[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0042番へ]
[ 21836 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Oct 02 21:46:05
記事No.21836/タイトル:メールの出所が不明
投稿日:2005/10/02(Sun) 21:46:05 / 投稿者:桜急行
★ツリー/親記事[21836]
-レス記事[21837]

ID-code:LJ7V7D1N9LE

下記のメールの出所が判りません。
メールアドレスから韓国?
宜しく、お願いします。

Return-Path: Kim@beld.net
Date: Wed, 28 Sep 2005 12:52:10 -0800
From: "Olen Mullen" <Kim@beld.net>
To: ********@niftyserve.or.jp
Subject: Canadian ph'armacy ships worldwide to all destinations.
Received: from 67-36-23-132.ded.ameritech.net (67-36-23-132.ded.ameritech.net [67.36.23.132])
by ums501.nifty.ne.jp with SMTP id j8SJscGA017584;
Thu, 29 Sep 2005 04:55:51 +0900
Received: from bowlinggreen.net (190.164.87.180)
by censorious.bowlinggreen.net with SMTP id RAA89513; Wed, 28 Sep 2005 12:52:10 -0800
Message-ID: <315v13513x13613$l13313r13013w13813$513e13413j13413@localhost>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--DELPHI1285764931297713KN"

To receive the instruction of wisdom, justice, and judgment, and equity
There shall no evil happen to the just but the wicked shall be filled with mischief.
The righteous shall never be removed but the wicked shall not inhabit the earth.
Bind them continually upon thine heart, and tie them about thy neck.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
以下 省略

記事No.21837/タイトル:Re: メールの出所が不明
投稿日:2005/10/03(Mon) 10:45:21 / 投稿者:鈴男
★ツリー/親記事[21836]+前記事[21836]
-レス記事[21838]

ID-code:Ha4T/BNwQ7M

http://ws.arin.net/whois/?queryinput=!%20NET-67-36-0-0-1

で出てきます。北米でしょうか。

記事No.21838/タイトル:Re^2: メールの出所が不明
投稿日:2005/10/03(Mon) 13:02:53 / 投稿者:Zeit
★ツリー/親記事[21836]++前記事[21837]
-レス記事[21839]

ID-code:SBmVS.qlfOU

Zeitです。補足します。

> http://ws.arin.net/whois/?queryinput=!%20NET-67-36-0-0-1
> で出てきます。北米でしょうか。

hdpar→GeekTools、でも出ますが、SBC Internet Services です。鈴男さんがご指摘の通り、アメリカのプロバイダです。
abuse窓口が、abuse@sbcglobal.net です。海外発のスパムをよく受け取り、SpamCopで報告されている方ならよくご存じの、有名なスパム飼育プロバイダです。

ちなみに、元投稿についてですが、

> メールアドレスから韓国?
というのは、これまで私を含め多くの方が指摘している通り「Fromは発信者とはまったく関係ない」ので、Fromを元に発信元について推測するのは適切ではありません(スパマーの特徴として述べる分には構いませんが)。

また、ヘッダのReceivedですが、

> Received: from 67-36-23-132.ded.ameritech.net (67-36-23-132.ded.ameritech.net [67.36.23.132])
> by ums501.nifty.ne.jp with SMTP id j8SJscGA017584;
> Thu, 29 Sep 2005 04:55:51 +0900

のfrom(SBC)と、すぐ下の

> Received: from bowlinggreen.net (190.164.87.180)
> by censorious.bowlinggreen.net with SMTP id RAA89513; Wed, 28 Sep 2005 12:52:10 -0800

のby(Cinergy Communications)が違うプロバイダになっており、この間をつなぐ情報がありません。
従って、下のbowlinggreen.net内での転送記録と読めるReceived行は、スパマーによる偽装の疑いが強く、信用すべきではないと思われます。

通常、A→B→C→Dという経路を通ったメールのReceivedは
Received from C by D
Received from B by C
Received from A by B
となります。必ず、fromが一つ下のbyと一致します。
ご投稿のメールは
Received from C by D
Received from A by B
となっており、BとCをつなぐ情報が抜けているため、下側のReceivedは信用できない、ということです。

記事No.21839/タイトル:Re^3: メールの出所が不明
投稿日:2005/10/03(Mon) 17:08:49 / 投稿者:鈴男
★ツリー/親記事[21836]+++前記事[21838]
-レス記事[21843]

ID-code:Ha4T/BNwQ7M

サブジェクトを見ると、カナダの薬業者がスパムの依頼元のようですね。多分

カナダの薬業者⇒スパム業者⇒オープンリレイ(SBC)

というような流れかと。

私も皆さんと同様、毎日30通を超えるスパムをspamcopやらプロバイダやらに対して、オープンリレイの通報をしているのですが、それだけだとどうしようもないような気がしています。そもそも、スパム依頼業者とスパム業者をどうにかしないとどうもならない。その点、spamcopが本文もパースして、spamtized siteの管理者に通報しているのは評価できると思います。

あとは、私の場合はあちこちのMLに投稿している関係上、MLのアーカイブに生アドレスが載ってしまっているのも頭痛の種。最近のちゃんとしたアーカイブソフトはアドレスをマスクするとかしてくれるんですが、全部が全部そうじゃないですし。地道に自分のアドレスをWeb上から消していこうかと思う今日この頃です。

記事No.21843/タイトル:Re^4: メールの来方は?(ヘッダの出所も不明)
投稿日:2005/10/03(Mon) 23:02:10 / 投稿者:ちょっとゴメン
★ツリー/親記事[21836]++++前記事[21839]
-レス記事[21844]

ID-code:ksDuKy4DV8.(本記事は投稿者自身により11/15-22:42に修正されました)

 ニフティさんのユーザじゃないもんで分からんのですが......。
このメールは、ニフティさんの「mxg5XX.nifty.com」というサーバを通らずに、
「ums501.nifty.ne.jp」に届いたみたいに見えるけど、
それは別に問題でも何でもないんですか?

#sage   タイトル修正:2005/11/15____________________________
 ̄ ̄ ̄ ̄ ̄
 何のつもりの冗句≠ゥ、次の2ndメールアドレス説=Aいやはやご苦労なことで.......。
                         ↓

記事No.21844/タイトル:セカンドメールかと (Re^5: メールの来方は?)
投稿日:2005/10/03(Mon) 23:27:44 / 投稿者:Zeit
★ツリー/親記事[21836]+++++前記事[21843]
-レス記事[21852]

ID-code:SBmVS.qlfOU

Zeitです。@niftyユーザです。

> このメールは、ニフティさんの「mxg5XX.nifty.com」というサーバを通らずに、
> 「ums501.nifty.ne.jp」に届いたみたいに見えるけど、
> それは別に問題でも何でもないんですか?

おそらく「セカンドメール」のアドレスに着信したものと思われます。
セカンドメールの詳細については、@niftyのサイト↓を参照してください。
http://www.nifty.com/mail/mailaccount/?top4

私も1つ「セカンドメール」のアドレスを取っていますが、そこへ届いた、あるスパムのヘッダ(Receivedのみ)は
Received: (qmail 21232 invoked from network); Tue, 27 Sep 2005 02:08:11 +0900
Received: from unknown (HELO flts502.nifty.com) (172.22.66.127)
by smbox51.nifty.com with SMTP; Tue, 27 Sep 2005 02:08:11 +0900
Received: from pxy2nd.nifty.com by flts502.nifty.com with SMTP id *****
Tue, 27 Sep 2005 02:08:10 +0900
Received: (qmail 21518 invoked from network); Tue, 27 Sep 2005 02:08:10 +0900
Received: from unknown (HELO mail.hiogh.com) (203.67.145.35)
by smb509.nifty.com with SMTP; Tue, 27 Sep 2005 02:08:10 +0900
Received: (qmail 30264 invoked by uid 509); 27 Sep 2005 00:48:08 +0900

となっており、ご指摘のような「mxg5XX.nifty.com」というサーバは通っていません。
# 基本のアドレス(IDと対応するもの)へのメールは、いくつか見たところ、「mxg5XX.nifty.com」を通ってますね。
#sage

記事No.21852/タイトル:Re: セカンドメールかと (Re^5: メールの来方は?)
投稿日:2005/10/04(Tue) 23:35:22 / 投稿者:桜急行
★ツリー/親記事[21836]++++++前記事[21844]

ID-code:LJ7V7D1N9LE

了解致しました。

皆様、色々ありがとうございました。

[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0042番へ]
bokumetusiteki