| [ 22016 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:LJ7V7D1N9LE
中国からの迷惑メールが止まらないので困っています。
ここでの情報で、彼等はゾンビの被害者の可能性があるとのことを尊重して、プロバイダーには
直接クレームを出していません。
中国がゾンビの被害者かどうかを判断する手段はあるのでしょうか?
中国、韓国は日本と同様2バイトコードを使用するので、
スパムメールを出す犯罪者の被害を受けやすいとの指摘もありましたが、日本文のスパムメールは
欧米からも沢山来ますので、2バイトコード云々は疑問に感じます。
中国からのスパムメールは増加の一方で一日10件以上来ますが、半分以上は不思議な英文です。
韓国からのスパムは全て日本文で、最近は減少傾向にあり、許せる範囲です。
台湾からのスパムメールは以前は珍しかったのですが、最近は増えつつあるものの、韓国程度なので
あまり気にしていません。
国内発のスパムメールはその都度、プロバイダーに通報しているので、効果があると判断していますし、
聞きなれないプロパイダーから来る場合が多いので、メールを出す人間がプロバイダーを乗り換えているのだと
推定しています。
下記添付のメールですが、米国から中国に送られ、中国から日本のニフティーに転送されているようなのですが、
これが、ゾンビの仕業でしょうか?
通常は、中国で発信されたスパムメールは直接ニフティーに届きます。
−−−−−−−−以下はメールのヘッダー−−−−−−−−−−−−−−−
Return-Path: jdsdw8@ilywei004.vicp.net
Date: Wed, 26 Oct 2005 18:27:57 +0800
From: jpzilkjwyi8 <jdsdw8@ilywei004.vicp.net>
To: <**********@**********.ne.jp>
Subject: [ 特ダネ ] 特集:主婦売春サークル⇒噂の真相を探る
Received: from mxg509.nifty.com (mxg509.nifty.com [202.248.238.49])
by ums511.nifty.ne.jp with ESMTP id j9QASKnD006521
for <**********@**********.ne.jp>; Wed, 26 Oct 2005 19:28:23 +0900
Received: from ilywei004.vicp.net ([222.171.73.100])by mxg509.nifty.com with ESMTP id j9QARqIO014548
for <**********@**********.ne.jp>; Wed, 26 Oct 2005 19:27:58 +0900
Received: from enygs4 (unknown [170.197.88.122])
by ilywei004.vicp.net (Coremail) with SMTP id KjRC1PNd0alCCFfs.1
for <**********@**********.ne.jp>; Wed, 26 Oct 2005 18:27:57 +0800 (CST)
X-Originating-IP: [170.197.88.122]
Message-ID: <0012331321$32341514$43381257@enygs4>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_00E9_01CD43D8.3654C2C1"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1478
X-MimeOLE: Produced By Microsoft MimeOLE 6.00.2800.1478
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━┯━┯━┓話題の裏情報をお届け
┃特│ダ│ネ┃ [ 特集 ] 主婦売春サークルの真相を探る
┗━┷━┷━┛ 今や4人に1人が!?モラル崩壊の主婦の性
記事はこちら⇒ http://www.e-gal.tv/sp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■不倫の理由は寂しさ
−−−−−−−−−−−−−−−−−−−−−−−−−−
ID-code:mG11UlRCZEU
Zeitです。
> 中国からの迷惑メールが止まらないので困っています。
> ここでの情報で、彼等はゾンビの被害者の可能性があるとのことを尊重して、プロバイダーには
> 直接クレームを出していません。
いえ、出した方がいいですよ。
ウイルス(ワーム)つきメールの場合もそうですが、ゾンビ化されたりウイルスに感染しているマシンのユーザは、自分のマシンがゾンビ化・感染していることに気づいていない場合が多いものです。
プロバイダに報告することで、プロバイダ側で当該マシンを特定、ユーザに注意喚起が行われ、繰り返し注意しても改善がない場合は(まともなプロバイダであれば)接続拒否となります。
プロバイダ直接(中国語必須)でも、SpamCop経由でも、報告すべきだと思いますよ。
もちろん、ゾンビではない場合もあるはずですし。
> 中国がゾンビの被害者かどうかを判断する手段はあるのでしょうか?
受信したスパムメールからは、判断は困難と思います。
X-Originating-IPが参考になる場合もありますが、これとて絶対ではありません。
別に、我々が判断する必要もないと思いますよ。
> 中国、韓国は日本と同様2バイトコードを使用するので、
> スパムメールを出す犯罪者の被害を受けやすいとの指摘もありましたが、日本文のスパムメールは
> 欧米からも沢山来ますので、2バイトコード云々は疑問に感じます。
そうですね。技術的には、欧米(1バイトコード系の国)から発信することに、何の問題もありません。私も、米国在住の知人と日本語のメールを問題なく送受信していますし。
現在、欧米よりアジア発信が多いのは、主にスパム規制の整備状況の差ではないかと思います。たとえば米国の場合、多くの州でスパム発信に厳しい罰則つき法規制がかけられていますが、中国や台湾、韓国ではまだそれが十分ではありません(日本も……)。
プロバイダも、欧米や日本ではスパム発信を重要な問題ととらえ、厳しい対応をとるところが増えていますが、アジアでは対応が不十分なプロバイダがまだ多いようです。
韓国からのスパムは全て日本文で、最近は減少傾向にあり、許せる範囲です。
> 台湾からのスパムメールは以前は珍しかったのですが、最近は増えつつあるものの、韓国程度なので
> あまり気にしていません。
う゛〜ん……これは状況の差かも知れませんが、私の場合今のところ韓国からが最多です(しかもほとんどがshinbiro.com)。
Fromに「yahoo.com」「yahoo.co.jp」「msn.com」「hotmail.com」などがあるものを原則拒否しているせいかも知れませんが……。
ちなみに、別のアドレスですが、以下の4ドメインがReceivedに含まれるものを拒否、と設定してみたら、スパムがほとんど届かなくなりました(特にinfo@*.com系)。いずれも中国ではなく、韓国と台湾が2つずつです。
58.180.*.* (shinbiro.com)
210.202.*.* (aptg.com.tw)
203.67.*.* (seed.net.tw)
125.57.*.* (dreamline.co.kr)
58.180.*.* の拒否で半減、125.57.*.* を除く3つの拒否で8割以上、4つすべての拒否で9割以上のスパムがはじかれました。
個人により条件が異なりますので一概には言えませんが、info@*.com系の多さで支障が出ている方で、Receivedにワイルドカード(*に任意の文字列が該当する)で条件が指定できるなら、このフィルタリングはおすすめだと思います。
# もちろんフィルタせずにSpamCopなどへ報告、がベターではありますが……。
> 下記添付のメールですが、米国から中国に送られ、中国から日本のニフティーに転送されているようなのですが、
> これが、ゾンビの仕業でしょうか?
いえ、ゾンビは発信元のマシンをある意味「乗っ取って」発信されるものですから、メール発信後の転送経路とは通常は関係ありません。
当該メールのヘッダを拝見しましたが、意外と素直で偽装と思われるところはありません。
最初の発信元と思われる米国のサーバと、X-Originating-IPも一致していますから、ヘッダに問題はなさそうです。
米国→中国→日本、の経路ですが、単に発信元の米国のサーバから、@niftyのサーバに直接つながる経路がないため、経路を探したところたまたま中国経由になった、と見るのが正しいように思われますが……。
ID-code:VZYXNtkShLg
個人的には、中国や韓国経由の日本語スパムの大部分はゾンビではなく、
(日本の業者が)委託した場合などで海外の業者が送信しているものだと考えています。
現在英文スパムの殆どはゾンビマシンを使っていると言われており、
私のところにも毎日数通程度届いていますが、それらは同じ系統のスパムが世界各国
から送信されてくるんですよね。
確かにゾンビの多いISPというのはあるようだけど、それら英文スパムでは幾つかの
ISPだけから集中して届く事はないような気がします。
それに、現地時間が夜中の時間帯もおかまいなしに送られてくるのも、ゾンビと考える
には不自然ではないでしょうか?
大部分の普通のユーザーは、夜中にはPCの電源を落としません?
> 当該メールのヘッダを拝見しましたが、意外と素直で偽装と思われるところはありません。
> 最初の発信元と思われる米国のサーバと、X-Originating-IPも一致していますから、ヘッダに問題はなさそうです。
> 米国→中国→日本、の経路ですが、単に発信元の米国のサーバから、@niftyのサーバに直接つながる経路がないため、経路を探したところたまたま中国経由になった、と見るのが正しいように思われますが……。
逆に私は、一番下の Received は偽装の可能性が高いと判断します。
理由は以下の2点です。
1. ilywei004.vicp.net なるサーバーは信用できない。
2. 本文が同じスパムを受信しているが、そちらの一番下の Received および
X-Originating-IP はあきらかに偽装となっている。
(それでいて、HEILONGJIANG-HAERBIN-TELECOM が使われているのは同じ。)
ついでに言えば、このサイトを宣伝するスパムは、いつも中国から送信されてる
ような…。
Return-Path: <wnreufxfvufhnqn@zj165.com>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id EAA04034; Wed, 26 Oct 2005 04:24:24 +0900 (JST)
Received: from fisha5.vicp.net ([222.171.74.230])
by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with ESMTP id j9PJOBxC003927
for <*****@mtg.biglobe.ne.jp>; Wed, 26 Oct 2005 04:24:22 +0900 (JST)
Message-Id: <200510251924.j9PJOBxC003927@rcpt-impgw.biglobe.ne.jp>
Received: from unknown (HELO vlm25256.net) (240.26.227.2)
by 222.171.72.68 with SMTP; 25 Oct 2005 19:24:32 -0000
X-Originating-IP: [240.26.227.2]
Date: Wed, 26 Oct 2005 03:24:31 +0800
From: "wnreufxf" <wnreufxfvufhnqn@zj165.com>
To: "*****" <*****@mtg.biglobe.ne.jp>
Reply-To: <wnreufxfvufhnqn@zj165.com>
Subject: [ 特ダネ ] 特集:主婦売春サークル⇒噂の真相を探る03:24:31
X-Mailer: VolleyMail.net 5.7[cn]
Mime-Version: 1.0
X-Priority: 1
X-MSMail-Priority: High
Content-Type: text/plain;
charset="ISO-2022-JP"
Content-Transfer-Encoding: base64
X-UIDL: 799489739575755F722170615Fc99995TR5F255
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━┯━┯━┓話題の裏情報をお届け
┃特│ダ│ネ┃ [ 特集 ] 主婦売春サークルの真相を探る
┗━┷━┷━┛ 今や4人に1人が!?モラル崩壊の主婦の性
<以下略>
ID-code:mG11UlRCZEU
Zeitです。
> 個人的には、中国や韓国経由の日本語スパムの大部分はゾンビではなく、
> (日本の業者が)委託した場合などで海外の業者が送信しているものだと考えています。
これは賛成です。以前、別スレッドでも書きましたが、日本では大した金額でなくても、あちらでは相当な価値になったりしますので、日本の「スパムで宣伝してやろう」という悪質アダルトサイト業者にとっては「安く確実に宣伝できる」し、あちらのスパム発信業者にとっては「高い料金を支払ってくれるおいしいお客様」と、双方の利害が一致していると言えましょう。
> 英文スパムでは幾つかの
> ISPだけから集中して届く事はないような気がします。
まさにおっしゃる通りで、英文スパム(薬販売、ブランド物のレプリカ販売、違法ソフト販売など)の発信プロバイダは、ほぼ毎回違っています。
> それに、現地時間が夜中の時間帯もおかまいなしに送られてくるのも、ゾンビと考える
> には不自然ではないでしょうか?
> 大部分の普通のユーザーは、夜中にはPCの電源を落としません?
個人PCをゾンビ化するならそうですが、サーバ機など、常時接続・常時起動のPCであれば、かえって「使っていない真夜中」こそがスパム発信に最適な時間かな、という気もします。
> 1. ilywei004.vicp.net なるサーバーは信用できない。
えっと……お差し支えなければ、後学のためにも、このサーバが信用できないという理由をお教えいただけないでしょうか。何をもって信用できないと判断されるのか、その方法は貴重なノウハウかと思います。
一応「アンチスパミスト中級」を自認する私でも、これが信用できない理由が思い当たりません。本当にヘッダの偽装であれば、非常に巧妙ではないかと思います(少なくとも、単に発信時に適当に付与したものではないと思えます)。
日本国内では、すでに多くのプロバイダの対応がかなり厳格になり、間もなく法的規制も厳しくなるため、発信元を海外プロバイダに移すケースが増えているように感じます。
発信元が海外でも、本文が日本語で、Fromを偽装して国内プロバイダ発のように見せかけているスパムが増えています。今こそ、Receivedを見ることで「本当の発信元」を知る方法を広く知らしめて、「貴方の近所で紹介」などと大嘘を言いつつ、実は中国や台湾からの発信、ということが誰にでもわかるようになれば、そのスパムの内容を信じる人はいなくなり、スパムによる宣伝効果がなくなり、スパム発信自体も激減するのではないかと思います。
マスコミ(テレビならまともなニュース番組より、ワイドショーやバラエティなどの方がいいかも)とかで、特集してほしいような気もしますね。
#sage
ID-code:EbLEuu7GGRk(本記事は投稿者自身により12/03-20:52に修正されました)
桜急行様、こん○○は。
ヘッダが 中国「経由」の体裁をとる spam について、スレッドを立てられたのは、
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021445.html
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021798.html
に引き続き、3回目でしょうか。
Zeit氏の
> SpamCop経由でも、報告すべきだと思いますよ。
というご提案について異存はありません。
どうしてもフィルタリングなさりたい場合、「Received」に「vicp.net」の「文字を含む」
を拒否条件の1つに設定できないものかと私は思いますが、いかがでしょうか。
さて、送信経路については、私も白梟様の以下のご判断に賛成します。
> 逆に私は、一番下の Received は偽装の可能性が高いと判断します。
> 理由は以下の2点です。
>
> 1. ilywei004.vicp.net なるサーバーは信用できない。
これ↓を見ると、
http://www1.ietf.org/spam-archive/gsmp/msg04439.html
一番下の Received は違っていても ilywei004.vicp.netから
届いている点は同じ。
ヘッダも本文もよく似ていますね。
ilywei004.vicp.net も nslookup で検索すると↓
http://antispam.stakasaki.net/tools/nslookup.cgi?domain=ilywei004.vicp.net
日に何回かIPアドレスが 222.171.0.0.− 222.171.127.255 の範囲内で変わります。
桜急行さんご自身のご投稿
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021445.html#21445
に出てくる fisha1.vicp.net(今現在はループバックアドレスになっている)と同様に、
ilywei004.vicp.net も ORAY Network Resource Co.,Ltd. またの名 Vavic Network
Technology,Inc.からの購入又はレンタルの独自の(サブ)ドメインで、
動的IPアドレスを提供されているサーバの可能性があると思います。
詐称の可能性も否定はできませんが。
なお、宣伝サイトも中国のアドレスですね。
http://nayuki.homeunix.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=www.e-gal.tv%2Fsp%2F
http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=202.109.114.42&targetnic=auto
では、失礼いたします。
訂正 : 12/3
ループバックアドレスと記すべきところをローカルアドレスと誤記しておりましたので、
訂正させていただきました。 申し訳ありません。
#sage
ID-code:LJ7V7D1N9LE
桜急行です。皆さん、詳しい説明ありがとうございました。
1.ニフティーのフィルタリングは発信者メールアドレスを指定するもので、100個まで指定できますが、
直ぐ,使い切ってしまい、更には、ほとんど効果がなかったので、現在指定していません。
その結果、スパムは全てプロバイダーに報告して、対処するつもりでしたが、
「被害者が加害者になるかも知れない」との指摘がここでありましたので、韓国、中国等からの外国のスパムメール
はプロバイダーへの報告をしていませんでした。
2.米国→中国→日本の経路
何故直接中国から来ないのか不審に思っていました。最初のReceivedは偽造かもしれないと、
疑っていましたが、根拠を見つける事ができませんでした。
唯一疑問に思っていたのは時刻です。
一番目 米国から中国へのReceivedに記載してある時刻 Wed, 26 Oct 2005 18:27:57 +0800 (CST)
二番目 中国から日本へのReceivedに記載してある時刻 Wed, 26 Oct 2005 19:27:58 +0900
三番目 ニフティの回送のReceivedに記載してある時刻 Wed, 26 Oct 2005 19:28:23 +0900
二番目、三番目は絶対正しいはずですが、25秒かかっています。
しかしながら、
一番目と二番目は時差を考慮して、1秒しか掛かっていません。短かすぎませんか?
この時刻はメールを受け取ったサーバーのものだと思いますが、一番目のものはどうも
嘘臭いと疑ってします。如何でしょうか。
3.これまでの指摘を総合すると、海外からのスパムメールは金銭の授受が成立しているビジネスの
結果といえますが、
金さえ貰えば、他人の迷惑など平気という人達に果たして、「スパムメールを出すな」との忠告は
効果があるのでしょうか。非常に疑問に思っています。
確信の犯罪者にたいして、「犯罪を止めろ」というようなもので、止めさせるのは困難ではないでしょうか?
中国はイターネットやマスコミは国家管理と聞いてますので、プロバイダーの関係者がこの様な
小遣い(と言えるかどうか)稼ぎをやっているのではないでしょうか。
更には、中国、韓国は日本に迷惑を掛けいるとの自覚がないか、又は、証拠を残さないで迷惑をかける
ことができる事で、逆にこの様な犯罪に積極的に加担しているのではないでしょうか。
多分、私以外の多くの方が、これらのプロバイダーにスパムメール発信の連絡しているはずですが、
全く、私の方へは影響がないのは、私が直接連絡していないからでしょうか?
4.サーバーの管理者とスパムメールの発信者が同一又は、グルであった場合に、
サーバーの管理者に「スパムメールを止めて下さい」とのメールを送ることは、
こちらのメールアドレスを知らせてしまうということになり、逆効果になるのではないかと
心配しています。皆さん、如何でしょうか。
ID-code:cRtj3VRkI1A
失礼ですが、@niftyが提供する「迷惑メールフォルダー」はご利用されていますか?もしまだ使っておられないのでしたら、迷惑メールフォルダーについて設定を有効にして様子をみた方がよいかと思います。.vicp.netの迷惑メールでしたらかなりの数が出回っているようですし、基本フィルタで多少は引っかかりそうな気もしますので。
迷惑メールフォルダー : @nifty
http://www.nifty.com/mail/spam_folder/index.htm
> > 1.ニフティーのフィルタリングは発信者メールアドレスを指定するもので、100個まで指定できますが、
> 直ぐ,使い切ってしまい、更には、ほとんど効果がなかったので、現在指定していません。
今年の8月以降、@niftyの手動指定フィルタ(スパムブロック)では各種ヘッダ(ユーザーにより新規にヘッダが追加可能)のキーワード指定、ワイルドカードによる指定、などが可能になっています。以前よりは使える仕様に変わっていますので確認してみて下さい。
スパムメールブロック : @nifty
http://www.nifty.com/mail/reject/
スパムメールブロック : @nifty
http://www.nifty.com/mail/reject/info.htm
今回の.vicp.netならReturn-PathやReceivedでワイルドカードを利用する指定方法を取ればフィルタできるかと思います。
なお、当方のブログでも@niftyでの迷惑メール対策について記事を書いていますので、よろしければお読みになってみて下さい。
データバックアップメモ - extended -: 「info@〜」で始まる迷惑メールへの対処法 in @nifty
http://kazabana.tea-nifty.com/databackupmemo/2005/09/info_in_nifty_ebb3.html
#sage
ID-code:mG11UlRCZEU(本記事は投稿者自身により10/31-03:20に修正されました)
Zeitです。
> 失礼ですが、@niftyが提供する「迷惑メールフォルダー」はご利用されていますか?
えっと、桜急行さんは、
> 1.ニフティーのフィルタリングは発信者メールアドレスを指定するもので、100個まで指定できます
との表現からみて、「@nifty(旧NIFTY SERVE)会員」と拝察します。
現在、@niftyの会員には2種類があり、いわゆるパソコン通信の時代からの会員は「@nifty(旧NIFTY SERVE)会員」となります(私もそうです)。
また、1999/11/1以降に新規入会した場合と、旧Infoweb会員は「@nifty会員」となります。
http://www.nifty.com/support/status/index.htm#1
ややこしいので、以下はそれぞれ「旧NIFTY SERVE会員」と「@nifty会員」と呼びます。
そして、「旧NIFTY SERVE会員」は、残念ですが迷惑メールフォルダ機能は使えません。
着信拒否には、最大100個までの「Fromアドレス(またはドメイン)の指定」しかできないのです。
さらに困ったことに、この100個には、「ドメイン単位で拒否、でもそのドメインからでも特定のアドレスは許可」とすると、それぞれがカウントされるのです。
たとえば、@yahoo.co.jpを拒否しつつ、dareka@yahoo.co.jpとmatomo@yahoo.co.jpからは受信する、としたら、100個のうち3つ(拒否1つ、許可2つ)を消費してしまうのです。
ついでに、ワイルドカードも使えません。@so-net.ne.jpの拒否をしても、@dj9.so-net.ne.jpからのメールは受信します。
もちろん、旧NIFTY SERVE会員→@nifty会員と、会員種別変更をすれば、迷惑メールフォルダとかスパムメールブロックといった高機能の迷惑メール対策機能が使えます(私もセカンドメールアドレスで活用しています)。
ただ、旧NIFTY SERVE会員にはいろいろと利点があり、たとえばメールボックスは容量制限(@nifty会員では基本20MBまで)ではなくメール通数での制限(最大1,000通)ですし、専用ソフトのNIFTY MANAGERが使える(このため@nifty会員に移行しない人が多い)、TELNET接続ができる、パソコン通信専用のアクセスポイント(国内はFENICS-ROAD、海外ではCompuserve)が使える、等々があります。
なお、2005年1月19日をもって、旧NIFTY SERVE会員への変更や新規入会はできなくなっています。
また、2006年3月31日で、@niftyのパソコン通信サービスが終了しますので、それ以後は旧NIFTY SERVE会員はおそらく@nifty会員と同じサービスを受けることになる(強制的に@nifty会員となる)のではないかと思われます(これは確定情報ではないですが)。
迷惑メール対策だけを見れば、明らかに@nifty会員の方が上なのですが、NIFTY MANAGERが使えるのと、メールボックスが通数での制限、というのがけっこう魅力だったりするんですねぇ。私も来年3月末までは、旧NIFTY SERVE会員のままで頑張るつもりです。
#sage
ID-code:VZYXNtkShLg
> > 1. ilywei004.vicp.net なるサーバーは信用できない。
> えっと……お差し支えなければ、後学のためにも、このサーバが信用できないという理由をお教えいただけないでしょうか。何をもって信用できないと判断されるのか、その方法は貴重なノウハウかと思います。
この話は比較的最近、別スレッドで書いたばかりなのですが…(:_;)
まずは no_idさんが挙げられたスレッドを御一読願います。
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021445.html
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021798.html
> 一応「アンチスパミスト中級」を自認する私でも、これが信用できない理由が思い当たりません。
Zeitさんは、一連の Received に矛盾がない事を過大評価していませんか?
確かに流れに矛盾があれば信用できないと判断する理由になりますが、
逆に矛盾点が見つからないからと言って、それだけでは信用できると判断する理由には
ならないと思うのですが。
(一番上はニフティ内部のヘッダのようなので無視するとして…)
上から2番目の mxg509.nifty.com が記したIPアドレスは、間違いなく正しいもので
ある筈です。
もし、その下の Received を記したのがISPや(真っ当そうな)フリーメールの
SMTPサーバーが記したものであれば(少なくともその可能性が高いと考える根拠が
あるのであれば)、そこもおそらくは嘘を吐いてないだろうと期待する事も出来ます。
しかし、HEILONGJIANG-HAERBIN-TELECOM 下にある自称 ilywei004.vicp.net は
逆引きもないし、GeekTools でそれらしき会社名が出てくるわけでもないし、
全く得体が知れないものです。
こういう場合、ilywei004.vicp.net を名乗る得体の知れないサーバーは、
スパマーが立てたものである可能性が高いと言えるでしょう。
スパマーの用意したサーバーの全部が全部嘘吐きだとは限らないけど、
自分の都合の良いようにデタラメを述べている可能性は大いにあり得るわけです。
ましてや、こんな風にアメリカから中国を経由して日本に送信するのはあきらかに
不自然なわけで、かなり怪しい。
# それに 170.197.88.122 って、現在使われているんだろうか?
# Whois の Updated の日付が10年以上も前なんだけど…。
> 本当にヘッダの偽装であれば、非常に巧妙ではないかと思います
そうですね。
> (少なくとも、単に発信時に適当に付与したものではないと思えます)。
ある程度知識があれば、実現するのはそう難しくなさそうな気がします。
あるいは知識なんかなくても、自動的にそーいうヘッダを付加してくれる
ソフトがあるのかもしれないし。
> 日本国内では、すでに多くのプロバイダの対応がかなり厳格になり、間もなく法的規制も厳しくなるため、発信元を海外プロバイダに移すケースが増えているように感じます。
あきらかに黒幕は日本の業者なのに、送信は海外経由というのが複数業者ある感じですね。
完全に送信作業を海外に委託しているのか、PCだけあっちに用意させて実際の送信作業は
日本からそのPCに接続して行っているのかは分かんないですが。
あと、本文内に記すURLは海外に置いてあるんだけど、本体のサイトは日本に置いてある
業者も多い。これ Spamcop だと、本体の方には全然連絡が行かないんですよね…。
もっとも、連絡が行ったとしても国内のISPは動いてくれないところが殆どなのですが。
ID-code:mG11UlRCZEU
Zeitです。
> この話は比較的最近、別スレッドで書いたばかりなのですが…(:_;)
> まずは no_idさんが挙げられたスレッドを御一読願います。
拝見しております。ただ、この中で具体的なノウハウと言えそうな部分は
[記事21450]
> 「by ○○」の部分がIPアドレスなのは、基本的に信用できないと私は判断
> していますので。
> Received: from unknown (HELO vlm32219.net) (200.182.61.7)
> by 222.171.18.115 with SMTP; 12 Aug 2005 04:50:26 -0000
だけかな、と思います。
今回の場合、これは当てはまらない、と。
> しかし、HEILONGJIANG-HAERBIN-TELECOM 下にある自称 ilywei004.vicp.net は
> 逆引きもないし、GeekTools でそれらしき会社名が出てくるわけでもないし、
> 全く得体が知れないものです。
これです!
・逆引きができない。
・GeekToolsで、それらしき会社名が出ない。
これぞ「疑わしきReceived」を見分けるノウハウですよ。
> ましてや、こんな風にアメリカから中国を経由して日本に送信するのはあきらかに
> 不自然なわけで、かなり怪しい。
経路だけで「怪しい」と判断するのは困難と思います。
その昔(10年ほど前ですが)、国内で、ある企業の支社(関西)→本社(関東)と普通にメールを送ったりTELNETでログインしたりしていたのですが、ある日ちょっと気になってtracerouteをかけてみたら、その企業とは関係のない某国立大のサーバを経由してましたんで。
それから、インターネットの基盤技術が大きく変わった、ということもないはずです。
直接サーバ間をつなぐ経路がない場合、意外なサーバを通ったとしても、それだけで疑わしい、と思うのは(現状で、特に海外のサーバ発・海外のサーバ経由、の場合は)若干勇み足になる恐れがある、とも言えそうなのですが……。
# 国交がない国からの発信ならともかく、アメリカ発で日本に直接ではない、というのは疑わしいと思っていいのかも知れませんが。
とりあえずは、Receivedについては、
・「by ○○」の部分がIPアドレス。
・逆引きができない。
・GeekToolsで、それらしき会社名が出ない。
がみられる場合は、偽装の恐れがかなり高い、と考えられるわけですね。
貴重なノウハウのご提供、ありがとうございます。
ID-code:LsEkC3t1ziU
> まずは no_idさんが挙げられたスレッドを御一読願います。
> http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021445.html
> http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021798.html
> > > 一応「アンチスパミスト中級」を自認する私でも、これが信用できない理由が思い当たりません。
上記の2件、初心者の見方ですが、偽装等はほとんど無しという感じがします。
ちょっと調べてみればはっきりすると思いますが、Coremailのソフト設定しだいだと考えます。
localhost・qmail等と同様ヘッダーはサーバーのソフト設定しだいではないのでしょうか。
そうだとすると米国は経由していないことになります。[163.52.8.251]は発信PCの設定で米国経由ではないのではないでしょうか。
> > Zeitさんは、一連の Received に矛盾がない事を過大評価していませんか?
> 確かに流れに矛盾があれば信用できないと判断する理由になりますが、
上記と同様にlocalhost・qmail等の場合矛盾と見えても正常な場合の方が大部分です。
> > 自称 ilywei004.vicp.net は逆引きもないし、
逆引きできるのでは?
動的ですが222.171.**.**となります。
> ましてや、こんな風にアメリカから中国を経由して日本に送信するのはあきらかに
> 不自然なわけで、かなり怪しい。
> > # それに 170.197.88.122 って、現在使われているんだろうか?
> # Whois の Updated の日付が10年以上も前なんだけど…。
上記の通り発信PCの設定と考えられると思います。
> あるいは知識なんかなくても、自動的にそーいうヘッダを付加してくれる
> ソフトがあるのかもしれないし。
多分、Coremailの機能設定で自動的ではないかと思います。善意・悪意を問わずにサーバーの設定通り。
中国発のMailはこのCoremailが多いと思われます。
> 完全に送信作業を海外に委託しているのか、PCだけあっちに用意させて実際の送信作業は
> 日本からそのPCに接続して行っているのかは分かんないですが。
日本(PC)−中国(サーバー)−日本(受信)となるのでは。発信元ISPは中国。
ID-code:VZYXNtkShLg
> > まずは no_idさんが挙げられたスレッドを御一読願います。
> > http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021445.html
> > http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021798.html
> > > > 一応「アンチスパミスト中級」を自認する私でも、これが信用できない理由が思い当たりません。
> 上記の2件、初心者の見方ですが、偽装等はほとんど無しという感じがします。
> ちょっと調べてみればはっきりすると思いますが、Coremailのソフト設定しだいだと考えます。
> localhost・qmail等と同様ヘッダーはサーバーのソフト設定しだいではないのでしょうか。
> そうだとすると米国は経由していないことになります。[163.52.8.251]は発信PCの設定で米国経由ではないのではないでしょうか。
仰りたい事がよく分からないんですが、163.52.8.251 をLAN内のPCに割り当てているのでは
ないかという意味でしょうか?
そういう割り当て方が許容されるものなのか私には分かりませんが、もしそうだとしても、
163.52.8.251 が無視すべきIPアドレスであるという点では同じでは?
単に設定の問題であって、偽装を目的にしたものではないだろうという意味ですか?
# あと、163.52.8.251 は日本の教育機関みたいです。
> > > Zeitさんは、一連の Received に矛盾がない事を過大評価していませんか?
> > 確かに流れに矛盾があれば信用できないと判断する理由になりますが、
> 上記と同様にlocalhost・qmail等の場合矛盾と見えても正常な場合の方が大部分です。
申し訳ないですが、仰りたい意味が解りません。
> > > 自称 ilywei004.vicp.net は逆引きもないし、
あ〜、これ、書き方がおかしかったです(^^;
ilywei004.vicp.net のIPアドレスは(って、正引きですね)別に探してません。
222.171.73.100 の逆引きが無いという事が言いたかったのでした。
> 逆引きできるのでは?
> 動的ですが222.171.**.**となります。
それは正引きですよね。いや、私の書き方がおかしかったんですけど。
> 日本(PC)−中国(サーバー)−日本(受信)となるのでは。発信元ISPは中国。
そっちの可能性の方が高いんでしょうね。
ID-code:LsEkC3t1ziU
> > localhost・qmail等と同様ヘッダーはサーバーのソフト設定しだいではないのでしょうか。
> > そうだとすると米国は経由していないことになります。[163.52.8.251]は発信PCの設定で米国経由ではないのではないでしょうか。
> > 仰りたい事がよく分からないんですが、163.52.8.251 をLAN内のPCに割り当てているのでは
> ないかという意味でしょうか?
LAN内のIPかマシン名の可能性があります。Coremailだと必ずしもLAN内とは言えませんが。
> > そういう割り当て方が許容されるものなのか私には分かりませんが、もしそうだとしても、
> 163.52.8.251 が無視すべきIPアドレスであるという点では同じでは?
その通りだと思います。Coremailを含んだReceivedは内部での転送だと思います。
vicp.netが提供しているメールシステム内でのことだと思います。
> 単に設定の問題であって、偽装を目的にしたものではないだろうという意味ですか?
ヘッダーにPCでのIPが入るかマシン名が入るかの確認はして僅か偽装的ではあります。
> > > > > Zeitさんは、一連の Received に矛盾がない事を過大評価していませんか?
> > > 確かに流れに矛盾があれば信用できないと判断する理由になりますが、
> > 上記と同様にlocalhost・qmail等の場合矛盾と見えても正常な場合の方が大部分です。
> > 申し訳ないですが、仰りたい意味が解りません。
例えば、
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/021850.html#21850
はqmailですよね。何もユーザーはReceivedの加工していませんよね。
from ***** by ------ が全部一致しないことがあるということです。
しかもqmailの秋田メディアネットワークの設定によって発信に使用したマシンのIP設定がヘッダーに入っているということになります。
設定によってはマシン名を入れることも出来ます。この設定は秋田メディアネットワークが設定しユーザーに提供しているメールシステムです。
私は必要な範囲でCGIをいじる程度で専門家ではないのでサーバーソフトは感覚的に理解している程度ですが。
localhostも同様に設定によってヘッダーが決定できます。
もしもう1つqmailの例を見たいのであれば私のアカウントでqmailのがありますからqmailで送信して見てもいいですよ。このアカウントから一切送信はしていません。私の送信するマシン名・IPがそのままヘッダーに入ってしまいます。こんなヘッダーのmail IDを供給するとはとんでもないところですね。どことは言いませんが。(笑)
> > > > > 自称 ilywei004.vicp.net は逆引きもないし、
> > あ〜、これ、書き方がおかしかったです(^^;
> ilywei004.vicp.net のIPアドレスは(って、正引きですね)別に探してません。
> 222.171.73.100 の逆引きが無いという事が言いたかったのでした。
> > > 逆引きできるのでは?
> > 動的ですが222.171.**.**となります。
> > それは正引きですよね。いや、私の書き方がおかしかったんですけど。
> > > 日本(PC)−中国(サーバー)−日本(受信)となるのでは。発信元ISPは中国。
> > そっちの可能性の方が高いんでしょうね。
まず間違えないでしょうね。米国は経由してないですね。
ID-code:nW0LjiTIBtc
> プロバイダ直接(中国語必須)でも、SpamCop経由でも、報告すべきだと思いますよ。
プロバイダへの苦情は中国語必須でしょうか?プロバイダ関係者ならば英語は必須のはずですが
中国人は訳も分からずネット管理してる?
ではでは。
ID-code:mG11UlRCZEU
Zeitです。
> プロバイダへの苦情は中国語必須でしょうか?
アンアンさんの英語力がどの程度か存じませんが、プロバイダにお勤めだったとして「はい、今日からウチのabuse担当よろしく」と言われ、さっそく英文の苦情メールが来たら、どのように思われますか?
> プロバイダ関係者ならば英語は必須のはずですが
別に、中国に限らず必須ではないと思いますが。
特にabuse担当やサポート担当は、自国語ができ、必要な技術の知識があれば十分だと思います。
もし、私が日本のプロバイダのabuse担当者だったとしたら、
・まず日本語文で来た苦情を処理。日本語以外の言語は、到着順が先でも後回し。
・時間があれば英文の苦情の処理。時間が足らなければ英語が得意な別担当者へ回す。そういう担当者がいなかったり「回すことはまかりならぬ」のなら、その苦情は残念ながら無視(「無視はまかりならぬ」のなら、即刻配置転換を申請)。
・その他の言語はわからないので、その言語がわかる別担当者へ(以下同文)。
とするしかないですね。
# 自国語で処理したのと同じ内容の苦情が他国語でも来ていたら、それを全部解読する必要もなくなりますから、自国語での苦情を優先処理します。
つまり、そのプロバイダがある国の「ネイティブ」な言語でなければ、直接送る意味が薄いと思うのです。その意味で「必須」と書いたまでのことです。
> 中国人は訳も分からずネット管理してる?
ネット管理に必要なのは英語力ではなく、技術力だと思いますが?
#sage
ID-code:k..ijZBOWP.
確かに,その国の母国語で書いた方が親切かもしれませんが,
果たしてそこまでしてやる必要があるのかどうか。
> 別に、中国に限らず必須ではないと思いますが。
> 特にabuse担当やサポート担当は、自国語ができ、必要な技術の知識があれば十分だと思います。
その国内だけで閉じた世界(たとえば,昔のニフティ・サーブとか)ならそれでも良いでしょうが,インターネットに接続されている時点で,どんな国から苦情が来るか解りません。
国内専門のサポート担当なら母国語+技術の知識で良いでしょうが,abuse担当を名乗るなら,英文メールくらい読めなければ仕事にならないのではないでしょうか。
(仕事をちゃんとするつもりがあるのかとか,国外からの苦情に対応するつもりがあるのかということはこの際置いときます。
個人的には,中国・韓国あたりのプロバイダーの多くは,この辺に問題があると感じています)。
国内向けあるいは母国語の苦情を優先するというのは,他社からの苦情よりも自社ユーザーの苦情を優先するということと似たようなものですから解らないではないですが,もし英文苦情お断り(もしくは無視)のプロバイダーがあったとしたら,とっととインターネットからは切断して,自国内に引きこもって欲しいですね。
ID-code:7wjFKGME7cY
> 確かに,その国の母国語で書いた方が親切かもしれませんが,
> 果たしてそこまでしてやる必要があるのかどうか。
> abuse担当を名乗るなら,英文メールくらい読めなければ
英語ならまだしも、中国、韓国語は厳しいですね。翻訳サイトを使う手もありますが、
英語で問題ない気がします。
http://www2g.biglobe.ne.jp/~stakasa/spam/shouhai-spam4.html#yuyuan
> もし英文苦情お断り(もしくは無視)のプロバイダー
ネットの設定とかは英語必須のはずですので、ありえないですよね。
Zeitさん、Mokichiさん、有難う御座いました。