[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0041番へ]
[ 21527 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Aug 22 16:39:56
記事No.21527/タイトル:ヘッダの見方
投稿日:2005/08/22(Mon) 16:39:56 / 投稿者:Wyvern
★ツリー/親記事[21527]
-レス記事[21528][21534][21540]

ID-code:no_id

こんにちわ. いつも参考にさせていただいてます.

今日着弾した下記のspamのヘッダについての質問ですが,

1番目のReceived:フィールドにあるocn.ne.jpと
3番目のReceived:フィールド以降の当方のISPとの間に,
2番目のReceived:フィールドのmx.o72.orgなるものが挟まっていますが,
これは ocn.ne.jp または mx.o72.org のどちらかが詐称されたものでしょうか?

それとも,こうゆうルートで配信される場合もある(つまり苦情先はocn)ので
しょうか?

よろしくお願いします.

------------ 以下ヘッダ込みのspam全文 ------------
Return-Path: <AV2381009@ybb.ne.jp>
Received: from localhost by ms13 with LMTP for <______私のメアド______>; Mon, 22 Aug 2005 08:45:51 +0900
Received: from vc14 (vc14 [172.23.0.14])
by vc14.ms.so-net.ne.jp with ESMTP id j7LNjpu6015547
for <______私のメアド______>; Mon, 22 Aug 2005 08:45:51 +0900 (JST)
Received: from mx15.ms.so-net.ne.jp (mx15.ms.so-net.ne.jp [172.23.0.35])
by sc01.ms.so-net.ne.jp with ESMTP id j7LNjoOp024366
for <______私のメアド______>; Mon, 22 Aug 2005 08:45:50 +0900 (JST)
Received: from mx.o72.org ([206.223.152.80])
by mx15.ms.so-net.ne.jp with ESMTP id j7LNjnjf009210
for <______私のメアド______>; Mon, 22 Aug 2005 08:45:49 +0900 (JST)
from p5139-ipad507marunouchi.tokyo.ocn.ne.jp (p5139-ipad507marunouchi.tokyo.ocn.ne.jp [222.148.84.139])
by mx.o72.org (Postfix) with ESMTP id B9BDF1CCD5
for <______私のメアド______>; Mon, 22 Aug 2005 08:52:10 +0900 (JST)
To: ______私のメアド______
Message-ID: <20050822.0826370218.babaq@AV2381009-ybb.ne.jp>
Date: Mon, 22 Aug 2005 08:26:37 +0900
From: =?ISO-2022-JP?B?GyRCJS4lYyVrGyhCMhskQiVeJUMlLyU5GyhC?= <AV2381009@ybb.ne.jp>
Subject: =?ISO-2022-JP?B?GyRCJGQkQyRRJGpBRz9NJEckNyRnISMbKEI=?=
MIME-Version: 1.0
X-Mail-Agent: BSMTP DLL Dec 17 2000 by Tatsuo Baba
Content-Type: text/plain; charset=ISO-2022-JP

となりの妹系コギャルからきれいなおねいさんまで。美少女ばかり
アップしました!18歳未満入場厳禁!必ず利用規約をご確認下さい。

http://gal2max.com/?e=識別子ぽいので伏せ


記事No.21528/タイトル:Re: ヘッダの見方
投稿日:2005/08/22(Mon) 21:44:40 / 投稿者:A.S
★ツリー/親記事[21527]+前記事[21527]
-レス記事[21529]

ID-code:10kCiz8./Cs

> これは ocn.ne.jp または mx.o72.org のどちらかが詐称されたものでしょうか?
>
> それとも,こうゆうルートで配信される場合もある(つまり苦情先はocn)のでしょうか?

苦情申し入れ先は飽くまでOCN(一番下のフィールド)です。
これは恐らく、OCN丸の内接続でフリーの配信システムであるo72.org宛てに送られたのでしょう(mxはメールエクスチェンジャー特有のコード―そうでない場合もあるけど)。


記事No.21529/タイトル:Re^2: ヘッダの見方
投稿日:2005/08/22(Mon) 23:11:09 / 投稿者:Wyvern
★ツリー/親記事[21527]++前記事[21528]
-レス記事[21530]

ID-code:no_id

Res.ありがとうございます.

>苦情申し入れ先は飽くまでOCN(一番下のフィールド)です。

最初, 脊髄反射的にocnへ申告しようと思ったのですが,
フィールドの時間がocn(1番目)08:52:10→o72(2番目)08:45:49と逆転して
いたので, 評判の悪いocnを装ってo72.org(これも妖しいが)から発信されたの
ではと考えたしだいです.

多量に来る海外(英語)spamだと最初の方のReceivedフィールドは詐称が疑われる
ものがほとんどなので, 今回のocnは冤罪かもと 質問いたしました.

素直にocnへ申告でいいんですね.
#sage


記事No.21530/タイトル:Re^3: ヘッダの見方
投稿日:2005/08/23(Tue) 00:46:52 / 投稿者:白梟
★ツリー/親記事[21527]+++前記事[21529]
-レス記事[21532]

ID-code:VZYXNtkShLg

 既に出してしまったかもしれませんが…。

> > 苦情申し入れ先は飽くまでOCN(一番下のフィールド)です。

 それは違います。
苦情先は Received を必ず上から見ていって、自分のISPのサーバーなど、
信用できるところが記したIPアドレスを見て判断します。

もし mx.o72.org が信用できるSMTPサーバーであると判断し、
OCN接続のユーザーが mx.o72.org を経由して送信したのだと考えるのであれば、
その両方にメールを出します。

あるいは、mx.o72.org が信用できるかどうか判断に迷うのであれば、
上から見ていって最初に出てきた外部のIPアドレスである 206.223.152.80 の
苦情先を探します。

もし mx.o72.org が信用できると判断するのだとしても、OCNだけに出すのは
おかしいです。

また、私には mx.o72.org を信用できると判断する理由が分かりません。

> 最初, 脊髄反射的にocnへ申告しようと思ったのですが,
> フィールドの時間がocn(1番目)08:52:10→o72(2番目)08:45:49と逆転して
> いたので, 評判の悪いocnを装ってo72.org(これも妖しいが)から発信されたの
> ではと考えたしだいです.

 ええ。その考えは正しいです。
数秒程度ならともかく、分単位で時刻が逆行している Received は信じられません。
一番下の Received は詐称の可能性が高いでしょう。

というか、そもそも一番下は Received フィールドにすらなってないのですけど、
これはアドレスを伏せた際の編集ミスですよね?


記事No.21532/タイトル:同意(Re^4: ヘッダの見方)
投稿日:2005/08/23(Tue) 01:34:25 / 投稿者:管理人
★ツリー/親記事[21527]++++前記事[21530]
-レス記事[21533]

ID-code:w6SZ3BprNCg

念のため。

>  既に出してしまったかもしれませんが…。
>
> > > 苦情申し入れ先は飽くまでOCN(一番下のフィールド)です。
>
>  それは違います。
(略)
> というか、そもそも一番下は Received フィールドにすらなってないのですけど、
> これはアドレスを伏せた際の編集ミスですよね?

 白梟様のレス全体と、全く同じ見解です。的確な回答、助かります。

 ちなみに個人的には、編集ミスと思われる部分の正確な記述が気になります。
正確に転載して頂かないと的確な判定は困難です。


記事No.21533/タイトル:Re: 同意(Re^4: ヘッダの見方)
投稿日:2005/08/23(Tue) 09:46:57 / 投稿者:Wyvern
★ツリー/親記事[21527]+++++前記事[21532]

ID-code:no_id

Res.ありがとうございます.

通常, わたしの受取る日本語による国内発信(と思われる)spamは, 自分のISPに入る1つ
前のReceived:フィールドがocnなり,freebitなりのものばかりなので躊躇なくそこへ
苦情申告をしています.

白梟さま >というか、そもそも一番下は Received フィールドにすらなってないのですけど、
管理人さま >正確に転載して頂かないと的確な判定は困難です。

すいません. 1番目のフィールドは編集ミス(fromの前が欠損)でした.
----------------------------------------------------------------------------
Received: from p5139-ipad507marunouchi.tokyo.ocn.ne.jp (p5139-ipad507marunouchi.tokyo.ocn.ne.jp [222.148.84.139])
by mx.o72.org (Postfix) with ESMTP id B9BDF1CCD5
for <_____わたしのメアド____>; Mon, 22 Aug 2005 08:52:10 +0900 (JST)
----------------------------------------------------------------------------

2番目のReceived:フィールドの記述は, す〜ぱ〜ものによると "mx.o72.org" → "206.
223.152.80" で一見矛盾はなさそうだが, 米国にも関らず時刻が+0900(JST)なのはあり?
1番目から時間が数分逆行しているのは最初の送信PCの単なる時刻ズレ?

※疑問を残しつつも, すでに昨夜 先走ってocnへ苦情申告してしまいました.


記事No.21534/タイトル:Re: ヘッダの見方
投稿日:2005/08/23(Tue) 17:40:08 / 投稿者:きんたろう
★ツリー/親記事[21527]+前記事[21527]
-レス記事[21535]

ID-code:no_id

 Wyvernさんと同じSPAMが来ました。1連の価格コム関連のメールがこ
なくなっていたので平和な日々がつづいていたのに。私も思わずOCNに
報告してしまいました。 

Return-Path: <AV2392280@ybb.ne.jp>
Received: from localhost by ms13 with LMTP for <MYメアド>
; Tue, 23 Aug 2005 12:47:29 +0900
Received: from mx12.ms.******.ne.jp (mx12.ms.******.ne.jp [172.
23.0.32]) by sc02.ms.******.ne.jp with ESMTP id j7N3lTYc015029
for <MYメアド>; Tue, 23 Aug 2005 12:47:29 +0900 (JST)
Received: from mx.o72.org ([206.223.152.80]) by mx12.ms.******.
ne.jp with ESMTP id j7N3lS1g003571 for <MYメアド>; Tue, 2
3 Aug 2005 12:47:28 +0900 (JST)
Received: from p5139-ipad507marunouchi.tokyo.ocn.ne.jp (p5139-i
pad507marunouchi.tokyo.ocn.ne.jp [222.148.84.139]) by mx.o72.org
(Postfix) with ESMTP id 4F02F1CED0 for <MYメアド>; Tue, 2
3 Aug 2005 12:53:56 +0900 (JST)
To: MYメアド
Message-ID: <20050823.1228160812.babaq@AV2392280-ybb.ne.jp&g
t;
Date: Tue, 23 Aug 2005 12:28:17 +0900
From: ギャル2マックス <AV2392280@ybb.ne.jp>
Subject: やっぱり素人でしょ。
MIME-Version: 1.0
X-Mail-Agent: BSMTP DLL Dec 17 2000 by Tatsuo Baba
Content-Type: text/plain; charset=ISO-2022-JP
X-SMK-ORGSubject: =?ISO-2022-JP?B?GyRCJGQkQyRRJGpBRz9NJEckNyRnI
SMbKEI=?=
X-SMK-POP3Engine: 0.54

となりの妹系コギャルからきれいなおねいさんまで。美少女ばかり
アップしました!18歳未満入場厳禁!必ず利用規約をご確認下さい。

http://gal2max.com/?e=7桁の数字 ← 怪しい?
#sage


記事No.21535/タイトル:Re^2: ヘッダの見方
投稿日:2005/08/23(Tue) 18:50:21 / 投稿者:きんたろう
★ツリー/親記事[21527]++前記事[21534]

ID-code:BqIIKRDj.hQ(本記事は投稿者自身により08/23-18:52に修正されました)

この業者、江戸川区消費者センターの「架空請求・不当請求発信元リスト」にのっているくらい問題のサイトのようです。迷惑メール&架空請求(ワンクリック詐欺)業者に注意。
#sage


記事No.21540/タイトル:Re: ヘッダの見方
投稿日:2005/08/24(Wed) 16:45:21 / 投稿者:Wyvern
★ツリー/親記事[21527]+前記事[21527]
-レス記事[21541]

ID-code:no_id

発信元はocnで間違いなかった模様です.
カスタマサポートから返事がきました.

>この度の迷惑メールにつきましては、多数のご申告が寄せられており、
>該当するユーザに対しましては、すでに利用停止の措置を実施致しました。

以上, 結果ご報告まで.
#sage


記事No.21541/タイトル:Re^2: ヘッダの見方
投稿日:2005/08/24(Wed) 20:19:47 / 投稿者:白梟
★ツリー/親記事[21527]++前記事[21540]
-レス記事[21543][21559]

ID-code:VZYXNtkShLg

 う〜ん…。これってOCNさんの返答ミスじゃないのかなぁ。
じゃなきゃ、別件で、信用のおけるヘッダにも記されていたとか。
こんな詐称の可能性の高いヘッダだけで、利用停止にするとは信じられない。


記事No.21543/タイトル:[resage](茶々)Re^3: ヘッダの見方
投稿日:2005/08/24(Wed) 22:12:01 / 投稿者:肉丸君
★ツリー/親記事[21527]+++前記事[21541]
-レス記事[21549]

ID-code:KJ21TmkZKI.

○CNがこんなに速く動いてくれるなんて信じがたいかも (^_^;;;


記事No.21549/タイトル:Re: (茶々)Re^3: ヘッダの見方
投稿日:2005/08/25(Thu) 21:00:47 / 投稿者:白梟
★ツリー/親記事[21527]++++前記事[21543]

ID-code:VZYXNtkShLg

> ○CNがこんなに速く動いてくれるなんて信じがたいかも (^_^;;;

 ここ最近は結構早かったりするような。
なにしろ、一日に大量にスパムを送信する輩が、今は余所に行ってますからねぇ。

そういやふと思い出したんですけど、ここ暫く全信協を見かけないですね。
手元を探してみたら、私のところには3ヶ月ぐらい届いてないみたい。
しかも最後に届いたものは、OCN経由じゃなかったりもする。
#sage


記事No.21559/タイトル:Re^3: ご教示ください。
投稿日:2005/08/27(Sat) 13:50:08 / 投稿者:no_id
★ツリー/親記事[21527]+++前記事[21541]
-レス記事[21562][21569][21574]

ID-code:EbLEuu7GGRk(本記事は投稿者自身により08/27-15:50に修正されました)

 白梟さん、別スレでの想定外のレスをありがとうございます。

 早速ですが、当スレに関しまして、

> 苦情先は Received を必ず上から見ていって、自分のISPのサーバーなど、
> 信用できるところが記したIPアドレスを見て判断します。

> 私には mx.o72.org を信用できると判断する理由が分かりません。

とのこと。

 知識も経験も限られた私には、何を根拠に、信用できるかできないかの
判断をするべきかが分かりません。
白梟さんはどんな根拠に基づいて判断しておられるのでしょうか?


>  う〜ん…。これってOCNさんの返答ミスじゃないのかなぁ。
> じゃなきゃ、別件で、信用のおけるヘッダにも記されていたとか。
> こんな詐称の可能性の高いヘッダだけで、利用停止にするとは信じられない。

 これってひょっとしたら大正解かも知れませんが…?!
OCN さんが通報されたヘッダだけで(サーバのログを調査する以前に)、
返信内容を決めて返信してしまっていると、白梟さんはお考えのように
受け取れるのですが、そうだとしたらそうお考えになる根拠は何でしょうか?

 ついでに、大変な事情通の白梟さんだからこそ、おききしてしまいます。
Wyvernさんへの spam では、御自分の側の ISP(so-net)の最初に受信したサーバは
mx15.ms.so-net.ne.jp ということになっていますが、その上の Received: 行では
Received: from mx15.ms.so-net.ne.jp (mx15.ms.so-net.ne.jp [172.23.0.35])
きんたろうさんへの spam では、最初に受信したサーバは mx12.ms.******.ne.jp、
その上の Received: 行では
Received: from mx12.ms.******.ne.jp (mx12.ms.******.ne.jp [172.23.0.32])
となっています。
so-net さんの場合、普通のメールでは ( ) 内が記されない設定だと記憶し、
また、記されるにしても、ちゃんとしたIPアドレスがあるにもかかわらず、
ローカルアドレスになっているのはどういう事情なのでしょうか?

 すっかり、教えて君でご迷惑をおかけいたしますが、よろしくお願いいたします。


記事No.21562/タイトル:Re^4: ご教示ください。
投稿日:2005/08/27(Sat) 19:12:06 / 投稿者:Wyvern
★ツリー/親記事[21527]++++前記事[21559]
-レス記事[21564]

ID-code:no_id

no_idさん, こんばんわ.
↓この件だけのresですが,
>so-net さんの場合、普通のメールでは ( ) 内が記されない設定だと記憶し、
>また、記されるにしても、ちゃんとしたIPアドレスがあるにもかかわらず、
>ローカルアドレスになっているのはどういう事情なのでしょうか?

メールオプションのウィルスチェックと, 最近使えるようになった迷惑メールの
フィルタリングを利用するようになってから, localアドレスのReceivedフィール
ドが二つ付くようになりました.

vcXXがウイルスチェック, mxXXがフィルタリングだと思います.
共にso-net内部処理なのでローカルアドレスで正解なのでは?
#sage


記事No.21564/タイトル:Re^5: ご教示ください。
投稿日:2005/08/27(Sat) 20:52:20 / 投稿者:no_id
★ツリー/親記事[21527]+++++前記事[21562]

ID-code:EbLEuu7GGRk

Wyvernさん、レスをありがとうございます。

> メールオプションのウィルスチェックと, 最近使えるようになった迷惑メールの
> フィルタリングを利用するようになってから, localアドレスのReceivedフィール
> ドが二つ付くようになりました.

そういうわけでしたか。

> vcXXがウイルスチェック, mxXXがフィルタリングだと思います.

これについては、vcXX は確かにそうでしょうが、フィルタリングの方は msXX の方
じゃないかと思いますョ。

mx15.ms.so-net.ne.jp というのは、Wyvernさんの大事な大事なメールサーバですぞ !!
余計なお世話でしょうが、正式なIPアドレスを知っておられても悪くはないのでは。↓
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=mx15.ms.so-net.ne.jp

自分あてにテストメールを出してご覧になり、ヘッダにこれが記されていなければ、
ちょっとエライことかも。 昔の@niftyさんと同じ問題を抱えることになるのでは?

ともあれ、
> so-net の内部事情
だということ、おかげさまで分かりました。 感謝いたします。


記事No.21569/タイトル:Re^4: ご教示ください。
投稿日:2005/08/27(Sat) 22:38:18 / 投稿者:白梟
★ツリー/親記事[21527]++++前記事[21559]

ID-code:VZYXNtkShLg

> > 私には mx.o72.org を信用できると判断する理由が分かりません。
> とのこと。
>  知識も経験も限られた私には、何を根拠に、信用できるかできないかの
> 判断をするべきかが分かりません。
> 白梟さんはどんな根拠に基づいて判断しておられるのでしょうか?

 普段は経験で判断してるので、いざ説明を求められると難しいですね。

 えーっと、このスレッドで Wyvernさんが出されたヘッダですが、
まず最初に hdpar に入れてみたところ、hdpar の SOA とか PTR とかに、
mx.o72.org は出てきませんでした。

正直言いまして、ここら辺の意味は、理解しておりません。
ただ、ISPのSMTPサーバーを使っていると思われる場合、ここに出てくるのが
普通ですので。

#  ちなみに、出てきたら出てきたで、以前に連絡した事のあるサービスで
# ない限り、サイトに繋いでみてISPやホスティングサービス等のネットワーク
# 関係のサービスを提供しているところである事を確認します。

# サイトが見つけられなかった場合や、(自分の主観で)信用できかねると
# 判断すれば、そこには連絡しません。
# (その時は、Spamcop 行きだったり、諦めてパスだったり…。)

更に、GeekTools の結果でも o72.org なるドメインは全然出てこないため、
mx.o72.org はデタラメに名乗ったもの、あるいはスパマー個人が所有する
ものである可能性が高いと判断します。

#  GeekTools の結果では OrgName が NT Technology とあり、
# 連絡先のメールアドレスから www.nttec.com がサービスサイトと連想できます。
# ここも一応接続してみて、ネットワーク関係のサービスらしい事を確認します。
# もしその会社のサイトが見つけられなかったり、あからさまに怪しかったりする
# 場合は、やはり連絡は行いません。

普段はこれ以上追求しませんが、o72.org をフリーの配信システムと判断する
意見も見られたため、一応 www.o72.org と o72.org がブラウザーで表示されない
こと、o72.org でググってみた結果が、真っ当な配信サービス等を提供している
ドメインのものとは思えない事も確認しています。

> >  う〜ん…。これってOCNさんの返答ミスじゃないのかなぁ。
> > じゃなきゃ、別件で、信用のおけるヘッダにも記されていたとか。
> > こんな詐称の可能性の高いヘッダだけで、利用停止にするとは信じられない。
>  これってひょっとしたら大正解かも知れませんが…?!

 大正解とは?

> OCN さんが通報されたヘッダだけで(サーバのログを調査する以前に)、
> 返信内容を決めて返信してしまっていると、白梟さんはお考えのように
> 受け取れるのですが、そうだとしたらそうお考えになる根拠は何でしょうか?

 あの Received が上から下まで真っ正直なものだと仮定した場合、
OCN接続のユーザーが mx.o72.org を介して送信した事になります。

この場合OCNさんのSMTPサーバーは使われていないため、このユーザーがスパムを
送信したという証拠はOCNさんの元には存在しないと思われます。
(といっても、最近はこの方が普通ですが。)

>  ついでに、大変な事情通の白梟さんだからこそ、おききしてしまいます。

 …それは、ひょっとして嫌みでせうか?
別スレッドで書いた内容について、気を悪くされたのでしたら、ごめんなさい。
少し居丈高に書きすぎたかもしれません。

私は事情通ではないし、熱意もそんなに無いです。
経験は、3年ぐらいやっているので、そこそこある方なのかもしれませんが…。

元々メーラー好きだったので妙な知識は持っていたりしますが、
その知識は偏ってるし、きっと間違って覚えている事もあると思います。
もし間違った事を書いているのを見かけたら、指摘してくださいませ。

> Wyvernさんへの spam では、御自分の側の ISP(so-net)の最初に受信したサーバは
> mx15.ms.so-net.ne.jp ということになっていますが、その上の Received: 行では
  <以下略>

 上の方の Received でローカルアドレスが出てくるものは、So-net 内部の
転送だと解釈しました。

ここら辺は、プロバイダーや、オプションサービスの有無によって違ってきますし、
部外者にはよく分からないです。
おそらく、Wyvernさんの書かれた解釈で正しいんじゃないでしょうか。

> so-net さんの場合、普通のメールでは ( ) 内が記されない設定だと記憶し、

 そうなんですか?
IPアドレスだけで逆引きが表示されてないって意味なら、中国・韓国からの
メールでは、ありがちなものです。So-net に限らず。


記事No.21574/タイトル:Re^4: ご教示ください。
投稿日:2005/08/28(Sun) 11:44:47 / 投稿者:管理人
★ツリー/親記事[21527]++++前記事[21559]
-レス記事[21577]

ID-code:w6SZ3BprNCg

> > 苦情先は Received を必ず上から見ていって、自分のISPのサーバーなど、
> > 信用できるところが記したIPアドレスを見て判断します。
>
> > 私には mx.o72.org を信用できると判断する理由が分かりません。
>
> とのこと。
>
>  知識も経験も限られた私には、何を根拠に、信用できるかできないかの
> 判断をするべきかが分かりません。
> 白梟さんはどんな根拠に基づいて判断しておられるのでしょうか?

 白梟氏が書いているように、メールヘッダのReceived履歴は
上になるほど新しい=受信側に近いところでつけられたものです。
 その結果、
http://www2g.biglobe.ne.jp/~stakasa/spam/shouhai-spam2.html#ipadd
で書いているように、絶対的に信用できるのは
自分側のサーバ(ここでの例ではso-net)に渡したサーバのIPアドレスです。
なぜならそのRecieved
Received: from mx.o72.org ([206.223.152.80])
by mx15.ms.so-net.ne.jp with ESMTP id j7LNjnjf009210
for <______私のメアド______>; Mon, 22 Aug 2005 08:45:49 +0900 (JST)
は信頼している受信側のサーバがメールを受け取る時の情報から記述したものであり、
そのIPは詐称できない
(メールを渡す際に全く無関係な、偽<第三者>のIPアドレスを装うことは出来ない)
からです。

 一方で、受信側が送信者として記録したIPを持つサーバがつけた部分については
そのサーバが正しいReceivedをつけたとは限らないので、通常は信頼できないとされます。
 ですから白梟氏の認識の仕方は極力誤った苦情先を避ける為の手法として基本的に正しいです。

 しかしもし上のサーバが正しい動作をしているならば
それ以前(それより下)のReceivedも正しいことになりますので
たとえば今回でしたら
p5139-ipad507marunouchi.tokyo.ocn.ne.jp (p5139-ipad507marunouchi.tokyo.ocn.ne.jp [222.148.84.139])
の部分も、ねつ造されていると断定できるわけではありません。

 すでに述べられているように
206.223.152.80
のWhois結果は
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=206.223.152.80&targetnic=auto&det=no
となり、
どうも
http://nttec.com/
http://pacificinternetexchange.net/
などが関係する会社として出てきますが
それぞれからのリンク先
http://www.86server.com/jpnindex.html
http://pacificinternetexchange.net/jp/?page=about
などを見ると、ホスティング業者だったり、
(その業者が使っている?)サーバ管理請負業
(というか米国に置くことで日米の高速回線を利用する業者?)だったりするようです。

 その会社を信用するならそこに処置依頼を送りますが、
spammerと一蓮托生と判断するなら依頼は断念せざるを得なくなります。

 ちなみに更なる下のヘッダを信じて、
OCNにも送るかどうかについてはその時々によります。
「私だったら」今回のような場合には
上の206.223.152.80を持つサーバもあながち信頼出来無さそうでもないこと、
marunouchi.tokyo.ocn.ne.jp
からのspamが常時届いていることなど、
本当に関係するかは最終的にOCNの判断になされるであろうことなど、
から処置依頼を同報配信するでしょうね。

 なお、o72.orgのドメインは、ヘッダに残ったIPアドレスの分析からは全く出てこず、
googleでも
http://www.google.co.jp/search?num=100&hl=ja&lr=&c2coff=1&rls=GGLD,GGLD:2005-21,GGLD:ja&q=%22o72.org%22
ほとんど情報が出てこないので、関係を推定するのは困難ですので無視します。

 ちなみにこのようにかなり分析が難儀なことが分かってくると、
A.S氏がレス
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021527.html#21528
で書いている
「OCN丸の内接続でフリーの配信システムであるo72.org宛て」
という記述が、何か他の情報を元にして指摘した部分であるかが気になるところです。

さらに

> >  う〜ん…。これってOCNさんの返答ミスじゃないのかなぁ。
> > じゃなきゃ、別件で、信用のおけるヘッダにも記されていたとか。
> > こんな詐称の可能性の高いヘッダだけで、利用停止にするとは信じられない。
>
>  これってひょっとしたら大正解かも知れませんが…?!
> OCN さんが通報されたヘッダだけで(サーバのログを調査する以前に)、
> 返信内容を決めて返信してしまっていると、白梟さんはお考えのように
> 受け取れるのですが、そうだとしたらそうお考えになる根拠は何でしょうか?

 ええっと私は昔から
ネット業者へのspam処置依頼の返事については期待しないように
書いているつもりなのですが
http://www2g.biglobe.ne.jp/~stakasa/spam/shouhai-spam4.html#dengdeng
そこで書いていない理由として、実は
「abuse窓口担当が、十分な理解をもって
abuseへの依頼に的確な返信するとは限らない」
ということもあります。

 これはabuse窓口のスキルに起因する場合もありますし、
大手ネット業者の場合、abuse窓口担当と、
実際にそこへの対処依頼で行動する部署・担当者が違う可能性が高く、
実働部隊からのフィードバックが返信に正しく反映するとは限らないことが原因の
可能性もあります。
 無論、全ての担当者・ネット業者がそうだとは限りませんが
abuse担当者の技術的な判断を「インターネットのプロのもの」として
盲信するのは避けた方が良いです。

 ただ今回のように、処置の結果について明言している時には
さすがに「勘違い」などは少ないと思われるので
今回の場合には、
サンプルに挙がったようなメールヘッダを載せた処置依頼「のみ」で
対処措置を行ったのではなく、他の「より信頼性の高い」ヘッダや
あるいは他の様々な理由等も含めて、
実際に特定のOCNユーザが発信者であることを認識・確認して、
それに基づいて対処を行った、行っていると見るべきでしょう。


記事No.21577/タイトル:Re^5: 豊かな判断材料をありがとうございます。
投稿日:2005/08/28(Sun) 14:21:26 / 投稿者:no_id
★ツリー/親記事[21527]+++++前記事[21574]
-レス記事[21578]

ID-code:EbLEuu7GGRk

 白梟さん、そして管理人様、ご多忙中、詳しいレスを大変ありがとうございます。

 日頃、白梟さんのご投稿を読ませていただくと、切り口鋭くバッサリとさばいて
おられるけど、その根拠には触れておられないなぁと感じることが結構あるのです。
そんな時には、知識・経験ともに浅いやからには、何かつんぼ桟敷に置かれている
ような気がしないでもありません。
そこで、白梟さんに判断材料を開示いただければ、初心者やそれに近い者にも、
少しは共有できるものが増えるのではないかと思いました。
おかげさまで、その企みは成功したようです。

 この spam のヘッダについては、
nslookup で mx.o72.org を検索すると↓
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=mx.o72.org

とヘッダと同じIPアドレスになります。( o72.org で検索しても同じ結果です。)

ところが、Geek で o72.org を検索すると(私も最初に検索した時にはなぜか出なかった。)↓
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=o72.org&targetnic=auto&det=on

で、そこに出てくる Name Server:NS1.O72.ORG、Name Server:NS2.O72.ORG を nslookup で検索↓
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=NS1.O72.ORG
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=NS2.O72.ORG

それぞれ [61.197.169.126]、 [61.197.169.125]という IPアドレスになります。
この1番目のアドレスを Geek で検索すると↓
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=61.197.169.126&targetnic=auto

となり、こちらの結果と mx.o72.org との関係(無関係という関係も含めて)が
分からなくなってしまい、そこでチョン切れてしまいました。

と書いている途中で、新たに管理人様がご投稿くださいました。

管理人様の書かれた内容からすると、ここまでで余計なお時間を取らせて
しまったかも知れません。としたら、お許しください。


OCN さんからの返答の件については、管理人様から
>「abuse窓口担当が、十分な理解をもって abuse への依頼に的確な返信するとは限らない」
とのコメント、
私の限られた経験から言っても全く同感です。
また、OCN さん内部の横の連携についても、どうなっているのか疑問に感じることもありました。

けれども、管理人様から
>  ただ今回のように、処置の結果について明言している時には
> さすがに「勘違い」などは少ないと思われるので
> 今回の場合には、
> サンプルに挙がったようなメールヘッダを載せた処置依頼「のみ」で
> 対処措置を行ったのではなく、他の「より信頼性の高い」ヘッダや
> あるいは他の様々な理由等も含めて、
> 実際に特定のOCNユーザが発信者であることを認識・確認して、
> それに基づいて対処を行った、行っていると見るべきでしょう。
とのご見解を賜ったおかげで、納得がいった気分でおります。

白梟さんの
> この場合OCNさんのSMTPサーバーは使われていないため、このユーザーが
> スパムを送信したという証拠はOCNさんの元には存在しないと思われます。
>(といっても、最近はこの方が普通ですが。)
には実は、エーッと驚きました。
spam 送信や接続先までは判明するのかどうか分かりませんが、一定の時間帯に、
p5139-ipad507marunouchi.tokyo.ocn.ne.jp に、どういうログインID の所有者が
ログインしていたかぐらいは裏付けを取るものかと思っていたからです。

>(といっても、最近はこの方が普通ですが。)
実際そのとおりなのかも知れませんが、こう言われてしまうと、知識のない者は
ハァそうですかと思うほかありません。
「事情通」と言わせていただいたのは、その辺りのことでした。
もし、ご気分を害されたとしたら、お許しください。

 なお、白梟さんの
> IPアドレスだけで逆引きが表示されてないって意味なら、中国・韓国からの
> メールでは、ありがちなものです。
につきましては、
いえ、そういう意味ではありません。 Biglobe さんも含めて他の多くのISP が
そうなのかも知れませんが、メール受信の場合は、ヘッダには受信者側の SMTP
サーバの名は出てきてもIPアドレスは出てこないという(つまんない)意味です。


 サッパリまとまらない内容になり、またも白梟さんから「如何なものか」と
たしなめられそうですが、とりあえずお礼申し上げます。


記事No.21578/タイトル:Re^6: 豊かな判断材料をありがとうございます。
投稿日:2005/08/28(Sun) 22:34:02 / 投稿者:白梟
★ツリー/親記事[21527]++++++前記事[21577]

ID-code:VZYXNtkShLg

 私も確実でない限り連絡しないという考え方ではないし、普段は2箇所に同報する
場合も多いのですが、この件に関しては「私なら」 nttec.com だけの連絡にとどめます。

もし nttec.com がホスティングサービスではなくISPで、mx.o72.org の部分が
smtp.nttec.com とかそれっぽいホスト名であったならば、両方送るかもしれません。

ですが、mx.o72.org を名乗ったのは、nttec.com の顧客の立てたサーバーである
可能性が比較的高いと思いますし、その管理者=送信者である可能性が高いと捉えて
しまいますので…。

# しかしよくよく見ていくと、nttec.com が信用出来そうかどうかもちょっと微妙に
# 思えてきました。最初は「嫌なドメインだなぁ」ぐらいにしか感じなかったのですが、
# FAQを見てしまうと…。

 とはいえ、mx.o72.org が必ずしも嘘を吐いているとは限らないのは確かなので、
とりあえず(両方に)連絡しておくという考え方もありだとは思います。

私も、これが1〜2年前だったなら、そう判断したかもしれないのですが、
最近はプロバイダーのSMTPサーバーを使った送信が殆ど見られなくなってきている事や、
錯誤を狙っていると思しきヘッダを見かける機会が多くなってきている事などから、
以前よりも慎重になってしまいました。

>  白梟さん、そして管理人様、ご多忙中、詳しいレスを大変ありがとうございます。
>  日頃、白梟さんのご投稿を読ませていただくと、切り口鋭くバッサリとさばいて
> おられるけど、その根拠には触れておられないなぁと感じることが結構あるのです。

 あうぅ。そうですか…(^^;

> nslookup で mx.o72.org を検索すると↓

 私はこういう追いかけ方は、まずしないです。
面倒だし、探す意味が分からないし…。

no_idさんは基本的に Received に書かれている文字列を信じているように
思えるのだけど、あそこで mx.o72.org を名乗っている部分は、スパマーが
記している可能性もあるんですよ。

もしかしたら実際に o72.org というドメインを所有している人物なのかも
しれないし、あるいはデタラメで名乗っただけかもしれない。

ドメインの登録情報を追いかけても、その答えを確信できるような情報は
なかなか見つけられないんじゃないかという気がするのだけど…。

> >  ただ今回のように、処置の結果について明言している時には
> > さすがに「勘違い」などは少ないと思われるので

 実は真っ先に思いついたのは、(OCN)担当者のテンプレートの選択ミスだったり
します。他の回答をするつもりだったのに間違えてしまったとか、違う件の回答を
しているつもりで、そのメールに返信してしまったとか…。

> > 今回の場合には、
> > サンプルに挙がったようなメールヘッダを載せた処置依頼「のみ」で
> > 対処措置を行ったのではなく、他の「より信頼性の高い」ヘッダや
> > あるいは他の様々な理由等も含めて、
> > 実際に特定のOCNユーザが発信者であることを認識・確認して、
> > それに基づいて対処を行った、行っていると見るべきでしょう。

 OCNさんは、いつもは慎重すぎるほどに慎重な会社なので、もし本当に
処分を行ったのであれば、きっとそうなのでしょう。そう考えたいです。

> > この場合OCNさんのSMTPサーバーは使われていないため、このユーザーが
> > スパムを送信したという証拠はOCNさんの元には存在しないと思われます。
> >(といっても、最近はこの方が普通ですが。)
> には実は、エーッと驚きました。
> spam 送信や接続先までは判明するのかどうか分かりませんが、一定の時間帯に、
> p5139-ipad507marunouchi.tokyo.ocn.ne.jp に、どういうログインID の所有者が
> ログインしていたかぐらいは裏付けを取るものかと思っていたからです。

 いや、何時何分にどのユーザーがこのIPアドレスを使っていたかというログなら
勿論あると思います。
しかし、そのユーザーがスパムを送ったという証拠は、OCNさんの元にはおそらく
無いだろうという話です。

もし mx.o72.org が嘘吐きだったり、一番下の Received が丸ごとでっち上げ
だったりすれば、該当するOCNユーザーが本当にスパムを送信したとは限らない
ですよね?

> いえ、そういう意味ではありません。 Biglobe さんも含めて他の多くのISP が
> そうなのかも知れませんが、メール受信の場合は、ヘッダには受信者側の SMTP
> サーバの名は出てきてもIPアドレスは出てこないという(つまんない)意味です。

 ↓こういう部分のことですか?

------------------------------------------------------------
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id SAA10065; Sun, 28 Aug 2005 18:43:00 +0900 (JST)
------------------------------------------------------------

 IPアドレスの載ってない理由は何ででしょうね。私には分かりません。
けど、載ってなくて困る場合も、特に思いつかないような…。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0041番へ]
bokumetusiteki