[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0038番へ]
[ 20042 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Feb 08 01:53:31
記事No.20042/タイトル:やや巧妙なヘッダ(英文スパム)
投稿日:2005/02/08(Tue) 01:53:31 / 投稿者:Zeit
★ツリー/親記事[20042]
-レス記事[20044][20046]

ID-code:SBmVS.qlfOU(本記事は投稿者自身により02/09-09:15に修正されました)

Zeitです。
やや巧妙なヘッダの英文スパムが着信しました。SpamCop利用で通報済。

Received: from 202.248.20.203 ([83.165.147.64])
となっています。それぞれのアドレスを調べてみると…

「202.248.20.203」のドメイン名への変換結果→「ums504.nifty.ne.jp」
これは、偽装でしょう(Receivedのbyと同じ)。

83.165.147.64 … GeekToolsによると、スペインのようです。

なお、Message-Idより下のReceivedは、ほぼ100%偽装なので、調べる意味はほとんどないと思われます。
参考までに、
12.0.119.147 … GeekToolsによると、アメリカのようです。

さらに参考までに、kmquest.com はオランダ(ネーデルランド)のドメインです。

これを見ると、Receivedのfromに

Received: from hoge (bbb.ne.jp[123.456.789.012])

とあったら、安易にhogeとかbbb.ne.jpを信じるのではなく、ちゃんと[]内のIPアドレスを「す〜ぱ〜もの」や「GeekTools」等で確認してから、報告するプロバイダを確定しなくては、と思います。
今回、@niftyや、デ通協には報告していません(外国発の英文スパムは「表示義務違反」でデ通協などへ通報しても迷惑なだけと判断)。

以下、受信メール内容です。

[ヘッダ:Toは、私のアドレスではありません(たぶんBcc指定)]←そのまま投稿していましたが伏せました(2月9日)
Return-Path: supgrrrhpvja@kmquest.com
Date: Mon, 07 Feb 2005 07:58:37 -0800
From: "Teri Galloway" <supgrrrhpvja@kmquest.com>
Reply-To: "Teri Galloway" <supgrrrhpvja@kmquest.com>
To: "*****.*****" <*****.*****@nifty.ne.jp>
Subject: Sammy
Received: from 202.248.20.203 ([83.165.147.64])
by ums504.nifty.ne.jp with SMTP id j17FwdI2006508;
Tue, 8 Feb 2005 00:58:44 +0900
Message-Id: <200502071558.j17FwdI2006508@ums504.nifty.ne.jp>
X-Message-Info: 095fxyI0XX2XQ65zHIGpwLIW884pcC78ohgIxymKET20IJ9
Received: from shroud.supgrrrhpvja@kmquest.com (sok417.obk421574712159779.wg-hbf.yda.supgrrrhpvja@kmquest.com [12.0.119.147])
by afoulsoftwood.supgrrrhpvja@kmquest.com
id AGWFG9623; Mon, 07 Feb 2005 07:58:37 -0800
[ambulateHost SMTP Relay 89.05]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--427553784224945519"

[本文:HTMLです。やたら多いbrタグは削除しました]
<html>
<head>
<title>mangle liquidate diva</title>
</head>
<body>
<p>
klan allotting conduit rainstorm absentee
<font face="Arial">
<h3>Find all your medications in one place!</h3>
<p>Whatever you need, we have it! Quick and inexpensive!
<b>
<a href="http://courtesy.veryfastviagra.info/in.php?aid=xxx">You name it! We have it!</a>
</b>
seethe kz spatula vg bobble rga bullfinch rnl piazza pq obsidian lqy tegucigalpa zhw thereby bkz don jtz sculpture uek
expulsion rtx tirana ltf salvage rdl etymology tc
</p>
</font>
</p>
</body>
</html>


記事No.20044/タイトル:Re: やや巧妙なヘッダ(英文スパム)
投稿日:2005/02/08(Tue) 06:26:28 / 投稿者:S-PAI
★ツリー/親記事[20042]+前記事[20042]

ID-code:fl8DKJoSGUw

S-PAIです。

> やや巧妙なヘッダの英文スパムが着信しました。SpamCop利用で通報済。
> > Received: from 202.248.20.203 ([83.165.147.64])
> となっています。それぞれのアドレスを調べてみると…
> > 「202.248.20.203」のドメイン名への変換結果→「ums504.nifty.ne.jp」
> これは、偽装でしょう(Receivedのbyと同じ)。
完全偽装です。と言うよりは、こちらのIPアドレスを名乗るのはspammerしかいません(断言)
#自分自身なら「127.0.0.1」で済みますので。

> > 83.165.147.64 … GeekToolsによると、スペインのようです。
> > なお、Message-Idより下のReceivedは、ほぼ100%偽装なので、調べる意味はほとんどないと思われます。
> 参考までに、
> 12.0.119.147 … GeekToolsによると、アメリカのようです。
> > さらに参考までに、kmquest.com はオランダ(ネーデルランド)のドメインです。
> > これを見ると、Receivedのfromに
> > Received: from hoge (bbb.ne.jp[123.456.789.012])
> > とあったら、安易にhogeとかbbb.ne.jpを信じるのではなく、ちゃんと[]内のIPアドレスを「す〜ぱ〜もの」や「GeekTools」等で確認してから、報告するプロバイダを確定しなくては、と思います。
> 今回、@niftyや、デ通協には報告していません(外国発の英文スパムは「表示義務違反」でデ通協などへ通報しても迷惑なだけと判断)。

私の場合は「hoge=受信側のIPアドレス」の場合、問答無用でspam扱いしています。
#通報するときははずしましょう。


記事No.20046/タイトル:Re: やや巧妙なヘッダ(英文スパム)
投稿日:2005/02/09(Wed) 00:35:06 / 投稿者:白梟
★ツリー/親記事[20042]+前記事[20042]
-レス記事[20049]

ID-code:VZYXNtkShLg

> やや巧妙なヘッダの英文スパムが着信しました。SpamCop利用で通報済。
> Received: from 202.248.20.203 ([83.165.147.64])

 英文スパムでは多いですね。
日本語スパムでも、一部で見かけます。

> [ヘッダ:Toは、私のアドレスではありません(たぶんBcc指定)]

 こういう場合、無関係な他被害者のアドレスである可能性が高いと思います。
伏せた方が良いのでは?
#sage


記事No.20049/タイトル:修正致しました
投稿日:2005/02/09(Wed) 09:17:49 / 投稿者:Zeit
★ツリー/親記事[20042]++前記事[20046]

ID-code:SBmVS.qlfOU

Zeitです。

>  こういう場合、無関係な他被害者のアドレスである可能性が高いと思います。
> 伏せた方が良いのでは?

ご指摘ありがとうございます。元記事は、修正致しました。
確かに「多数送る中の、どれか1つ」がToに指定されている、ということはありますね。気をつけたいと思います。
#sage


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0038番へ]
bokumetusiteki