[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0040番へ]
[ 20949 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Jun 10 10:35:43
記事No.20949/タイトル:"Mail Delivery failure"というSPAM?
投稿日:2005/06/10(Fri) 10:35:43 / 投稿者:Yupapa
★ツリー/親記事[20949]
-レス記事[20950]

ID-code:no_id

subjectが"Mail Delivery failure"というSPAM?がたまに入ってきます。(月に2通くらい)
同じように"Mail System"というタイトルでも来ます。
ヘッダを見ると、発信は[61.207.135.63]OCNのネットワークのようです。
メール配信システムを利用したSPAMなのか?
メール配信システムが出したように装ったSPAMなのか?
どのように処置したらよいか、よく分からないので教えて下さい。
差出人は知らないメールアドレスですが、実在するメールのようなので、配達不可になるのは変ですね。

ヘッダ中の"X-BkASPil..."はメーラBecky!のSPAMフィルタープラグインが残した物でSPAMと判断しています。
また、AVGアンチウィルスがウィルス添付ファイルを削除したメッセージを追加しています。"X-Antivirus: ...."
これらは、自パソコンのソフトがヘッダに付け足した物です。

以下メール全文です(一部XXXXで伏せています)
X-BkASPil-Result: spam
X-BkASPil-BayesResult: 1
Return-path: <xxxx@xxxx.com>
Received: from dab.hi-ho.ne.jp (sproxy34 [192.168.125.210])
by smaster4.hi-ho.ne.jp (hi-ho Mail Server)
with ESMTP id <0IHT00EOARJP9O@smaster4.hi-ho.ne.jp>; Fri, 10 Jun 2005 01:09:25 +0900 (JST)
Received: from dab.hi-ho.ne.jp (p2063-ip01imazuka.yamagata.ocn.ne.jp [61.207.135.63])
by dab.hi-ho.ne.jp id XLCC43D0; Fri, 10 Jun 2005 01:09:16 +0900 (JST)
Date: Fri, 10 Jun 2005 01:09:17 +0900
From: xxxx@xxxx.com
Subject: Mail Delivery failure (eokayama@dab.hi-ho.ne.jp)
To: eokayama@dab.hi-ho.ne.jp
Message-id: <20050610010917.83426A7300070F1D@sproxy34>
X-Priority: 1
X-MSMail-priority: High
X-Antivirus: AVG for E-mail 7.0.323 [267.6.6]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="Boundary_(ID_gdBmYuFVJY0+aNJ9TLbwCA)"

--Boundary_(ID_gdBmYuFVJY0+aNJ9TLbwCA)
Content-Type: text/plain; charset=Windows-1252
Content-Transfer-Encoding: 8bit


Delivery Failure - Invalid mail specification

------------- failed message -------------
G・・<N4>-o$F#cvtj-F6CYK454wcp>F(74&&;0Q~+h
n$YUutAaKEm%TZ&zSr;W_YOSRTQ>Pq:xy<k,5ka|pOc
s<v9S3xLqb;mAv!vtU,v;$LYPN',゜%6weC#O4Z?xXP
3oHqnckOrmk1:&g<VbxYfG#k!!MEb'L9)4臉Y_jE

The message has been sent as a binary attachment.


--Boundary_(ID_gdBmYuFVJY0+aNJ9TLbwCA)
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

Viruses found in the attached files.
The file data7912.zip: Virus identified I-Worm/Netsky.R. The attachment was=
moved to the virus vault.

Checked by AVG Anti-Virus.
Version: 7.0.323 / Virus Database: 267.6.6 - Release Date: 2005/06/08

--Boundary_(ID_gdBmYuFVJY0+aNJ9TLbwCA)--


記事No.20950/タイトル:Re: "Mail Delivery failure"というSPAM?
投稿日:2005/06/10(Fri) 10:52:53 / 投稿者:高柳
★ツリー/親記事[20949]+前記事[20949]
-レス記事[20952]
参照先:http://homepage1.nifty.com/redwing/

ID-code:27oGPf7.TJs

> subjectが"Mail Delivery failure"というSPAM?がたまに入ってきます。(月に2通くらい)

単なるウィルスメールかと思いますが・・・
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=Delivery+Failure+%2D+Invalid+mail+specification&num=50

私のところにはNetSkyは毎日10通は未だに届きます。


記事No.20952/タイトル:Re^2: "Mail Delivery failure"というSPAM?
投稿日:2005/06/10(Fri) 12:59:19 / 投稿者:Yupapa
★ツリー/親記事[20949]++前記事[20950]
-レス記事[20954]

ID-code:QW5f3a8bwEE

> 単なるウィルスメールかと思いますが・・・
なるほど、メール不達報告のように装ったウィルスメールなんですね。
fromも詐称しているでしょうから、処置できるとしたらISP管理者...
abuse担当に「ウィルスメールの報告」ということで報告だけしておきましょうか。


記事No.20954/タイトル:2種類あります (Re^3: "Mail Delivery failure"というSPAM?)
投稿日:2005/06/10(Fri) 20:15:38 / 投稿者:Zeit
★ツリー/親記事[20949]+++前記事[20952]
-レス記事[20958]

ID-code:SBmVS.qlfOU(本記事は投稿者自身により06/10-20:18に修正されました)

Zeitです。
ウイルスメールは、こちらの趣旨から少しはずれますが、誤解する方がいらっしゃるとまずいかな、と思いますので。

このような件名でのウイルスつきのメールの場合、実は2種類あります。

1.本当にウイルス(ワーム)が発信したメールの場合。
この場合は、発信元プロバイダとFromが食い違っている場合がほとんどです。発信元プロバイダに「御社管理下IPアドレスからウイルスメールを受け取ったので、当該PCのユーザを特定の上対処してほしい」と送りましょう。その際には
・メールヘッダ全体とメール本文(あれば)。
・ウイルスの入った添付ファイルのファイル名とサイズ(BASE64などのエンコード情報があればそれも)。必ず名前とサイズのみとし、添付ファイル自体を送ってはいけません。
・使用しているウイルス対策ソフトの名称とバージョン(ソフト本体およびパターンファイルのバージョンそれぞれ)。最新としている自信があれば「最新バージョン」でも構いません。
・検出されたウイルスの名称。NetSky.qとか、なるべく詳しく。
を、解析に必要な情報として送ります。

2.ウイルス(ワーム)が、あなたのアドレスをFrom(差出人)として発信し、宛先で「ウイルスつきのため(または宛先がないため)返送する」として、Fromに返されたメールの場合。
この場合は、発信元プロバイダ(サーバ)とFrom(通常admin@hoge.hogeといったような「管理者アドレス」が多い)がおおむね一致しているはずです。
この場合、ウイルス発信元を検出するのは難しいことがあります。ヘッダ込みで全部返してくれれば検出できることもありますが、そうでない場合も多々あります。
ただ、このようなセキュリティ対策は、ウイルスの拡大に一役買っていることになりますので、当該サーバ管理者に「添付ファイルつきのメールをエラー返送する場合、添付ファイルは送り返さないようにすべきである」とのメールを送っておくとよいでしょう。
実際、エラー返信メールで、添付ファイルは名前だけ、というのが最近増えています。これは正しい判断と思います。
エラーメールの返送時、
・添付ファイルがウイルスつきの場合→ウイルスの拡大防止のため、添付ファイルは返送すべきではありません。
・添付ファイルがウイルスつきではない場合→送信元はこのファイルを持っているはずなので、返送する意味がありません。
いずれにせよ、添付ファイルのあるメールをエラー返送する場合、返送メールにも元メールの添付ファイルを添付する必要はないことになります。

なお、ウイルスの中にはたいへん巧妙なものがあり、NetSky系の中には、本文に
Please read the attached file.
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
と書かれているものがあります。訳すと、
「添付ファイルをお読みください」
「+++ 添付:ウイルスは見つかりませんでした」
「+++ マカフィー・アンチウイルス - www.mcafee.com」
となります。
有名な、マカフィーのウイルスチェックをクリアしたような内容で、知らなければそのまま添付ファイルを実行して、見事に感染、ということになりかねません。

スパム対策をする中で、ウイルスメールに関する知識も蓄えると、さらによいと思います。「怪しげなメールを見ただけで、スパムかウイルスかわかる」ようになるとすばらしいかも?


記事No.20958/タイトル:Re: 2種類あります (Re^3: "Mail Delivery failure"というSPAM?)
投稿日:2005/06/11(Sat) 00:31:32 / 投稿者:Yupapa
★ツリー/親記事[20949]++++前記事[20954]

ID-code:ZZrYBkCdnWg

高柳さん、Zeitさんどうもありがとうございます。
私もご近所ではインターネット指南役になっているので<チト頼りないですが>、今回はいい勉強して得した気分です。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0040番へ]
bokumetusiteki