[18369]番スレッド迷惑メール(spam)撲滅私的調査会 HTML化ログ

[掲示板に戻る] [HTML化ログ大目次へ][ツリー一覧0035番へ]

[ 18369 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ

Date: 2004 Aug 13 00:07:14

記事No.18369/タイトル：開封通知風？？
投稿日：2004/08/13(Fri) 00:07:14 / 投稿者：harry
★ツリー/親記事[18369]
-レス記事[18373][18375][18376]

ID-code:tB5WyfK7pxw

普段はROMの者です。
今日は少々おかしなメールが来たので、
お知恵を借りたくやってきました。
以下のメールなんですが、「開封通知」を装っています。
しかもよく届くスパムと同じsubjectで届きました。
何のつもりなのか分析していただけますでしょうか？
因みに添付ファイルがあって、ATT00005.txtというファイルが付いていました。
---------------は送信側のアドレスで、同じプロバイダーになってますが、
詐称ぽく感じます。詐称と言い切れない部分もありますけど。
メールアドレスとIPアドレス部分は伏せ字にしてあります。

Return-Path: <------------＠jcom.home.ne.jp>
Received: by mta11.im.home.ad.jp with ESMTP
id <20040810115730.VMGP1505.mta11.im.home.ad.jp＠ismtp16.mf.home.ne.jp>
for <*************＠jcom.home.ne.jp>; Tue, 10 Aug 2004 20:57:30 +0900
Received: from smtp12.mf.home.ne.jp (smtp12.mf.home.ne.jp [***.***.**.***])
by ismtp16.mf.home.ne.jp (i14060100) with ESMTP id i7ABvU5c015079
for <*************＠jcom.home.ne.jp>; Tue, 10 Aug 2004 20:57:30 +0900 (JST)
Received: from mikuy2ongmtr21 (***-***-***-**.home.ne.jp [***.***.***.**])
by smtp12.mf.home.ne.jp (s14060100) with SMTP id i7ABvT5j011795
for <*************＠jcom.home.ne.jp>; Tue, 10 Aug 2004 20:57:29 +0900 (JST)
Message-ID: <000a01c47ed1$3b4133d0$0c01a8c0＠mikuy2ongmtr21>
From: "------" <-------------＠jcom.home.ne.jp>
To: <*************＠jcom.home.ne.jp>
References: <QXC99.YX＠JlmXQrCT>
Subject: =?iso-2022-jp?B?GyRCMytJdTpRJF8bKEIgOiAoSUQ6QlVORyk=?=
Date: Tue, 10 Aug 2004 20:57:37 +0900
MIME-Version: 1.0
Content-Type: multipart/report;
report-type=disposition-notification;
boundary="----=_NextPart_000_0006_01C47F1C.AAF65A20"
X-Mailer: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441

This is a multi-part message in MIME format.

------=_NextPart_000_0006_01C47F1C.AAF65A20
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit

次のユーザーに送信されたメッセージの開封確認です :
<*************＠jcom.home.ne.jp> : 2004/08/09 16:29

メッセージが、次の時間に開封されました : 2004/08/10 20:57
------=_NextPart_000_0006_01C47F1C.AAF65A20
Content-Type: message/disposition-notification
Content-Transfer-Encoding: 7bit
Content-Disposition: inline

Final-Recipient: rfc822;*************＠jcom.home.ne.jp
Original-Message-ID: <QXC99.YX＠JlmXQrCT>
Disposition: manual-action/MDN-sent-manually; displayed

------=_NextPart_000_0006_01C47F1C.AAF65A20--

本文の内容は以下のようなものです。

--------------------------------------------

次のユーザーに送信されたメッセージの開封確認です :
<*************＠jcom.home.ne.jp> : 2004/08/09 16:29

メッセージが、次の時間に開封されました : 2004/08/10 20:57

記事No.18373/タイトル：情報不足です。
投稿日：2004/08/13(Fri) 01:16:04 / 投稿者：黄泉
★ツリー/親記事[18369]＋前記事[18369]
-レス記事[18384]
参照先:http://no-spam.24ne.jp/

ID-code:PUnZQgP1buQ

> 普段はROMの者です。
> 今日は少々おかしなメールが来たので、
> お知恵を借りたくやってきました。
> 以下のメールなんですが、「開封通知」を装っています。
> しかもよく届くスパムと同じsubjectで届きました。
> 何のつもりなのか分析していただけますでしょうか？
これだけの情報で判断するのは難しいかと思われます。
まず、送信元のIPアドレスが無いので、偽装なのかの判断が出来ません。
そして、"よく届く"と言うspamの情報が無いので、関連性も判断出来ません。
更に、toがharry氏のアドレスに間違いないのかも記載されていません。

記事No.18384/タイトル：Re: 情報不足です。
投稿日：2004/08/13(Fri) 18:36:47 / 投稿者：harry
★ツリー/親記事[18369]＋＋前記事[18373]

ID-code:tB5WyfK7pxw

> これだけの情報で判断するのは難しいかと思われます。
> まず、送信元のIPアドレスが無いので、偽装なのかの判断が出来ません。
> そして、"よく届く"と言うspamの情報が無いので、関連性も判断出来ません。
> 更に、toがharry氏のアドレスに間違いないのかも記載されていません。

すみません、情報不足で。
toは私のアドレスでした。IPアドレスも調べましたが、
home.ne.jpのものでした。

記事No.18375/タイトル：Re: 開封通知風？？
投稿日：2004/08/13(Fri) 01:31:38 / 投稿者：桑木野
★ツリー/親記事[18369]＋前記事[18369]
-レス記事[18385]

ID-code:NrppobISv22（本記事は投稿者自身により08/13-01:35に修正されました）

黄泉氏の質問に加えて質問ですが

添付ファイルの拡張子は２重拡張子になっていないか確認されましたか。

開封確認を要求する設定になっていますか。

FromとToは同じアドレスですか。

添付ファイルは削除しましたか。

記事No.18385/タイトル：Re^2: 開封通知風？？
投稿日：2004/08/13(Fri) 18:41:43 / 投稿者：harry
★ツリー/親記事[18369]＋＋前記事[18375]

ID-code:tB5WyfK7pxw

> 黄泉氏の質問に加えて質問ですが
> > 添付ファイルの拡張子は２重拡張子になっていないか確認されましたか。
> > 開封確認を要求する設定になっていますか。
> > FromとToは同じアドレスですか。
> > 添付ファイルは削除しましたか。

どうもです。
拡張子は二重にはなっていません。
FromとToは別のアドレスでした。
Fromのアドレスは実在するアドレスだというのもわかりました。
同じドメインだったので、これは簡単に調べがつきました。

記事No.18376/タイトル：Re: 開封通知風？？
投稿日：2004/08/13(Fri) 02:01:06 / 投稿者：白梟
★ツリー/親記事[18369]＋前記事[18369]
-レス記事[18386]

ID-code:VZYXNtkShLg

　開封通知は目にした事がないもので、本物なのか判断できませんが…(^^;

> 以下のメールなんですが、「開封通知」を装っています。
> しかもよく届くスパムと同じsubjectで届きました。

よく届くスパムとは、ここで「そふとはうす」とか「ムラカミ」とか呼ばれている
違法コピーソフトの販売スパムのことですよね。
Subject が "開封済み : (ID:BUNG)" となってるところから察すると。

１．"(ID:BUNG)" を含む Subject のスパムが最近届きましたか？

２．そのスパムの From や Return-Path は自分のアドレスになっていないでしょうか？

３．そのスパムのヘッダには Disposition-Notification-To もしくは Return-Receipt-To 
　　というフィールドがないでしょうか？
　　しかもそこには、自分のアドレスが表示されていたりしないでしょうか？

　全部該当する、あるいは少なくとも３番だけでも該当するスパムが届いているなら、
同じスパムを受け取ったユーザーが、開封通知先として指定されていたあなたのアドレスに
開封通知を送ってしまった可能性が考えられます。

> 何のつもりなのか分析していただけますでしょうか？

　これはちょっと解りません。
ただ、ムラカミくんはヘッダに無知なようだから…。

> 因みに添付ファイルがあって、ATT00005.txtというファイルが付いていました。

　これは多分、inline になってるパートをメーラーが添付として解釈して
いるんだと思います。
普通に表示した状態では、最後の「Final-Recipient...」から始まるパートは
表示されてないんですよね？
しかも、表示するたびに ATT00005 部分の名前が変わったりしませんか？

記事No.18386/タイトル：Re^2: 開封通知風？？
投稿日：2004/08/13(Fri) 18:52:43 / 投稿者：harry
★ツリー/親記事[18369]＋＋前記事[18376]

ID-code:tB5WyfK7pxw

どうも、お世話になります。

> > １．"(ID:BUNG)" を含む Subject のスパムが最近届きましたか？

そふとはうす系というかひばり系と一緒だと思います。
開封通知の何時間か前に"(ID:BUNG)" を含むコピーソフトのスパムが
届いていました。

> > ２．そのスパムの From や Return-Path は自分のアドレスになっていないでしょうか？

Return-Path　と　To　は自分のアドレスでした。

> > ３．そのスパムのヘッダには Disposition-Notification-To もしくは Return-Receipt-To
> 　　というフィールドがないでしょうか？
> 　　しかもそこには、自分のアドレスが表示されていたりしないでしょうか？

２で届いたスパムはご指摘通りReturn-Receipt-Toがあり、自分のアドレスでした。

> > 　全部該当する、あるいは少なくとも３番だけでも該当するスパムが届いているなら、
> 同じスパムを受け取ったユーザーが、開封通知先として指定されていたあなたのアドレスに
> 開封通知を送ってしまった可能性が考えられます。

なるほど、そういうことでしたか。
自分のアドレスが開封通知先になっていたわけですね。
うーむ・・・。

> > > 何のつもりなのか分析していただけますでしょうか？
> > 　これはちょっと解りません。
> ただ、ムラカミくんはヘッダに無知なようだから…。
> > > 因みに添付ファイルがあって、ATT00005.txtというファイルが付いていました。
> > 　これは多分、inline になってるパートをメーラーが添付として解釈して
> いるんだと思います。
> 普通に表示した状態では、最後の「Final-Recipient...」から始まるパートは
> 表示されてないんですよね？

はい、表示されていません。

> しかも、表示するたびに ATT00005 部分の名前が変わったりしませんか？

数字が変わっています。さっき見たら18になってました。

[掲示板に戻る] [HTML化ログ大目次へ][ツリー一覧0035番へ]
bokumetusiteki