[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0041番へ]
[ 21445 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Aug 12 13:00:18
記事No.21445/タイトル:これは、ゾンビの証拠?
投稿日:2005/08/12(Fri) 13:00:18 / 投稿者:桜急行
★ツリー/親記事[21445]
-レス記事[21450][21474]

ID-code:LJ7V7D1N9LE

下記の迷惑メールが届きました。発信元のサーバーは大学ですが、
大学から中国のサーバーに渡っているようです。

これは、大学のサーバーがゾンビになっているのでしょうか?
それとも、
詐称したヘッダーが偶然大学になってしまったのでしょうか?

その、見極めはどこでしょうか?

返信が受け付けられない事がありますので、発言に無反応でもご容赦を!
======以下は迷惑メール===============
Return-Path: phmwnq1@fisha1.vicp.net
Date: Thu, 11 Aug 2005 14:00:15 +0800
From: jfqn7 <phmwnq1@fisha1.vicp.net>
To: <*************.ne.jp>
Subject: やっとだよ
Received: from mxg510.nifty.com (mxg510.nifty.com [202.248.238.50])
by ums517.nifty.ne.jp with ESMTP id j7B60Qpr018871
for <*************.ne.jp>; Thu, 11 Aug 2005 15:00:27 +0900
Received: from fisha1.vicp.net ([222.171.18.161])by mxg510.nifty.com with ESMTP id j7B60CWJ003028
for <*************.ne.jp>; Thu, 11 Aug 2005 15:00:17 +0900
Received: from qflju8 (unknown [163.52.8.251])
by fisha1.vicp.net (Coremail) with SMTP id K0TmV7hSKB8wRoOG.1
for <*************.ne.jp>; Thu, 11 Aug 2005 14:00:15 +0800 (CST)
X-Originating-IP: [163.52.8.251]
Message-ID: <0012361867$35406233$44650578@qflju8>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_00C8_01C80608.802928F8"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1478
X-MimeOLE: Produced By Microsoft MimeOLE 6.00.2800.1478

正しい出会い方。
ここなら無料で出会える(レクチャー付き)
http://www.namae.tv/<HTML><HEAD>
<META content="MSHTML 6.00.2900.2627" name=GENERATOR></HEAD>
<BODY>
<P>正しい出会い方。</P>
<P>ここなら無料で出会える(レクチャー付き)</P>
<P><A href="http://www.namae.tv/">http://www.namae.tv/</A><BR></P></BODY></HTML>
============================


記事No.21450/タイトル:Re: これは、ゾンビの証拠?
投稿日:2005/08/12(Fri) 21:45:19 / 投稿者:白梟
★ツリー/親記事[21445]+前記事[21445]

ID-code:VZYXNtkShLg

> 下記の迷惑メールが届きました。発信元のサーバーは大学ですが、
> 大学から中国のサーバーに渡っているようです。
> これは、大学のサーバーがゾンビになっているのでしょうか?
> それとも、
> 詐称したヘッダーが偶然大学になってしまったのでしょうか?

 このヘッダは難しいですね。
1番上の Received はニフティ内部だから無視するとして、上から2番目と
3番目の間に矛盾が見つけられない。

3番目の Received を記したのは fisha1.vicp.net という事になりますが、
もし fisha1.vicp.net が信用できるサーバーである可能性が高いと考えるので
あれば、163.52.8.251 の大学にも連絡します。

逆に fisha1.vicp.net が信用できないと考えるならば、3番目の Received は
無視します。

 で、私なら fisha1.vicp.net は信用できないと判断します。
これはISPのサーバーでは無さそうな上に、○○.vicp.net を宣伝する中国語
スパムを頻繁に受け取っていますもので…。

あと、ゾンビの場合は、わざわざ他国のSMTPサーバーを経由したりせず、
直接送ってくるのが普通のような気がします。


 ついでに、私のところにも同じサイトを宣伝するスパムが届いていますので、
それも載せておきますね。(ヘッダも本文もかなり違うものですが。)

こちらの Received も大きく矛盾はしてないのですが、上から3番目の
Received は、ほぼ確実に詐称かと思います。
「by ○○」の部分がIPアドレスなのは、基本的に信用できないと私は判断
していますので。


Return-Path: <irloofaavv@yahoo.com>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id NAA09215; Fri, 12 Aug 2005 13:50:30 +0900 (JST)
Received: from 222.171.18.115 ([222.171.18.115])
by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with ESMTP id j7C4oO7H009131
for <*****@mtg.biglobe.ne.jp>; Fri, 12 Aug 2005 13:50:27 +0900 (JST)
Message-Id: <200508120450.j7C4oO7H009131@rcpt-impgw.biglobe.ne.jp>
Received: from unknown (HELO vlm32219.net) (200.182.61.7)
by 222.171.18.115 with SMTP; 12 Aug 2005 04:50:26 -0000
X-Originating-IP: [200.182.61.7]
Date: Fri, 12 Aug 2005 12:50:25 +0800
From: "dfsasdfasdfffffffff" <irloofaavv@yahoo.com>
To: "*****" <*****@mtg.biglobe.ne.jp>
Reply-To: <irloofaavv@yahoo.com>
Subject: やっとだよ12:50:25
X-Mailer: VolleyMail.net 5.7[cn]
Mime-Version: 1.0
X-Priority: 1
X-MSMail-Priority: High
Content-Type: text/plain;
charset="ISO-2022-JP"
Content-Transfer-Encoding: base64
X-UIDL: 799491878649695F722057515Fc99999FA5F255


正しい出会い方。

ここなら無料で出会える(レクチャー付き)

ttp://www.namae.tv/
18489


記事No.21474/タイトル:Re: fisha1.vicp.net は住所不定
投稿日:2005/08/14(Sun) 14:33:18 / 投稿者:no_id
★ツリー/親記事[21445]+前記事[21445]
-レス記事[21557]

ID-code:EbLEuu7GGRk(本記事は投稿者自身により08/24-06:24に修正されました)

 桜急行さん、はじめまして。 no_idと申します。

> 返信が受け付けられない事がありますので、発言に無反応でもご容赦を!

とのことですので、ゾンビの証拠?というご質問とは無関係に、私自身が気になる
ことを勝手に書かせていただきます。

桜急行さんの提供くださったヘッダの2番目の
> Received: from fisha1.vicp.net ([222.171.18.161]) by mxg510.nifty.com with ESMTP id
> j7B60CWJ003028 for <*************.ne.jp>; Thu, 11 Aug 2005 15:00:17 +0900

にある「fisha1.vicp.net」を nslookup で検索してみました。↓
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=fisha1.vicp.net

すると、日によってあるいは日に何回か IPアドレスが変わります。 時々

>「fisha1.vicp.net」のIPアドレスへの変換結果→「なし。fisha1.vicp.net は存在しない。」

という結果になったりもします。


 さて、ヘッダ全体は、かつて価格.com 関連のスレッドで情報提供くださった
stenさんのサンプル(↓)の1通目によく似ています。
  http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/020767.html#20940

桜急行さんへのスパムに比べて From: の表示名が gb2312 でエンコードされている
いない、OE や MimeOLE のバージョン、Priority の高さなどの違いはありますが、
Message-ID や SMTP id の表示形式がそっくりです。
また、きんたろうさんのも deai.xicp.net でありながらIPアドレスが違っています。

そこで、1通目の deai.xicp.net、2通目の deai.oicp.net、3通目の deai.vicp.net の
「deai.」をはずし、(というのは、付いたままでは「なし。…は存在しない。」との結果)
@xicp.net、Aoicp.net、Bvicp.net のそれぞれのIPアドレスを nslookup で検索しました。↓

@ http://antispam.stakasaki.net/tools/nslookup.cgi?domain=xicp.net

A http://antispam.stakasaki.net/tools/nslookup.cgi?domain=oicp.net

B http://antispam.stakasaki.net/tools/nslookup.cgi?domain=vicp.net

また、fisha1.vicp.net の「fisha1.」をはずした vicp.net を Geek新サーバnospam版で
whoisすると↓
http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=vicp.net&targetnic=auto&det=on

中国の Onlinenic.com に登録がなされているよう。 ページの一番下に出てくる
ttp://www.vavic.com を す〜ぱ〜もの で検索すると↓
C http://nayuki.homeunix.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=www.vavic.com%2F

となり、@ABCとも同じIPアドレス、[219.136.252.83] で逆引きは不能のようです。
(あるいはこのIPアドレスも動くものなのかも。)

fisha1.vicp.netとは、ORAY Network Resource Co.,Ltd. またの名 Vavic Network Technology,Inc.
という会社(?)から購入した独自の(サブ)ドメインで住所不定、CHINANET あたりのアドレスを
とっかえひっかえ渡されて付け替える、もしかしたら、本体は日本にあるかも知れない
サーバ(スパムウェア)といったところでしょうか?
abuse先は、(財)日本データ通信協会のほかには、どこが適当なのでしょう?

何度も書き直してすみません。

♭sage


記事No.21557/タイトル:Re^2: fisha1.vicp.net は住所不定
投稿日:2005/08/26(Fri) 22:45:12 / 投稿者:白梟
★ツリー/親記事[21445]++前記事[21474]

ID-code:VZYXNtkShLg

> にある「fisha1.vicp.net」を nslookup で検索してみました。↓
> http://antispam.stakasaki.net/tools/nslookup.cgi?domain=fisha1.vicp.net
> すると、日によってあるいは日に何回か IPアドレスが変わります。 

 前回書いた時には気付いてなかった(というか、探そうとしてすらなかった)のですが、
vicp.net は、サイトを見るとダイナミックDNSサービスを提供しているようです。
とすれば、日々IPアドレスが変わるのも頷ける話。

単にデマカセで名乗っただけの可能性も否定できないので、fisha1.vicp.net の
使用者がスパム送信に関わったとは断定できませんが、この fisha1.vicp.net と
いうのは個人、もしくは比較的小さな会社等が所有しているものでしょう。

いずれにせよISP等のサーバーでは無さそうですし、最下部の Received はやはり無視
すべきものだと思います。

 国内スパムの場合、かつては ISP A で接続して、ISP B の SMTPサーバーで
送信する、といったパターンがそれなりに見られました。
ですから以前は、迷ったら両方連絡しておくという考え方もあったように思います。

しかし現在ではそういうパターンは殆ど見られなくなっていますので、迷ったら、
上から見ていって一番最初に出てきたところへの連絡だけにとどめた方が良さそうです。

なお、念のために強調しておきますが、Received は必ず上から連絡先を探してください。
Received は下に行けば行くほど、詐称の可能性が高くなります。

もし途中の連絡先がよく分からなかったとしても、飛ばして下に連絡するという
選択肢はありません。

> 桜急行さんへのスパムに比べて From: の表示名が gb2312 でエンコードされている
> いない、OE や MimeOLE のバージョン、Priority の高さなどの違いはありますが、
> Message-ID や SMTP id の表示形式がそっくりです。

 こういったヘッダに GB2312 が含まれるスパム、最近よく見かけるんですよねぇ。
私の使ってるメーラーだと、真に受けてデコードに失敗しちゃうので、目に付いたり…。

ちゃんと確認してませんが大抵中国経由のような気がするので、送信に中国系の人物が
関わっているものがあるのでしょう。
重複もありそうだけど、多分数グループあるような気がする。

 ちなみに、価格.com から漏れたとしか思えないアドレスですが、もともとスパムが
届いてなかった方のアドレスには、あれ以来全くスパムが届いていません。

もう一方の、それ以前から時折見かけた方には、ボチボチ届いていますが、
これは価格.com から漏れた件とはおそらく関係ないでしょう。

> abuse先は、(財)日本データ通信協会のほかには、どこが適当なのでしょう?

 私なら、network@hljtele.com と anti-spam@chinanet.cn.net ですね。
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=222.171.18.161&targetnic=auto
あまり対処は期待出来ませんが。

> 何度も書き直してすみません。

 本当に…。正直、如何なものかと思います。
熱心なのは感心しますが、もう少し考えをまとめてから書いた方が良いのでは?
#sage


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0041番へ]
bokumetusiteki