[ 22454 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
---|
ID-code:ZY9u38xQJZY
今まで時々ROMさせて戴いておりましたが、お初にお邪魔します。
去年から毎日30通前後のスパムが着信するようになり、通報し易い国内のISPだけ
散発的に通報していたんですが、2月に入って1日70通ものスパムが着信する事
があり、流石に切れたので、1日かけて1通残らず通報しました。
その後1週間余りに渡って全て通報を徹底し、1日平均2時間以上を費やし、平均
40通を処理しましたが、明確にスパムが減ったという実感は無く、せいぜい20%
程度着信が減ったという、寂しい結果に終わりました(T^T)。
今月に入り、@NIFTYの旧Webメールの切り替え期限が迫ったのに伴い、新しいメール
サービスへ移行しましたが、スパムメールブロック(着信拒否)を設定してみました。
受信拒否アドレス(最大1000件)は使わず、ヘッダのパターン(最大100件)で登録
してますが、基本は以下の通りです。
1.Received: "([" の文字を含む
ドメイン名登録の無いISP、特に中韓系を強力にブロックしてくれます。
※"(["は@nifty固有のヘッダー表記のようですので、注意
2.TO:/CC: "@nifty.com" の文字を含む(@nifty.ne.jpの方のみ使っています)
3.From:/Return-Path: "info@" の文字を含む(qsv系に効果があります)
4.Content-Type: "gb2312" の文字を含む (中国系のスパムをブロックできます)
これに個別のドメイン名(Received: "comcast"、Message-ID: "livedoor.com"(笑)
等)を加え、実質40パターン程度登録しています。
以上の設定で、1日平均50通が1桁台まで着信が減りました。
この3日間、qsv系を始め、国内業者のスパムの着信は1日1通程度になりましたが、
それに代わって多く着信しているのがロシア系のスパムで、これが現在7割くらいを
占めます。
本来ならば、
『Subject: "и"(8479h) の文字を含む 』
の設定で、ほとんどのロシア系のスパムは拒否出来るはずなんですが、ロシア文字は
登録してもヒットしないらしく、擦り抜けてスパムフォルダに着信します。
この件は既に@niftyに修正要望済みですが。
他に必要なフィルタとしては、『HTMLの添付がある』(要望済)、
『GIFイメージの添付がある』・・くらいでしょうか。
ロシア文字とHTML添付を対応して貰えば、99%くらいのスパムはブロックできる
のではないかと思います。
スパム着信0を目指して、頑張りましょう。
ID-code:ZY9u38xQJZY
「鬼参謀」改め「虎パンチ」です。
@NIFTYのスパムメールブロック(着信拒否)を設定して、20日程経ちましたんで、
その間のスパム着信数の推移を報告しま。
(WはVirus添付、hは通報に費やした時間)
・スパムメールブロック設定前/100%ISP通報
2/18 32+w1
2/19 39+w2 2.5h
2/20 38+w1 2.3h
2/21 40+w2 2h
2/22 30+w1 2h
2/23 49 2.5h
2/24 43+w2 2h
2/25 34 2.3h
2/26 35 2h
・スパムメールブロック設定前/部分的にISP通報
2/27 46(通報1)
2/28 54(通報1)
3/01 41
3/02 51(通報4)
3/03 50(通報1)
3/04 54(通報1)
3/05 35
3/06 65(通報2)
3/07 44(通報11)
3/08 43(通報3)
3/09 48(通報3)
3/10 53(通報3)
・スパムメールブロック設定後
3/11 17 (拒否15,通報2)
3/12 10 (拒否10)
3/13 15 (拒否15)
3/14 7 (通報2,拒否2)
3/15 7 (通報1,拒否6)
3/16 3 (拒否3)
3/17 7+w2(通報1,w通報2,拒否7)
3/18 3 (通報1,拒否2)
3/19 3+w7(拒否2,通報1,w通報5)
3/20 2+w1(拒否1,通報2)
3/21 0+w3
3/22 1+w1(拒否1,通報w1)
3/23 4+w5(通報3,拒否1,通報w3)
3/24 0+w1(通報w1)
3/25 5+w3(拒否3,通報2,通報w3)
3/26 4+w4(通報2,通報w1)
3/27 5 (通報5)
3/28 0+w5(通報w3)
3/29 2 (拒否2,通報1)
3/30 4 (拒否3,通報2)
3/31 5 (拒否3,通報3)
4/01 2 (拒否2)
4/02 2 (拒否2)
スパムメールブロック設定後の通報は国内ISP発の場合のみ。
海外発はひたすらブロックです。たまにブロック出来ないのもありますが。
相変わらずロシア系のスパム(Worm感染?)が半分近くを占めてます。
残りはアメリカと国内のスパム。
中韓台発/経由はほぼ100%ブロック。(これが一番多いはず)
Received:(発信ISP名での拒否)を使い過ぎて、そろそろフィルタの件数
(上限100件)が残り少なくなって来たので、早くロシア語のブロックと
添付ファイルの種類によるフィルタ機能が欲しいですね。
ID-code:ZY9u38xQJZY
いつの間にか、レスが一杯付いて、ちょっと嬉しいですね。
区切りの良い所で、4月の月例報告です。
4月はVirus添付の着信は0です(Virus添付はブロックせず)
4/01 2 (拒否2)
4/02 2 (拒否2)
4/03 0
4/04 2 (通報2)
4/05 3 (通報3)
4/06 2 (通報2)
4/07 2 (通報2)
4/08 3 (拒否2,通報2)
4/09 1 (通報1)
4/10 1 (通報1)
4/11 2 (拒否1,通報1)
4/12 1 (拒否1)
4/13 1 (通報1)
4/14 1 (拒否1)
4/15 3 (拒否1,通報2)
4/16 0
4/17 5 (拒否5)
4/18 1 (拒否1)
4/19 3 (拒否2,通報1)
4/20 3
4/21 7 (拒否4,通報2)
4/22 1 (拒否1)
4/23 2 (拒否2)
4/24 2 (拒否2) "[8"拒否追加
4/25 1 (拒否1)
4/26 0
4/27 0
4/28 2 (通報1)
4/29 1
4/30 0
5/01 2 (拒否1,通報1)
5/02 1 (通報1)
最近は、国外スパム業者が国外から送って来るスパムに対しては、ひたすらブロックに
徹するようになりました。
ただし、FromかReturn-pathに自分のメアドが書かれている場合は、原則通報します。
4月は1件だけでしたが。
4月下旬には、条件設定の上限100件に近付いて、ReceivedでのISP単位の拒否設定が
やりにくくなったため、苦肉の策で、"[8"(欧州全域無差別)を加えました。
流石にこれは恒久設定にするには危険過ぎますが、効果てき面です。
@NIFTYのスパムブロックも、そろそろ限界ですね。
@NIFTYに上げている追加要望としては、添付ファイルの種類による条件付け、
文字化けの有無、各条件にヒットした件数の表示など。
どこまで盛り込まれるかは判りませんが、何せ対応が遅いので、早くて半年後、
最悪1年は待たないと、結果が出ないですねぇ。
> 1.Received: "([" の文字を含む
の件ですが、
> 携帯からのメールや、企業(まともなもの)
これは確かに。去年のメールをチェックしてみた所、10%くらいがヒットしました。
それも、全て2つ目以後のReceivedにヒットするのです。
通常は、1つ目のReceivedだけに"["(IP)が存在しますが、2つ目以後にもあるのが
厄介ですね。ヤフオクなんかでメール待ちの時は、気を付けないと危なそうです。
> 2.TO:/CC: "@nifty.com" の文字を含む(@nifty.ne.jpの方のみ使っています)
の件ですが、
TO:が届かない訳ではないので、何かあれば判るでしょう(笑)。
> 3.From:/Return-Path: "info@" の文字を含む(qsv系に効果があります)
の件ですが、
スパムの通報などでは、よくこちらから"info@"にメールする事があります。
その時は必ずメール本文に、着信拒否される旨を書きます。
自分がスパマーにでもならない限りは、いきなり見ず知らずの"info@"からメールが
届く事は無いかも知れませんね。(@niftyはinfo@じゃないと思いますが)
余談ですが、
本日やっと、URLからIPアドレスを取得する方法(と言うかソフト)を知りました。
Vectorにある、あいぴーチェッカーというFWですが。
今後は鼻に付くスパムサイト(国内限定)は、本体を潰しに行く事にしましょう。
スパムサイトは直接開かず、HTMLをTXTで保存してから開くのが鉄則ですね。
ID-code:ZY9u38xQJZY
> 1.Received: "([" の文字を含む
での誤ってブロックしてしまう件ですが、
最後に、「Received:」で"jp ["を「受信」に設定した後、
「Received:」で"(["を「拒否」に設定すれば、基本的に回避可能ですね。
"jp ["でなく、" ["で設定がうまく通ればより確実ですが、前スペースを正常に
判断してくれるか、かなり不安ですので。
気付くのがちょい遅れました。
ID-code:ZY9u38xQJZY
しばらく報告サボってましたが、5月〜のスパム着信&処理数です。
5/01 2 (拒否1,通報1)
5/02 1 (通報1)
5/03 4 (駆除3,拒否1)
5/04 0
5/05 0
5/06 3 (通報3)
5/07 5 (通報w2)
5/08 5 (拒否2,通報2)
5/09 6 (拒否4,通報2).uk拒否漏れ2件
5/10 0
5/11 1 (通報1)
5/12 0
5/13 0
5/14 3 (拒否2)
5/15 3 (通報1)
5/16 0
5/17 1
5/18 1 (通報1)
5/19 1 (駆除1)
5/20 3 (駆除3)
5/21 2 (指導1)
5/22 2 (拒否1,通報1)
5/23 0
5/24 0
5/25 1 (通報1)
5/26 2 (駆除4,通報1)
5/27 0
5/28 0
5/29 0
5/30 0
5/31 1 (駆除2)
6/01 1
6/02 0
6/03 0
6/04 0
6/05 0
6/06 2 拒否設定"([*])by mxg","([*])by userg"に変更
6/07 4 (拒否1,通報1)
6/08 0
6/09 2 (拒否1,通報1)
6/10 2 (拒否1,通報1)
6/11 2 (通報1)
6/12 0
6/13 1
6/14 0
6/15 2+w2(通報1,w通報1)
6/16 0
6/17 1 (拒否1,駆除1)
6/18 1 (駆除2)
6/19 2 (通報1,駆除1,拒否1)
6/20 0
6/21 1 (拒否1)
6/22 0
6/23 0
6/24 0
6/25 3 (通報1,駆除2)
6/26 1 (通報1)
6/27 1
6/28 1 (拒否1)
6/29 3 (通報1)
6/30 0
7/01 1 (拒否1)
7/02 1
7/03 0
7/04 0
7/05 2
7/06 1 (駆除済1)
7/07 2 (駆除1)
7/08 0
7/09 0
7/10 0
7/11 0
7/12 0
7/13 0
7/14 0
7/15 1 (通報1)
7/16 2 (拒否1,通報1)
7/17 3 (拒否2,通報1)
7/18 3 (通報1)
7/19 3 (拒否3)
7/20 1 (通報1)
7/21 2 (拒否2)
7/22 1 (駆除1)
7/23 1 (拒否1)
7/24 2 (駆除1)
7/25 1 (通報1)
7/26 2 (通報1)
7/27 2
7/28 1
7/29 2 (拒否1,駆除2)
7/30 0
7/31 0
8/01 0
8/02 0
8/03 0
8/04 0
8/05 0
8/06 2 (通報2)
8/07 0
8/08 1 (駆除1)
8/09 0
8/10 1
8/11 5
8/12 0
8/13 0
8/14 2
8/15 6 (通報2)
8/16 2
8/17 2
8/18 0
8/19 1
8/20 0
8/21 0
8/22 0
8/23 0+w1(通報w1)
8/24 0
8/25 1
8/26 0
8/27 3
8/28 1+w2(通報1,w通報2)
8/29 2+w1(w通報1)
8/30 0
8/31 1 (通報1)
9/01 1
9/02 1
9/03 2 (通報1)
9/04 1
9/05 0
9/06 0
9/07 2 (通報1)
9/08 1
9/09 2 (通報1,駆除1)
9/10 2
9/11 1+w2(通報1,w通報2)
9/12 0
9/13 1 (通報1)
9/14 1
9/15 1
9/16 1 (通報1)
9/17 1
9/18 0
9/19 1
9/20 1
9/21 2
9/22 3 (通報2,駆除2)
9/23 2 (通報1)
9/24 2 (拒否1)
9/25 0
9/26 3 (拒否2)
9/27 1
9/28 2
9/29 0
9/30 0
10/01 0
10/02 1 (拒否1)
10/03 4 (通報2)
10/04 3 (通報1)
10/05 4 (通報2)
10/06 2 (通報1)
10/07 3
10/08 2 (通報1,駆除1)
10/09 2
10/10 3 (通報1)
10/11 1
10/12 3
10/13 1
10/14 4 (拒否1,駆除1)
10/15 1
10/16 0
10/17 0
10/18 1
10/19 1
10/20 2 (通報1)
10/21 2 (通報2)
10/22 1
10/23 0
10/24 2
10/25 1
10/26 4 (通報1,駆除1)
10/27 4 (通報1,駆除1)
10/28 3
10/29 3
10/30 4 (拒否すり抜け1)
10/31 0
11/01 0
11/02 3 (通報1)
11/03 3 (駆除1)
11/04 5 (通報2,拒否1)
11/05 3 (通報2)
11/06 3 (通報1)
11/07 5 (通報1,拒否2)
11/08 4 (通報2)
11/09 3 (通報1,拒否2)
11/10 4 (通報1,駆除1)
11/11 3 (駆除1)
11/12 2 (通報1,拒否1)
11/13 2
11/14 2
11/15 5 (通報1)
11/16 4 (通報1,駆除1)
11/17 7 (通報1,拒否1,駆除1)
11/18 4 (拒否2,駆除2)
9月までは、そこそこ平和だったのが、先月辺りからスパムの着信数が増え始め、
今月になってからは平均5通程度着信するようになりました。
スパム自体が増えているのか、単に送信IPにISP名が付くISPが増えただけなのか。
本文キーワード検索も出来ず、融通の効かない@niftyのスパムメールブロックでは、
送信ISP毎に各個対処するしかなく、まさしくイタチごっこ。
おまけにフィルタの総数が100個しか無いので、すぐに頭打ちで、
何かを消さないと次が登録できない。
これじゃ使えない・・・って言ってるんだけど、一向に改善の気配がないですね。
ID-code:EirPQ4ENzYQ
あ、なんか懐かしいスレが上がってきた。
11月からうちも増加傾向です。英文が増えています。
フィルター、今ひとつなんですよね。虎パンチさんの
おっしゃるように本文検索はできないし。
ヘッダだけの振り分けでもせめて正規表現が使えればいいのに。
でも、メールアドレスを変えるのもスパマーに負けるようで
悔しいのでそのまま使っています。
少し荒技ですが、海外スパム対策で最近
「Date:に+0900がない→ゴミ箱行き」
を試していてまあまあな感じです。
大変大雑把な条件なので怖くて「拒否」には
使えませんが。
ID-code:no_id
> 1.Received: "([" の文字を含む
試してみました。結果が楽しみです。
「"(["は@nifty固有のヘッダー表記」なんですね。知りませんでした。
ID-code:no_id
> 1.Received: "([" の文字を含む
これはちょいと危険かも。
わたしもやろうと思ったのですが、その前に試しに、
今まで受信済みのまともなメールを使って
ヘッダを"(["で検索してみました。そうしたら、なんと
沢山みつかりました。全部は確認していないけど、
見た限りはみんなReceived:の中でした。
携帯からのメールや、企業(まともなもの)からの
メールに多く見られるようです。
ID-code:AGg7jc0q22s
> > 1.Received: "([" の文字を含む
> これはちょいと危険かも。
> わたしもやろうと思ったのですが、その前に試しに、
> 今まで受信済みのまともなメールを使って
> ヘッダを"(["で検索してみました。そうしたら、なんと
> 沢山みつかりました。全部は確認していないけど、
> 見た限りはみんなReceived:の中でした。
> 携帯からのメールや、企業(まともなもの)からの
> メールに多く見られるようです。
私もこれで苦心していたのですが、以下の条件設定で良いようです。
これでニフティに渡る直前のIPアドレスが対象になります。
Received: "([*])by mxg???.nifty." の文字を含む
Received: "([*])by bulkg???.nifty." の文字を含む
ワイルドカードを有効にして下さい。また、念のため拒否せず、
ごみ箱行きになさったほうがいいと思います。
皆さんのところではどうか分かりませんが、他に
Received: "smtp* (Coremail)" の文字を含む
X-Mailer: "Nextism" の文字を含む
X-Info: "nifty" の文字を含む
というのも入れています。
以前は逆引きできる台湾ISPからの迷惑メールのために
Received: "from mail.* (*.seed." の文字を含む
などと入れていたのですが、最近は全く必要が無くなりました。
ただ、comcast.netやrr.com、tpnet.plなどは別途指定する
しかないと思います。
ID-code:ZY9u38xQJZY
設定変更してみました。
ウチは、mxgの次に、userg505というのが多いようで、
bulkgは過去1件しかないですね。
と言う訳で、
([*])by userg
を追加しました。
>comcast.netやrr.com、tpnet.pl
この辺は常連さんですかね。
.plは、国ごと拒否設定してますけど。
ID-code:mG11UlRCZEU
Zeitです。
しばらく静観しておりましたが、簡単にコメントを。
# ちなみに私も11年以上のニフティユーザ。
> 1.Received: "([" の文字を含む
これは、ニフティユーザーその2さんがお書きの通り、場合により「大事なメールを拒否してしまう」ことになりかねません。
しばらくは「迷惑メールフォルダに移動」で様子を見て、問題なさそうなら拒否に変える、というのがよいでしょう(だいたい2か月〜半年ぐらいを目処に)。
> 2.TO:/CC: "@nifty.com" の文字を含む(@nifty.ne.jpの方のみ使っています)
う゛〜ん……。
例えば、
A:貴方(aa@nifty.co.jp)
B:貴方のご友人(xx@aa.jp)
C:貴方とBさんの共通のご友人(bb@nifty.com)
という状況で、Bさんが貴方(A)と、共通のご友人(C)をToに並べてメールを出されると、この設定ではその(Bさん発の)メールは届きませんね。
ご友人に、@nifty.com を使っている方がいないことを確認の上、設定する必要があると思われます(過去に受信したCCつきやToに複数アドレスを指定したメールをすべて確認する必要あり)。
> 3.From:/Return-Path: "info@" の文字を含む(qsv系に効果があります)
info@... というアドレスは、まともな企業の代表アドレスの場合が非常に多くあります(だからスパムの発信元偽装でもよく使われるのですが)。
メールで企業に何か問い合わせをした際、info@... から返ることはよくあります。そのような、重要なメールが拒否される恐れがありますね。
結局は、個々人のメール送受信の状況に左右されます。
info@... というアドレスとのやり取りが多い方も全然ない方も、また友人に@nifty.com のドメインを使う方がいる方もいない方も、それぞれいらっしゃるでしょう。
要は「自分には、この条件に当たる人や企業、ドメインからメールが来ることは絶対にない」というような設定なら、問題ないと思います。
# 実際、私は携帯電話のメールは「アドレス・ドメイン指定受信」にしており、スパムはまったく来ません。
> スパム着信0を目指して、頑張りましょう。
本当は、受信して各所報告、がベターではありますが、あまりに多い場合はフィルタも使わざるを得ませんね。そこらのバランスは、これも個々人の余裕次第ということですが。
ID-code:no_id
しばらく静観しておりました。
# ちなみに私も10年ぐらいのニフティユーザ。
この掲示板を拝見している限り、私のスパム着信は少ないほうなのかもしれませんが、さすがに毎日まとまった時間を取られるのは癪なので、このスレッドのやりとりを参考にして、場合によってはフィルターの利用も検討しようと静観していました。
ただ、結局はZeitさんがおっしゃるように「受信して各所報告、がベター」だと思います。「スパムを送ると面倒臭い目にあうぞ」というメッセージをスパマーにわからせるためにも、「厳格なアンチスパム・ポリシーを示さないと面倒臭い目にあうぞ」というメッセージをISP にわからせるためにも。
個別に起ち、同時に撃て!
ID-code:6hvI4SwuGUY
はじめまして。
@niftyのスパムメールブロック(着信拒否)は、私も利用しています。とても有用な機能だと思います。
ただ、2006年11月の中頃から、設定したパターンにマッチするにもかかわらず、すり抜けてくるメールが出始めました。@niftyに問い合わせたところ、以下のような回答がきました。
> いただいたヘッダー情報を解析したところ、題名
> (Subject: )に改行が混入されておりました。
>
> 上記により、題名(Subject: )からの下にある
> ヘッダー部分が本文と見なされ、スパムメール
> ブロック(条件設定)で、判定処理の対象から
> 除外されたことにより該当メールが受信された
> ものと存じます。
>
> 今後、弊社といたしましてもこのような迷惑メール
> に対して、スパムメールブロック(条件設定)にて、
> 対応ができるよう機能拡張を参りたく存じます。
この回答がきたのが11月28日です。12月の後半になってもまだ同じパターンのスパムがくるので、まだ修正できないのか@niftyに問い合わせたところ、次のような回答がきました。
> 先日ご案内させていただきましたスパムメール
> ブロック(条件設定)にて、題名に改行が含ま
> れている際の対応におかれましては、弊社でも
> 対応ができるかの機能拡張を含めて検討はさせ
> ていただいております。
>
> ただ、具体的な対応日時などはご案内いたしか
> ねます。何卒、ご了承ください。
>
> なお、本サービスの機能拡張が行われた際には、
> 弊社ホームページ上で告知させていただきます。
「具体的な対応日時などはご案内いたしかねます。」というところに、やる気のなさを感じます。まあ、気長に待つしかないのでしょう。