status

Reporting-MTA: dns; postoffice.local.
Received-From-MTA: DNS; postoffice.local.
Arrival-Date: 2004-05-08 20:24:08 +0100

Final-Recipient: RFC822; xxxxxxx@btinternet.com
Action: failed
Status: 5.1.1
Remote-MTA: DNS; postoffice.local.
Diagnostic-Code: SMTP;550 5.1.1 unknown or illegal alias: xxxxxxx@btinternet.com
Last-Attempt-Date: 2004-05-08 20:24:08 +0100

--BE270455-A125-11D8-A561-000393D2559A
Content-Type: message/rfc822

X-Apparently-To: xxxxxxx@btopenworld.com via 217.12.12.63; Fri, 07 May 2004 22:53:04 +0000
X-Originating-IP: [4.26.36.226]
Return-Path: <stayyyy@mtb.biglobe.yy.jp>
Received: from 4.26.36.226 (HELO 195.50.106.135) (4.26.36.226)
by mta818.mail.ukl.yahoo.com with SMTP; Fri, 07 May 2004 22:53:00 +0000
Received: from 72.30.249.20 by 4.26.36.226; Sat, 10 Jul 2004 02:41:52 +0300
From: "Les Campos" <stayyyy@mtb.biglobe.yy.jp>
Reply-To: "Les Campos" <stayyyy@mtb.biglobe.yy.jp>
To: ajcamp@btopenworld.com
Subject: Re: I have not got your reply
Date: Fri, 09 Jul 2004 17:43:52 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--306198281986761991"
X-Priority: 3
X-MSMail-Priority: Normal

----306198281986761991
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><a href="http://dmmr%2Esite%2Evoila%2Efr/FreeTeenMovies.exe"><img border="0" src="http://dmmr%2Esite%2Evoila%2Efr/f.jpg?litton" width="145" height="273"></a>
<br><br><br>bandwagon polyhedron countdown sunnyvale lint decompose breadwinner wholehearted
denumerable gaucherie cozen goober rsvp sepal swank aldrich
framework sixty proven admiralty bellboy bowmen spool biggs
swank deodorant peninsula leaden apartheid silicon audubon abovementioned
drapery burroughs breccia hydra apologetic bub demijohn cloven encumbrance patriot crunch
elector forsake autocracy sigh variety marimba churchgoer zorn
adobe disruptive minion kaiser once astrophysicist alterate foxtail
delaney xerox chorus contiguity apologetic sourwood bausch cleft
ditto altitude altercate colicky anchovy goren influenza collision
surrender icicle beaver agave derail spencer middlesex conjugal</html>

----306198281986761991--


--BE270455-A125-11D8-A561-000393D2559A--


記事No.17436/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/10(Mon) 02:59:22 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]

ID-code:w6SZ3BprNCg

spam対策サイトで有名なハートコンピュータさんが
日記で今回の件に触れています。

http://www.hart.co.jp/spam/freeteenmovies.html


記事No.17445/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/10(Mon) 14:52:49 / 投稿者:N@相模原
★ツリー/親記事[17331]+前記事[17331]

ID-code:no_id

当方も、やられました。同じくFreeTeenMovies.exeです。
情報を探して、ここの掲示板に来ております。
で、そちらは今は落ち着いております(^^;)が、本日到着したspamのヘッダがおもしろかったので、参考に送付させていただきます。

Received: from [6.138.13.89] by 82.255.23.97 with cowherd SMTP;
%CURRENT_DATE_TIME

この行がreceivedの最後だったのですが、%の部分を送信時に「適切な時間」に置き換えるんでしょうね。
zaq.ne.jpからのspam発信があったためヘッダを送ったら、見事に、これに騙されていました。
ホント、ISPとは思えない技術力(^^;)です。


記事No.17448/タイトル:今更ですがエラーメールの受信で混乱している方へ(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/10(Mon) 17:59:23 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]

ID-code:w6SZ3BprNCg

 もっと早く書くべきでしたけれど、ついつい忘れていましたが、
受信後のエラーメールの処理に苦労なさっている方の場合、
POPFileの活用

http://antispam.stakasaki.net/filter-fenxi.html#POP

をお勧めします。
 特に、
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17428
で述べましたように、ウイルスNetskyがエラーメールを装いますので
今回のアドレス詐称被害の方の中には、
Netskyによるウイルス付き偽エラーメールと
アドレス詐称によるエラーメール
そして人によってはspamメールという、
いずれにせよジャンクメールの処理に大混乱、という方もいるのではないかと
思います。
 POPFileを使いますと、少ない学習で受信者の望みのとおりに判定し、
メールヘッダに分類した結果を書き込みますので、それとメールソフトの
フィルタリング機能により、手動による仕分けの手間を省くことが出来ます。
http://antispam.stakasaki.net/filter-fenxi.html#3_1

 たとえば私の場合、ただの英文spamなら
X-Text-Classification: spam
今回のアドレス詐称によるエラーメールなら
X-Text-Classification: spam-r
そしてウイルスメールならば
X-Text-Classification: bingdu
というヘッダをつけてもらうようにしており、
メールソフトにより自動でフォルダに振り分けるようにしたり
あるいは3つで色分けをするなどを行っています。

 今更の話ですみません(汗)
この内容をアドバイスページに加えました。

5.1.3 受信したエラーメールの仕分けに追われる場合
http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050103

 また、まだ予断は許しませんが、収束することへの願いも込め、

5.3.3 エラーメールを大量に送ってきている所に働きかける
http://antispam.stakasaki.net/laji-yuanzui.html#yuanzui050303

を改訂しました。


記事No.17451/タイトル:被害者まとめ(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/10(Mon) 19:35:13 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17463][17471][17480]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により05/10-19:42に修正されました)

 現在の段階での被害に遭っている人の状況をまとめておきます。
なお、一般的なアドバイスは当サイトの
http://antispam.stakasaki.net/laji-yuanzui.html
を参照のこと。

●当掲示板の訪問者

せいきち氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17331
すぎっち氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17343
私・高崎
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17346
一体全体氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17353
さんじゅうろう氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17364
ラフロイグ氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17389
N@相模原 氏
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17445

●くまたろう氏の掲示板に若干名
http://www.kumat.com/cgi-bin/hmbbs2/smokedx.cgi

●ハートコンピュータさんの日記
http://www.hart.co.jp/spam/freeteenmovies.html

 FreeTeenMovies exeを宣伝するspamであることに注目している。

●その他

・「FreeTeenMovies exe」を検索文字として被害者を捜せるか?
http://www.google.co.jp/search?q=+%22FreeTeenMovies+exe%22&num=100&hl=ja&lr=&ie=UTF-8&oe=UTF-8&c2coff=1&as_qdr=all&filter=0


記事No.17463/タイトル:Re: 被害者まとめ(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/11(Tue) 00:11:26 / 投稿者:せいきち
★ツリー/親記事[17331]++前記事[17451]
-レス記事[17467]

ID-code:IlluPhLWrhY

 お世話になっております。せいきちです。

 先週中頃から件のspamはぐっと数が減り、昨日到着したこの種のメ
ールは三通のみです。しつこかったのはbtopenworld.com、btinternet.
comの二箇所で、昨日届いたのもここからでした。

 どうも自分にはspammer側の気まぐれか何かで症状が終息に向かった
かのように思えてあまり気分が良くありませんが、またぶり返すような
ことがあるかどうか、もうしばらく事態を見守ろうと思います。


記事No.17467/タイトル:Re^2: 止まっています(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/11(Tue) 05:11:37 / 投稿者:一体全体
★ツリー/親記事[17331]+++前記事[17463]

ID-code:gZjmu3nRu1k

日曜は、夜10時台以降に途絶えました。月曜未明1時台に再開、8時台までは「順調に」来ました。その後またふっつりと途絶えて、午後3時台にmheurope.comから1つだけ来ましたが、またどこからも来なくなっています。
freeserve、btinternet、btopenworld、ontel.net.uk、yahoo.comなどが、月曜朝に来たものです。特に顔ぶれにも変化ありませんでしたし、どこからもそれらしい返事はないし(私はそんなにたくさんのところにメールを出しませんでしたが)、確かに、spammer以外の機関が何らかの措置を講じたというよりは、spammerがそろそろ休むことにした、というように見えますね。
#sage


記事No.17471/タイトル:Re: 被害者まとめ(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/11(Tue) 11:03:29 / 投稿者:N@相模原
★ツリー/親記事[17331]++前記事[17451]

ID-code:no_id

落ち着きましたね。

> N@相模原 氏
さて、当方に来たメールの発信元です。
zaq.ne.jp
yahooBB
ニューヨーク大学
ハンプシャー大学
rr.com
optonline
comcast

日本のネットワークでは、Yahooとzaqですね。
どちらも、セキュリティ激甘で有名の様で・・・(^^;)


記事No.17480/タイトル:終息の模様
投稿日:2004/05/11(Tue) 22:32:01 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]++前記事[17451]
-レス記事[17483][17489]

ID-code:pW6x64vR1eI

本日は3通きましたが、全て
>>Message could not be delivered for 5 days
なので、実質的には終息したようです。

一応、最後の発信日付として確認できるのは
Mon, 10 May 2004 01:01:26 +0100
(btinternet.comよりのエラーメールより)
です。

なお、freeserve.comからのメールは先にもご報告させていただいた通り、5/9 23:29の
Reporting-MTA: dns; me.freeserve.com
Arrival-Date: Sun, 9 May 2004 16:39:27 +0200 (CEST)
のエラーメールが最後になっています。


●被害状況(日別)
5/04  88通
5/05  84通
5/06  82通
5/07 385通
5/08 324痛
5/09  28通
5/10  18通
5/11   3通

●問い合わせに対する自動返信以外の返信メール
・easynet.net(5/5)
 cv.netに問い合わせてくれ→cv.netからは返答なし

・zaq.ne.jp(5/6)
 ZAQユーザー宅のケーブルモデムであることを確認。ケーブル局より該当ユーザーへの対応をする
 →送信IPアドレス詐称に気づいていない??

・home.ne.jp(5/7)
 契約しているケーブルテレビ会社のユーザーのIPアドレス。該当者を特定後、ケーブル局経由で対応を実施する
 →送信IPアドレス詐称に気づいていない??

・chron.com(5/7)
 送信アドレスは詐称されているアドレスで追跡できない。

・yahoo.com(5/7)
 自分のところから送信されたメールではないので、どうにもできない


 今のところ、こういうところです。
#sage


記事No.17483/タイトル:Re: 終息の模様
投稿日:2004/05/12(Wed) 10:58:56 / 投稿者:N@相模原
★ツリー/親記事[17331]+++前記事[17480]

ID-code:no_id

> > ・zaq.ne.jp(5/6)
>  ZAQユーザー宅のケーブルモデムであることを確認。ケーブル局より該当ユーザーへの対応をする
>  →送信IPアドレス詐称に気づいていない??

ZAQですが、こんな回答、いくら何でも無理があると思いませんか?
私は、ネットワーク、メールに関しては素人なのですが、それでも
この程度なら判別できます。

|> 上記を見ると、RECEIVEDのタイムスタンプが逆転していませんか?
|> これは、この送信者がRECEIVEDヘッダを偽装しているのですが
|> 偽装が不十分なために発生している時間逆転です。
|> 通常のネットワーク関係者でしたら、これで164.252.XXX.XXXに
|> 問い合わせる方はいません。
| おっしゃるとおり、
|---------------------------------------------------
|Thu, 06 May 2004 04:53:50 +0000 →2004/05/06(木) 13:53 (JST)
|Fri, 07 May 2004 06:50:04 +0200 →2004/05/07(金) 13:50 (JST)
|---------------------------------------------------
| となりますが、「タイムスタンプ」はSMTPセッションが行われる
|過程で自動的に付加される情報ですので、本来の送信元
|<164.252.XXX.XXX>において、”意図的に”サーバー(あるいはPC)
|の時刻設定を操作すれば、上記のような状況は簡単に作り上げる
|ことができます。
|また意図的ではなく、単純に日付を1日分間違えている可能性も考
|えられます。

ZAQに対してはタイムスタンプで偽装である旨を伝えていますが、
それ以前に、もっと大きな点があるはずなのですが、それにさえ
気が付かないっていうのも、ISPとして技術力があるのか、不安です。

#自宅はzaqと系列のhome.ne.jpなので、それなりの事ができてほし
#いのですが。


記事No.17489/タイトル:Re: 終息の模様
投稿日:2004/05/13(Thu) 10:46:04 / 投稿者:ラフロイグ
★ツリー/親記事[17331]+++前記事[17480]

ID-code:EaRk8vjRxJA

 休み明け、本日まで終息していますので、なんとか片付いたようですね。
 よかったよかった。
 とりあえずISPにはメールを打っていませんが、また同様な事態が
発生した場合には、今回の事例を参考にさせていただこうと思っています。
 SPAMMERの一刻も早い絶滅を強く願います。
#sage


記事No.17488/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/13(Thu) 10:41:37 / 投稿者:N@相模原
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17495]

ID-code:no_id

>  初めまして。ちょっと困った事態になっておりますもので
再来襲を受け始めました。
基本的には、メーラーでmail errorは振り分け、関係ないモノはごみ箱行きなのですが、ちょっと悔しい。
内容が似ているので、みなさんの所にもと思いますが、如何ですか?
Received: (qmail 20156 invoked from network); 13 May 2004 01:30:23 -0000
Received: from unknown (HELO SALES?CATALOG) (206.210.80.3)
by cr-outsmtp1.homechoice.co.uk with SMTP; 13 May 2004 01:30:23 -0000
Received: from 128.114.80.55 by 206.210.80.3; Sun, 16 May 2004 06:32:07 +0300

Subject: Youngg schooll girrls getting nailed FRREE Viddeos ply
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit

<html><a href="http://junp%2e%73%69t%65.%76%6fila%2ef%72/Moviies.exe"><img border="0" src="http://junp%2e%73%69t%65.%76%6fila%2ef%72/v.jpg" width="499" height="135"></a>


記事No.17495/タイトル:Re^2: 発信元・返信先詐称による被害
投稿日:2004/05/13(Thu) 23:38:24 / 投稿者:一体全体
★ツリー/親記事[17331]++前記事[17488]

ID-code:gZjmu3nRu1k

はい、うちも再来襲です。おなじみbtinternetとfreeserveから始まって、23:05より30分間に全部で5通来ています。またかと思うと、暗澹たる気分です。


記事No.17491/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/13(Thu) 19:08:59 / 投稿者:tyttn
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17493]

ID-code:no_id

当方まったく同じリターンメールで困っていました。
5/4〜5/10に約900通、11日は1通、12日は0,今日は3通。
このまま治まってくれることを祈っております。

で、グチモードですが、
今回の件で某プロバイダの対応に呆れております。

「リターンメールが大量に来ますが何でしょう?」
と届いたメールをいくつか添付して問い合わせたところ、

「ウイルスの可能性が高い。振り分けで対処してくれ。」
と、アウトルックエクスプレスの設定法のリンクを教えてくれた。

「どう見てもウイルス違うやん。それにこっちはネスケじゃ。
ほんとにメール見たんか?」
と送ってみると3日間返事なし。このまま返事ないんだろうな。

それなりのプロバイダだと思っていたので、
この対応にはとてもがっかりしてます。
でもって、解約を決意しました。
#sage


記事No.17493/タイトル:Re^2: 発信元・返信先詐称による被害
投稿日:2004/05/13(Thu) 19:54:37 / 投稿者:N@相模原
★ツリー/親記事[17331]++前記事[17491]
-レス記事[17494]

ID-code:no_id

> 当方まったく同じリターンメールで困っていました。
> 5/4〜5/10に約900通、11日は1通、12日は0,今日は3通。
> このまま治まってくれることを祈っております。

> > 「ウイルスの可能性が高い。振り分けで対処してくれ。」
> と、アウトルックエクスプレスの設定法のリンクを教えてくれた。
> > 「どう見てもウイルス違うやん。それにこっちはネスケじゃ。
> ほんとにメール見たんか?」
> と送ってみると3日間返事なし。このまま返事ないんだろうな。

A2000.nlが発信元のspamがあったので通報し、その返事に付いていた文章です。A2000.nlでも、この程度の対応ですから、仕方ないのではないかと思います。
そのプロバイダが発信元ではないので、文句を言っても、止めることが出来ないんです。頭にくるのは判りますが、そういう事情は、判ってあげてくださいm(_o_)m。

- DO NOT send us complaints about spam received at your @chello.nl address that do not meet the criteria mentioned above. You can prevent these messages by submitting them to SpamCop or by filtering them by using a program like MailWasher (http://www.mailwasher.net)


記事No.17494/タイトル:Re^3: 発信元・返信先詐称による被害
投稿日:2004/05/13(Thu) 23:22:52 / 投稿者:tyttn
★ツリー/親記事[17331]+++前記事[17493]

ID-code:no_id

プロバイダでどうにもならないことは判っているのですが
せめて、「調査します」とか、「様子みてください」とか、
の返事があるかと思えば
(おそらく中身をよく見ずにNetSkyも流行ってることだし)
思惑だけで、いい加減な返事をよこしたことが頭にきます。

サポートってユーザの声を聞いてサービスの向上を図る
が、仕事ではないのか、と棚上げモードで思ったり。

いっそ、「こちらでは原因追及は無理で、どうしようもない」
といってくれた方がよほどあきらめがつきます。

解約しようと思ったのは、ここ2年ほどスパムがひどくて、
根本的解決はなさそうだし、いっそメールアドレス変えるかなと
思っていたところなので、決心がついた、と言うところです。

##掲示板汚してすいません。もうグチはやめときます。
#sage


記事No.17498/タイトル:再来襲
投稿日:2004/05/14(Fri) 01:15:44 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17499]

ID-code:pW6x64vR1eI

再来襲しはじめました。
5/13に5通とどいています。
限りなく類似していますが、若干、異なるところが2点。

1.発信時間
 メール発信時間が、今までは未明中心でしたが、今回は昼間に出されているようです。

2,URLのエンコード
以前“http://qty%2Esite%2Evoila%2Efr/FrreeTeenMovies.exe"というように、ピリオドを%2Eにしているだけでしたが、今回は
"http://wecn.site%2evo%69l%61.f%72/FrreeTeenMovies.exe"というように、ピリオド以外もエンコードしています。

機材を変えたのか??


記事No.17499/タイトル:Re: 再来襲
投稿日:2004/05/14(Fri) 02:03:38 / 投稿者:N@相模原
★ツリー/親記事[17331]++前記事[17498]
-レス記事[17500]

ID-code:no_id

> 2,URLのエンコード
> 以前“http://qty%2Esite%2Evoila%2Efr/FrreeTeenMovies.exe"というように、ピリオドを%2Eにしているだけでしたが、今回は
> "http://wecn.site%2evo%69l%61.f%72/FrreeTeenMovies.exe"というように、ピリオド以外もエンコードしています。

おそらく、"voila"がAntiSpam文字に入ったのでしょう。
バウンスを調べると発信元の次にもう一行、偽装のReceivedが有る点など、前と同じですね。

ちょっと気になるのが、zaqなどcable系のインターネットが発信元になっているんです。他の掲示板にも書いたのですが、cable系って、spammerが乗り換えながら利用するのには大変だと思うんです。
前に叩き潰したときは、フリーメール系でした。
常時接続なのでバックドアあけられたか、もしかすると、このFreeTeenMovies.exeを誤って実行した人が気が付かずに打っているのかもしれませんね。


記事No.17500/タイトル:Re^2: 再来襲
投稿日:2004/05/14(Fri) 08:30:44 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]+++前記事[17499]
-レス記事[17508]

ID-code:pW6x64vR1eI

もう一つ違う点がありました。

以前はFrom、To,Return-path,Reply-Toのメアドは同じもの(私のアドレス)になっていることが基本で、たまに全てがバラバラのアドレスになっているものが混じってる、という形でした。
しかし、今回のエラーメールは、全てがバラバラになっているものばかりがきています。
たまたまかもしれませんが……


記事No.17508/タイトル:Re^3: 再来襲
投稿日:2004/05/14(Fri) 22:00:01 / 投稿者:一体全体
★ツリー/親記事[17331]++++前記事[17500]

ID-code:gZjmu3nRu1k

うちのもそうらしいです。エラーになったと言われているオリジナルメールの、from、return-path、reply-toが、ご丁寧にみな違っていて、return-pathが私のメアド、というのが多いようです。ざっと見たところ、ここで詐称されているメアドは、krとjpが多いみたいです。
#sage


記事No.17504/タイトル:再来襲 ( 不思議です ) Re: 発信元・返信先詐称による被害
投稿日:2004/05/14(Fri) 17:46:59 / 投稿者:N@相模原
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17505][17507]

ID-code:no_id

Nです。

不思議です。再来襲したので発信元毎のフォルダを作成し、ある程度たまったらISPに文句を言おうと思ったのですが、発信元がどんどん増えています。

以下はメモですが、発信元ISPが、これ+αだけあります。で、ケーブルネットと思われるモノや、大学なども有り、発信元のPCはいったいどういう状態なのだろうと考えてしまいます。
adelphia
attbi
balticom
blueyonder.co.uk
btcentralplus
btopenworld.com
cable.ntl
cable.rogers
charter-stl
chello.nl
comcast
elisa-laajakaista.fi
HELO 195.50.106.135 217.12.12.192
htv.fi
huntel
icpnet.pl
kommunicera.umea
menta.net
mi-erie.com
midco.net
optonline
pacbell.net
planet.nl
proxad.net
rr
shawcable
swbell.net
telus.net
theedge.ca
utk.edu
videotron.ca
voyager.net
wideopenwest.com
zaq.ne.jp


記事No.17505/タイトル:Re: 再来襲 ( 不思議です ) Re: 発信元・返信先詐称による被害
投稿日:2004/05/14(Fri) 17:53:54 / 投稿者:とらじま
★ツリー/親記事[17331]++前記事[17504]

ID-code:gfXUbIYBc62

biglobeのメルアドも持っているので(非公開)、実は
かなりドキドキしながらこのスレッドを追っているのですが
今のところ私は被害にあっていません。
とはいえ……

N@相模原さまのよせられた情報を見ますと、
英語でくるスパムが使っているISPが目につくようです。
私が事実フィルタリングしているものもかなり。

attbi
blueyonder.co.uk
chello.nl
comcast
pacbell.net
shawcable
swbell.net
utk.edu
videotron.ca

ここらへんが、私が個人的に思い当たるもの。
特定のスパマーが使っているというわけではなさそうなところなので
不正に使用されやすいところが、のきなみ、
送信に悪用されているのかもしれないですね。


記事No.17507/タイトル:Re: 再来襲 ( 不思議です ) Re: 発信元・返信先詐称による被害
投稿日:2004/05/14(Fri) 21:48:10 / 投稿者:白梟
★ツリー/親記事[17331]++前記事[17504]
-レス記事[17509]

ID-code:VZYXNtkShLg

> 不思議です。再来襲したので発信元毎のフォルダを作成し、ある程度たまったらISPに文句を言おうと思ったのですが、発信元がどんどん増えています。
> 以下はメモですが、発信元ISPが、これ+αだけあります。で、ケーブルネットと思われるモノや、大学なども有り、発信元のPCはいったいどういう状態なのだろうと考えてしまいます。

 お疲れさまです。
私はこの詐称の被害に遭っていませんけど、挙げられた ISP は
英文スパムや海外経由の日本語スパム(ムラカミとか、ヒューマンクラブとか)で
よく見かけるもので一杯です。

おそらく「スパム・ゾンビ」(と、呼ばれるらしい)状態のPCを踏み台にして
送信されているのかと。
http://japan.internet.com/busnews/20040319/11.html

> 常時接続なのでバックドアあけられたか、もしかすると、このFreeTeenMovies.exeを
> 誤って実行した人が気が付かずに打っているのかもしれませんね。

 私もその可能性が高いかと思います。
その FreeTeenMovies.exe をチェックしてみたら、トロイの木馬かスパイウェアの
どちらかが見つかる可能性が高いんでしょうね。
仮に見つからなかったとしても、相当やばいファイルである可能性が高そう。


記事No.17509/タイトル:Re^2: 外国でもこのexeが話題に(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/14(Fri) 22:51:27 / 投稿者:一体全体
★ツリー/親記事[17331]+++前記事[17507]
-レス記事[17515]

ID-code:gZjmu3nRu1k(本記事は投稿者自身により05/14-23:00に修正されました)

FreeTeenMovies exeが、その後問題になっていないか、ちょっとgoogleで検索してみたら、外国でも話題になっていることがわかりました。やはりundeliveredにならないで広告として届いているのもあるんですね。
いくつか、これについて言及されているサイトがある中で、以下のサイト

http://article.gmane.org/gmane.mail.spam.spamcop.help/40463

には、「このexeファイルについてシマンテックに聞いた人がいたけれども、これ自体はトロイの木馬とかウィルスではない、ということだった、残る可能性はダイヤラだろう、チェックはできないけどね」、みたいなことが書いてあります(と思います)。ほかにも情報が書いてあるようです(wanadooがBackdoorされているみたい、とか。すみません、色々と力不足でちゃんと概要を語れなくて。間違っていたらごめんなさい)。


記事No.17515/タイトル:Re^3: 外国でもこのexeが話題に(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/15(Sat) 11:46:14 / 投稿者:はらひれ
★ツリー/親記事[17331]++++前記事[17509]

ID-code:l3Xs5AZeC0U

はじめまして。
私もこのspamにメールアドレスを詐称されたおかげで、ここ1週間ほど死ぬほどバウンスを食らって困ってました。

英語圏ではどうなのかな〜と思って調べてみると、ニュースグループ news://news.admin.net-abuse.email でも話題になってました。
(Google経由はこちら→http://groups.google.com/groups?q=freeteenmovies+group:news.admin.net-abuse.email&group=news.admin.net-abuse.email

http://groups.google.com/groups?q=freeteenmovies+group:news.admin.net-abuse.email

ざっと見てみると、
・このspammerは元々Tripodを根城にしていたが、昨年の秋にvoila.frに移った。
・voila.frはまるで対処する気配なし。
・"FreeTeenMovies.exe"はウイルス入りdialer?
・最近詐称されてる送信元は.jp/.de/.kr
....というところでしょうか。
つまりドイツと韓国でも同じ目にあってる人がいるんでしょうね。


記事No.17528/タイトル:再来襲も沈静化(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/16(Sun) 00:59:30 / 投稿者:一体全体
★ツリー/親記事[17331]+前記事[17331]

ID-code:gZjmu3nRu1k(本記事は投稿者自身により05/16-01:01に修正されました)

5.16午前1時現在、再びおさまった模様です。15日朝9時台以降、何も来ていません。
#sage


記事No.17542/タイトル:Re: 発信元・返信先詐称による被害
投稿日:2004/05/17(Mon) 19:58:13 / 投稿者:N@相模原
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17546]

ID-code:no_id

Yien君、そろそろヤメてくれないかなぁ。
いや、本名じゃないとは思うけどネ。


記事No.17546/タイトル:総括
投稿日:2004/05/18(Tue) 12:51:16 / 投稿者:その場限り
★ツリー/親記事[17331]++前記事[17542]

ID-code:94jZOv/s4zI

> Yien君、そろそろヤメてくれないかなぁ。
> いや、本名じゃないとは思うけどネ。

結局、中国のボウヤが、日本、ドイツ、イギリス、韓国の人を相手に「いたずら」をしているという事のようですね。
この中国人さんですが、voila.frだけを使っていれば良かったのですが、それ以外のGeoCityなどにも転送だけのHPを作る変形版も流し始めました。
・・・で、そのGeoなどはページのactivationのために、NETからのメールを受ける必要があるはずです。
そのメールはhotmailであれ、yahooのmailであれ、最後の最後は実メールアドレスで受けなければいけません。これを正当な手段で追えば、そちらの方から、このスパムの発信元にたどり着けます。
ですから、Yahooで受けたspamのバウンスに、Geoのページが記載されていれば、上手く行けば、その中国人サンにたどり着きます。

それ以外に、そのGeoページ(^^;)の管理者さんは、どこの国からのアクセスで、そのページを開いたかも、判るんです。

・・・で、良いんだよね? Yien君!。


記事No.17577/タイトル:当方への再来襲とその後(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/21(Fri) 22:59:59 / 投稿者:管理人
★ツリー/親記事[17331]+前記事[17331]
-レス記事[17603][17635][17637]

ID-code:w6SZ3BprNCg

ちょっとバタバタしていたもので、報告が遅れてしまいましたけど。

http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17498
で、さんじゅうろう氏が書いて下さっているように、
当方も再来襲を受けました。
Fri, 14 May 2004 11:22:12 +0900

http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/017331.html#17400
の時と同じ先すなわち
uk-abuse@yahoo-inc.com, mail-abuse@yahoo-inc.com, kwoods@uk.yahoo-inc.com, khawkins@europe.yahoo-inc.com
に4回目の対処依頼を送付。

その後、停止しまして、結局再来襲のエラーは総計100通ほどでした。

ukl.yahoo.com
からのエラーは
Sat, 15 May 2004 04:05:16 +0900 (JST)
Sat, 15 May 2004 04:53:03 +0900 (JST)

freeserve
からのは
Fri, 14 May 2004 23:52:28 +0900 (JST)

その他は
Sat, 15 May 2004 03:36:51 +0900 (JST)
頃を最後にして終了しています。

 再来襲も含めて、今回の件での全てのエラーメールは1200通ほど。
spamが毎日200通来ているので、
それと比較するとそれほどでもありませんが
今後どうなるのか分からない点が通数以上の不安感を呼び起こしますね。

 ともあれ沈静化してくれて一安心でした。
まだ継続している方はいらっしゃいますかね!?


記事No.17603/タイトル:Re: 当方への再来襲とその後(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/22(Sat) 05:41:12 / 投稿者:はろー
★ツリー/親記事[17331]++前記事[17577]
-レス記事[17741]

ID-code:qyi201msqMA

> 今後どうなるのか分からない点が通数以上の不安感を呼び起こしますね。

本題とはあまり関係ありませんが、ちょうど2年ほど前に私が管理する
ドメインの1つがFrom詐称の大被害にあったことがあり、1週間以上
bounceの山に悩まされたことがあります。
1日あたり5,000通以上のbounceですよ....。
おかげでメール転送先の私用ISPに、負荷をかけすぎた、という
理由で当方のサーバからのメール受信を拒否されてしまったりもしました。

このスレッドのspamと同一犯人と思しきFrom詐称も最近ありましたが
せいぜい1日あたり50通程度のbounceだったので、ほとんど気になりませんでした。
# あぁ、またか、程度の気持ち。常に詐称被害にあってると麻痺します ^^;


私のような零細企業のサーバ管理者でもこのような経験があるのだから
大企業のサーバ管理者さんは大変でしょうね...。
#sage


記事No.17741/タイトル:Re^2: 当方への再来襲とその後(Re: 発信元・返信先詐称による被害)
投稿日:2004/06/06(Sun) 11:15:05 / 投稿者:一体全体
★ツリー/親記事[17331]+++前記事[17603]

ID-code:gZjmu3nRu1k

ずっと来ていませんでしたが、何と今ごろ(6.4付)、一つ来ました。
mail.demon.netというところからのバウンスです。
私のメアドを騙ったメールの発信元の日付が5月8日となっており、まさに
最盛期の頃です。to: にはやはり、co.ukのアドレスが入っていました。
一ヶ月もたって不達通知が来るということがあるのですね。
to:に入っているアドレスと、バウンスを返してきたサーバーのドメインが違うから、
でしょうか。よくわかりませんが。
#sage


記事No.17635/タイトル:いまでも来襲しています。
投稿日:2004/05/25(Tue) 15:53:33 / 投稿者:N@相模原
★ツリー/親記事[17331]++前記事[17577]

ID-code:94jZOv/s4zI

もっとも、こっちは、会社のメールアドレスなんで、受信にカネはかからないし、Mailer-Daemon@とpostmaster@はMail Errorっていうフォルダに直行なんで、痛くも痒くもありません。
…で、その中から和モノを取り出して、晒し者にしています。

基本的に、私はSpamZombieは加害者という考え方ですので。


記事No.17637/タイトル:Re: 当方への再来襲とその後(Re: 発信元・返信先詐称による被害)
投稿日:2004/05/25(Tue) 23:18:25 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]++前記事[17577]
-レス記事[17712]

ID-code:pW6x64vR1eI

ごぶさたしています。
今まで様子を見ていましたが、

btinternet.com Tue, 18 May 2004 18:25:34 +0000
freeserve.com Tue, 18 May 2004 20:18:57 +0200 (CEST)

を最後に停止しています。
総合計1129通でした。


記事No.17712/タイトル:今更ながら返事が
投稿日:2004/06/02(Wed) 22:02:37 / 投稿者:さんじゅうろう
★ツリー/親記事[17331]+++前記事[17637]
-レス記事[17715]

ID-code:pW6x64vR1eI

本日、ソフトバンクBB(Yahoo BB)から返信がありました。

「発信者に対しまして弊社ルールに従った対応を行いました」
「ネット上の迷惑行為を一切許しておらず、発信者に対し厳重に対応を行います」

とのことでした。


記事No.17715/タイトル:Re: 今更ながら返事が
投稿日:2004/06/02(Wed) 23:19:32 / 投稿者:仔鹿
★ツリー/親記事[17331]++++前記事[17712]

ID-code:t/QWNYpcRm6

ソフトバンクBBは対応が遅いですね。
よくspammerが寄生してます。

> 本日、ソフトバンクBB(Yahoo BB)から返信がありました。
>
> 「発信者に対しまして弊社ルールに従った対応を行いました」
> 「ネット上の迷惑行為を一切許しておらず、発信者に対し厳重に対応を行います」
>
> とのことでした。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0034番へ]
bokumetusiteki