[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0042番へ]
[ 21959 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2005 Oct 19 22:21:30
記事No.21959/タイトル:メールヘッダのことで質問が・・・
投稿日:2005/10/19(Wed) 22:21:30 / 投稿者:自作中
★ツリー/親記事[21959]
-レス記事[21970][22001]

ID-code:8z6FT509AXU

現在、スパム対策用簡易メーラーを自作中です。
以下のスパムはMessage-Idが2つ記述されているのですが、
これはあり得るんでしょうか?偽装?

※Telnetでメールサーバーに接続し、UIDLコマンドで確認すると
※「Message-Id: <E4B81nryn〜」の方が正しいようです。
※Message-Idは、メール削除時の確認のために取得しています。
-----------------------------------------------------------
Return-Path: <4.mignon@adm.uni.wroc.pl>
Received: from [210.174.125.4] ([221.4.134.138]) by imfep04.dion.ne.jp
(InterMail vM.4.01.03.31 201-229-121-131-20020322) with SMTP
id <20051018021550.PXOS32431.imfep04.dion.ne.jp@[210.174.125.4]>;
Tue, 18 Oct 2005 11:15:50 +0900
Received: from aoflzwa5564F.j.4.mignon@adm.uni.wroc.pl ([64.100.41.18]) by vf2B4A-qm.221.4.134.138 with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 18 Oct 2005 05:14:13 +0200
Received: from 4.mignon@adm.uni.wroc.pl (242.73.181.132)
by dipye1592A8.vbbuv.p4.mignon@adm.uni.wroc.pl with QMQP; Tue, 18 Oct 2005 08:14:13 +0500
Message-Id: <E4B81nryn$D178eebnjfh@cixuzEDF4.tyrant.adh.com.pl>
Date: Tue, 18 Oct 2005 06:09:13 +0300
Message-ID: <9310A7BE42C3.CE2301F0.qmail@distinguish.buchanan.adh.com.pl>
From: "clockwork Dawson" <dromedary-4.mignon@adm.uni.wroc.pl>
Subject: high school graduation certificates for sale
To: xxxx@xxxxxxxx
X-Identity-Key: ftWET.127A
MIME-Version: 1.0
X-Identity-Key: cyclotron
Content-Type: multipart/alternative;
boundary="--DF12D76C9496EF10"


記事No.21970/タイトル:[resage]Re: メールヘッダのことで質問が・・・
投稿日:2005/10/20(Thu) 22:28:55 / 投稿者:白梟
★ツリー/親記事[21959]+前記事[21959]
-レス記事[21977]

ID-code:VZYXNtkShLg

> 現在、スパム対策用簡易メーラーを自作中です。
> 以下のスパムはMessage-Idが2つ記述されているのですが、
> これはあり得るんでしょうか?偽装?

 Message-Id なんて、もともと送信者側で何とでも書けてしまうものですから、
偽装という表現はしっくりこなかったりしますが、まぁそれはおいといて。

 2つとも、(記してある位置や内容からして)スパマー側が記した Message-Id と
考えて、まず間違いないでしょう。

スパムでは錯誤を狙ったヘッダをよく見かけるものですが、意図的に Message-Id を
複数記す意味はちょっと思いつきませんので、何らかのミス、あるいはMUAかMTAが
粗雑な作りだったかで、2つ記してしまったものと思われます。

# 単純に、フィールド名の大文字小文字を区別して認識するお馬鹿さんで、
# "Message-Id" が見つからなかったから追加したとか…。

 RFC的には、Message-Id の Max number は1となっているようですので、
複数存在するのは(RFC的には)正しい状態ではないと思います。
(あまり詳しくないので、間違った事を書いているかもしれません。)
ftp://ftp.isi.edu/in-notes/rfc2822.txt
http://www.puni.net/~mimori/rfc/rfc2822.txt (日本語訳)

しかし現実的にあり得るかと言うと、あり得るんでしょうね。
妙なヘッダのメールはスパムに限らず見かけるものですし、ましてや実際に、
そういうメールを受け取ったのでしたら。

> ※Telnetでメールサーバーに接続し、UIDLコマンドで確認すると
> ※「Message-Id: <E4B81nryn〜」の方が正しいようです。
> ※Message-Idは、メール削除時の確認のために取得しています。

#  そもそも普通は、Message-Id と UIDL は別なんじゃあ…?
# 同一 Message-Id のメールが複数届いた場合はどうするんだろう?
#sage


記事No.21977/タイトル:Re^2: メールヘッダのことで質問が・・・
投稿日:2005/10/21(Fri) 15:25:20 / 投稿者:自作中
★ツリー/親記事[21959]++前記事[21970]
-レス記事[21981]

ID-code:8z6FT509AXU

レスありがとうございます。返事が遅れてすみません。

>  Message-Id なんて、もともと送信者側で何とでも書けてしまうものですから、

そうだったんですか。無知ですみませんでした。


> #  そもそも普通は、Message-Id と UIDL は別なんじゃあ…?
> # 同一 Message-Id のメールが複数届いた場合はどうするんだろ
これも知りませんでした^^;
私が利用しているメールサーバーでは、90%のメールが一致していたので
一致するものだと思い込んでました^^;
ヘッダ内のMessage-Idフィールドは無視するようにします。
ありがとうございました。


記事No.21981/タイトル:複数のメッセージIDがあるヘッダ(Re^3: メールヘッダのことで質問が・・・)
投稿日:2005/10/21(Fri) 19:50:50 / 投稿者:管理人
★ツリー/親記事[21959]+++前記事[21977]
-レス記事[21986]

ID-code:w6SZ3BprNCg(本記事は投稿者自身により10/21-19:57に修正されました)

> >  Message-Id なんて、もともと送信者側で何とでも書けてしまうものですから、

 私へ届いている英文spamの中で
Message-ID:
Message-Id:
の両者があるものを検索してみました。
そうすると今月は現時点で既に17通、
7,8,9月はそれぞれ10、6、11通でした。

 同じ感じのspamとヘッダです。特定グループなんでしょうかね。
ちなみに私の受け取っている英文spamは以下の通り。
http://antispam.stakasaki.net/img/tongji-ge.gif

> > #  そもそも普通は、Message-Id と UIDL は別なんじゃあ…?
> > # 同一 Message-Id のメールが複数届いた場合はどうするんだろ
> これも知りませんでした^^;
> 私が利用しているメールサーバーでは、90%のメールが一致していたので
> 一致するものだと思い込んでました^^;
> ヘッダ内のMessage-Idフィールドは無視するようにします。
> ありがとうございました。

 ええっと私は独自ドメインを使っていて
同じドメインメアドに複数のspamを受け取ります。
つまり英文spamでも日本語spamでも
重複するspamを何通も受け取るのですが、
英語のspamのメッセージIDは宛先が異なっていても
同一なことが多いです。

 メールソフトbeckyの機能には
「重複するメールを削除」
というのがあるんですが、これを実行すると、
重複の判定にメッセージIDと発信時刻を用いるので
実際には届け先が異なっていて複数届いているのに
1通にされてしまいます。
#まあ確かに重複なんですが、この場合はデータの関係上
#消されて欲しくない
そのためにいつ頃からかspamのフォルダについては
「重複するメールを削除」機能
を使えなくなってしまいました。
(ごっそり被害数が減ってしまい、統計として無意味)

 しかしそれらのメールでもISPでのメールボックスでは
それぞれ別なメールとして認識・処理されていますので
これはすなわち
「Message-Id と UIDL は別」
ということを示しているのではないでしょうかね。

 今回初めてUIDLなるものを知った無知な私なので
頓珍漢なことを書いているかもしれませんが
私のところのデータではそんな感じです。


記事No.21986/タイトル:[resage]Re: 嘘のRecievedヘッダもありますよね
投稿日:2005/10/22(Sat) 00:45:38 / 投稿者:ジャック
★ツリー/親記事[21959]++++前記事[21981]
-レス記事[21988]

ID-code:no_id

はじめまして、少し気になる話題だったのでコメントさせてください。

> > >  Message-Id なんて、もともと送信者側で何とでも書けてしまうものですから、

Message-Idだけではなく、発信元ISPを特定するために使われる
Recievedも送信者側で嘘のものを書き足すことができると思います。
発信元ISPがどこなのかを錯乱させるために使われる手段だと聞いたことがあります。

書かれているRecievedが本物かスパマーが書き足した嘘なのかを
機械的に判別するためにはかなり苦労しそうな気がしてます。
書き足したものは本物のRecievedより下の方に書かれることになりますので、
単純に一番下のRecieved:だけを見て判断しているとスパマーの技に引っかかってしまうかもです。

スパム対策メーラーの作成のためのヒントになれば幸いです。
#sage


記事No.21988/タイトル:Re^2: 嘘のRecievedヘッダもありますよね
投稿日:2005/10/22(Sat) 01:05:43 / 投稿者:ジャック
★ツリー/親記事[21959]+++++前記事[21986]

ID-code:no_id

すでにこの掲示板では件この話題がありました。
失礼いたしました。

http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021781.html#21781


記事No.22001/タイトル:Re: メールヘッダのことで質問が・・・
投稿日:2005/10/23(Sun) 07:28:10 / 投稿者:自作中
★ツリー/親記事[21959]+前記事[21959]

ID-code:8z6FT509AXU

度々すみません。

あまりにも笑えるspamが届きました。
From、Toが2つもあり、またReceived偽装の痕跡も見られます(笑
メーラーを自作し始めてからヘッダを見る機会が増えたのですが
こんないい加減なメールでも届いてしまうんですね。。。
------------------------------------------------------------
Return-Path: <neilwicprime@coe.edu>
Received: from coe.edu ([59.121.208.44]) by imfep02.dion.ne.jp
(InterMail vM.4.01.03.31 201-229-121-131-20020322) with SMTP
id <20051022165608.TTNO1095.imfep02.dion.ne.jp@coe.edu>
for <xxxx@xxxxxx>; Sun, 23 Oct 2005 01:56:08 +0900
From: "Neil Prime" <neilwicprime@coe.edu>
To: "xxxx" <xxxx@xxxxxx>
Received: from recapitulatory ([192.168.159.97]) by {%DOMAIN_FROM} with Microsoft SMTPSVC(5.0.2195.2966);
Sat, 22 Oct 2005 11:56:27 -0500
Message-ID: <002d01c5d729$88e0ec00$619fa8c0@recapitulatory>
From: "{%NAME_FROM}" <{%MAIL_FROM}>
To: "{%NAME_TO}" <{%MAIL_TO}>
Subject: Pharxmcy Add spice to your life
Date: Sat, 22 Oct 2005 11:56:24 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_002A_01C5D6FF.A00AE400"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
#sage


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0042番へ]
bokumetusiteki