ID-code:Sj6WXs5u9Ws

最近のSPAM、特に海外からの物はウイルス感染しバックドアが仕掛けられているPCをSMTPサーバーにして送信してきます。
しかも、下のログを見る限り送信失敗しても次々とゾンビPCのリストから選択し再送信を図ります。
下のログは、一旦SPAMメールを受け取った所をフィルターしているため拒否されています。
かなり厄介です。

Fri, 27 Aug 2004 19:00:48:SMTP: accept:211-8-35-224.platz.jp [211.8.35.224])
Fri, 27 Aug 2004 19:00:48:SMTP: Filter reject:211-8-35-224.platz.jp [211.8.35.224])
Fri, 27 Aug 2004 19:02:24:SMTP: accept:81-202-119-0.user.ono.com [81.202.119.0])
Fri, 27 Aug 2004 19:02:24:SMTP: Filter reject:81-202-119-0.user.ono.com [81.202.119.0])
Fri, 27 Aug 2004 19:02:29:SMTP: accept:host-217-172-229-84.gdynia.mm.pl [217.172.229.84])
Fri, 27 Aug 2004 19:02:29:SMTP: Filter reject:host-217-172-229-84.gdynia.mm.pl [217.172.229.84])
Fri, 27 Aug 2004 19:02:58:SMTP: accept:chello080109021074.3.14.vie.surfer.at [80.109.21.74])
Fri, 27 Aug 2004 19:02:58:SMTP: Filter reject:chello080109021074.3.14.vie.surfer.at [80.109.21.74])
Fri, 27 Aug 2004 19:03:06:SMTP: accept:APoitiers-106-1-4-140.w80-13.abo.wanadoo.fr [80.13.85.140])
Fri, 27 Aug 2004 19:03:06:SMTP: Filter reject:APoitiers-106-1-4-140.w80-13.abo.wanadoo.fr [80.13.85.140])

ID-code:t/QWNYpcRm6

なんでゾンビPCから送られると分かるのでしょうか？

教えてください。

ID-code:Sj6WXs5u9Ws

> なんでゾンビPCから送られると分かるのでしょうか？
>
> 教えてください。

接続してきたマシンにSMTPで接続するとSMTPがアクティブで無いです。送信時に一時的に送信サーバー化している点が通常のメールサーバを持ったマシンと違います。またログから解るようにいくつもリストを持って送信してきます。システム化しています。
あとは、実際に送られてきたメールの内容を分析します。