掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2007年01月25日
本日届いた 失敗作SPAM
SPAMメールの処理をしていたら、こんな失敗作が届いてました。

これまでも、SPAM送信プログラムでのパラメータ設定忘れとおぼしきメールが届いた事はありますが、ここまで見事にパラメータをさらけ出したものははじめてみました^^;

ヘッダー部分の自動生成はこのように行われていたわけね!

ちなみにヘッダー行の途中に空行が入っているので、変なところから本文として処理されてます....



----本文----
%TO_CC_DEFAULT_HANDLER
Subject: %SUBJECT
Sender: "%FROM_NAME" <%FROM_EMAIL>
Mime-Version: 1.0
Content-Type: text/html
Date: %CURRENT_DATE_TIME

%MESSAGE_BODY

----ヘッダ----
Received: from msm.com.s8a2.psmtp.com (unknown [213.183.244.163])
by *****.*****.**.jp (Postfix)
with ESMTP id 73C6DB864 for ;
Wed, 24 Jan 2007 22:03:16 +0900 (JST)
Received: from 192.168.0.%RND_DIGIT (203-219-%DIGSTAT2-%STATDIG.%RND_FROM_DOMAIN [203.219.%DIGSTAT2.%STATDIG])
by mail%SINGSTAT.%RND_FROM_DOMAIN (envelope-from %FROM_EMAIL) (8.13.6/8.13.6)
with SMTP id %STATWORD for <%TO_EMAIL>;
%CURRENT_DATE_TIME
Message-Id: <%RND_DIGIT[10].%STATWORD@mail%SINGSTAT.%RND_FROM_DOMAIN>
From: "%FROM_NAME" <""@FROM_EMAIL.*****.**.jp>
Date: Wed, 24 Jan 2007 22:03:16 +0900 (JST)
To: undisclosed-recipients:;
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

今回、同じ内容で宛先違いが2通届きましたが、内容は同じです。

Received: from 192.168.0.%RND_DIGIT (203-219-%DIGSTAT2-%STATDIG.%RND_FROM_DOMAIN [203.219.%DIGSTAT2.%STATDIG])
の部分の様に固定で設定されている部分が検出の約に立ちそう。

203.219.0.0 はオーストラリア割当のIPアドレス。

送信元のsmtpサーバ「213.183.244.163」は「ロシア」

でも、203.219.の部分も適当に変えるんだろうなぁ.....




[ 投稿者:Cookie at 13:38 | SPAM対策 | コメント(0) | トラックバック(0) ]

2007年01月23日
ウィルコム W-ZERO3 に落ちそうです...
w-zero3_key.gif

先日からWILLCOMのW-ZERO3(WS003SHのデモ機をいじっていますが、細かなところで欲が出てきますね^^;

目的がサーバのリモート管理だったりするので、まずは文字入力。

標準で日本語モードがONしてしまうので、sshでログインしようとする際にはいちいち半角英数モードにしてます。
多分切り替えを止めるようなソフトが有ると思うので、後で探してみるつもりです。(なかなか時間がとれないのでのんびりやってます)


w-zero3es.gif
普段持つにはW-ZERO3(es)のサイズの方が良さそうですが、画面サイズ的にはちょっと小さいかな?と思ってます。


[ 投稿者:Cookie at 16:49 | WILLCOM ウィルコム | コメント(0) | トラックバック(0) ]

2007年01月20日
taRgreyの「S25R」判定の影響
とある大手企業からのメールが届かないとの問い合わせを受けて調べてみましたが、送信元のホスト名が「***x***x**x***.ap***.ftth.ucom.ne.jp」となっており、taRgreyの「S25R」判定に引っかかっていました。

届くべきメールの内容は未確認ですが、業務関連のメールらしい。
送信者は送信元企業の本社の人らしいが、本当に本社内からの送信なのかは調べようがない.... (聞くに聞けない)

送信者のドメイン名で調べてみると、MXレコードのホストはそのドメイン名でのFQDNとなっているし逆引きもOK。 (今回の送信元IPアドレスとも異なる)

アクセス回線用のホスト名で直接送られてきた経緯は分かりませんが、何かDM送信ツールで送信したのかもしれません。

調査と並行して「whitelist_client」に登録して無事受信を確認。

ちなみに送信元のホスト名は「(株)USEN」殿がFTTHサービスに使用しているものなので、問い合わせしてみました。

技術的な話の分かる担当の人に解答を頂き、今回のホスト名(IPアドレス)の
割り当て範囲は、個人向け法人向けの契約に関係なく割り当てられるとのこと。
# 丁寧に対応していただきありがとうございました m(_ _)m

実際法人契約している企業が、どのようなネットワーク運用をするかはそれぞれの企業次第だたりするので、このような場合にはS25Rでの判定ルールに合致してしまうわけ。

本来はtaRgreyでの再送待ちで救えた可能性が高いのですが、今回は送信後10分程度で問い合わせを頂いたため、さっさと「whitelist_client」に登録してしまいました。(再送されるまでお待ちくださいとは言えませんから^^;)

もしも今回の送信元企業からのメールが、全てアクセス回線のIPアドレス(ホスト名)から送信されているとしたら、S25Rの判定基準を採用しているサーバでは影響が懸念されます.....

[ 投稿者:Cookie at 10:30 | SPAM対策 | コメント(0) | トラックバック(0) ]

2007年01月16日
W-ZERO3(WS003SH)でPocketPuTTYテスト
VFSH0011jRYFUS3p.jpg

sshでログインしてみました。
結構いい感じです(^o^)

WILLCOMの営業さんからデモ機が借りられたので、出先からのリモートメンテナンスに使えるか? を確認中。

参考にさせて頂いたサイト:SE・CEによる共同ブログ「おれらんち」
W-ZERO3[es]でPocketPuTTYを使う
[ 投稿者:Cookie at 18:30 | WILLCOM ウィルコム | コメント(0) | トラックバック(0) ]

2007年01月11日
【続報】 「まずはこちらのサイトを・・・・」のスパム
前回のエントリーで書いた「まずはこちらのサイトを見ていただけますか?」のスパムですが、その後ググって見ると各方面にばら撒かれているようです。

http://plaza.rakuten.co.jp/genta77/diary/200701070000/

http://jbbs.livedoor.jp/bbs/read.cgi/shop/960/1151364712/l50

どうやら情報商材とかの旨い話に乗ってしまった人(もしくは販売主)が、アフェリエイトのポイント稼ぎにURLをクリックさせたり、更なる情報商材販売の餌食を待ち構えているようです

クリックしただけでは特に害は無いようですが、リンク先のページに書いてあることを鵜呑みにして痛い思いをしないようにしましょう。

ちなみに、メール送信元のメールサーバ名は「SpamAssassin」で高得点に設定済み!

#「まずはこちらのサイトを見ていただけますか」でググると、このブログがトップ表示されている事を発見^^;
[ 投稿者:Cookie at 18:32 | SPAM対策 | コメント(0) | トラックバック(0) ]