掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2009年05月29日
最近目に付く「出会い系迷惑メール」
最近目に付く「出会い系迷惑メール」の特徴です。

メール本文に書かれたURLは転送設定されており、個人の
ブログ風な内容で、表示される画面上のメールフォームでは、
連絡は以下からお願いします。
私のケータイアドに直で繋がっていますので、
即効でお返事しますから。

などと書いていますが、送信先は「出会い系サイト」になって
います。


メール本文の形式もソックリですが、転送先サイトの構成も
ソックリで、デザインのみアレンジしている様子で、HTMLの
ソースやメールフォームpost先のhttp://*********.net/pc/form.phpを
直接表示させた際のHTMLもほぼ共通。

メールフォーム部分のソースを確認するとこんな記述。
<form onSubmit="return check()" id="entryB" name="frm" action="http://***********.com/pc/form.php" method="post">

異なる出会い系サイトではありますが、会社概要も全く同じ。

■転送先出会い系サイトの「会社概要」
運営者情報
会社名:JP ADS-NET ADVERTISING CORPORATION

代表取締役:NUELINA A.BAGOLBAGOL

本店所在地:UNIT 1 3-B HI-YIELD BLDG.
#152F.Blumentritt St., Cor.R.Pascual Streets, Brgy.Batis,
San Juan Ctiy
Philippines

TEL+63-2-703-4834


フィリピンですか...

ある程度知識があればこんなメールに引っかからないとは思い
ますが、でも引っかかってしまう人はある程度いるんでしょうねぇ。

迷惑メールの送信元IPアドレスは「中国」です。

メール転送元サーバでの対処が行えないため、こちらのpostfixで
body_checks をかけてチェックすることにします。

メール本文に書いてあるドメイン名をwhoisで確認すると、
いずれも
Registrant Contact:
Personal
Yoji Nagai ()

Fax:
Joban6-2-4 None
Saitama-shi Urawa-ku, Saitama-ken 330-9586
JP

です。



■本文
はじめまして。

私は安田といいます。

今現在、あなたが金銭的にお困りだと伺いました。
私のパートナーになって頂ければ
金銭的な問題は全くなくなるのですが、
いかがでしょうか?

http://royalguild.net/******_blog/
詳細はここをご覧ください。

ご連絡お待ちしています。


■メールヘッダー
Received: from docomo.ne.jp ([113.9.64.5])
by ******************
with SMTP id CDA42982;
Thu, 28 May 2009 14:25:25 +0900 (JST)
Message-Id: <********************************>
To: <*******@*************>
From: 安田 美穂
Subject: 金銭的にお困りならご連絡ください。支援します。
Date: Thu, 28 May 2009 06:36:03 +0900


■誘導先ドメイン名の登録者
Registration Service Provided By: DigiRock, Inc.
Contact: domain-contact@digi-rock.com

Domain name: royalguild.net

Registrant Contact:
Personal
Yoji Nagai ()

Fax:
Joban6-2-4 None
Saitama-shi Urawa-ku, Saitama-ken 330-9586
JP

Administrative Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP

Technical Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 19 Sep 2008 04:30:59
Expiration date: 19 Sep 2009 04:30:59



■本文
加山茉里といいます。
異性の友達を探してるんですが、
お願いできませんか?

私、32歳で独身なんですが、
会社のスタッフは3人だけで
なかなか出会いの無い人生を
どうにかしたい!と思って
こうしてメールしてみました。

http://u-cute.net/******blog/
ここでブログというか日記も
書いているので見てください。
アップの顔写真も載せています。

メールからでも仲良くなるのでもいいし、
すぐに会うのもOKです。


■メールヘッダー
Received: from docomo.co.jp ([113.9.64.48])
by ***************************
with SMTP id CDB54891;
Fri, 29 May 2009 04:22:10 +0900 (JST)
Message-Id: **************************************
To: <********@***********>
From: mari
Subject: まずはメールからお願いします。異性のお友達になっていただけませんか?
Date: Thu, 28 May 2009 16:01:33 +0900


■誘導先ドメイン名の登録者
Registration Service Provided By: DigiRock, Inc.
Contact: domain-contact@digi-rock.com

Domain name: u-cute.net

Registrant Contact:
Personal
Yoji Nagai ()

Fax:
Joban6-2-4 None
Saitama-shi Urawa-ku, Saitama-ken 330-9586
JP

Administrative Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP

Technical Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 18 Sep 2008 05:49:55
Expiration date: 18 Sep 2009 05:49:55


■メール発信元IPアドレスの情報(共通)
113.9.64.5
113.9.64.48

inetnum: 113.8.0.0 - 113.9.255.255
netname: UNICOM-HL
descr: China Unicom Heilongjiang Province Network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: BG63-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20080916
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-HL
mnt-routes: MAINT-CNCGROUP-RR
changed: hm-changed@apnic.net 20081210
changed: hm-changed@apnic.net 20090508
source: APNIC

route: 113.8.0.0/15
descr: CNC Group CHINA169 Heilongjiang Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20081210
source: APNIC

person: ChinaUnicom Hostmaster
nic-hdl: CH1302-AP
e-mail: abuse@chinaunicom.cn
address: No.21,Jin-Rong Street
address: Beijing,100140
address: P.R.China
phone: +86-10-82993155
fax-no: +86-10-82993144
country: CN
changed: abuse@chinaunicom.cn 20090408
mnt-by: MAINT-CNCGROUP
source: APNIC

person: Binghui Gao
nic-hdl: BG63-AP
e-mail: gaobh@mail.hl.cn
address: Communication Corporation Internet Enterprise Division of HLJ
phone: +86-451-2804465
fax-no: +86-451-2804442
country: CN
changed: gaobh@mail.hl.cn 20030221
mnt-by: MAINT-CNCGROUP-HL
source: APNIC


[ 投稿者:Cookie at 09:14 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年05月22日
使い捨てのフリーメールによる登録
---------------------------------------------------------
使い捨てを目的とした「フリーメールアドレス」を使用した
ブログ開設は、見つけ次第ブログ削除の対象とします。
---------------------------------------------------------

最近開設される新規ブログで、登録用のメールアドレスとして
一定時間のみ有効なフリーメールを使用している方がおります。

YahooやGmailなどのフリーメールも、使い捨て的な利用の可能性は
ありますが、明らかに「使い捨て」を目的として提供されている
フリーメールサービスのアドレスの場合、管理事務局からの連絡が
取れないなどのトラブルの可能性があり、そもそもブログの大量
開設やSEOのための誘導用ブログ開設などを意図していると推測
される例が認められます。

このため、以下の様に削除ガイドラインの対象といたしますので
ご注意ください。

▼使い捨てメールサービスの例(敢えて全角表記)
 http://15qm.com/




[ 投稿者:Cookie at 12:27 | 削除ガイドライン | コメント(0) | トラックバック(0) ]

2009年05月20日
「GENOウイルス」感染増加
Adobe ReaderやAdobe Flash Playerの脆弱性を突いた「GENOウィルス」感染と思われるトラブル相談が増加しています。

症状としては、
・PCの動作が非常に遅くなった
・Yahooの検索結果をクリックするとブラウザが異常終了
・ウィルス対策ソフトベンダーのホームページにアクセス出来ない
などなど。

一件は4月下旬にFTPソフトの動作不具合で問い合わせがあり、ウィルス対策ソフトの更新や再インストールが出来ないという症状。

そのPCでホームページデータを更新していたため、ローカルHDDのHTMLファイルを改竄され、それを知らずにFTPでアップロードしていたと思われます。

調子の悪いPCから別のPCでの作業に切り替えた際、ウェブサーバのデータをFTPでダウンロードして作業しており、結果として改竄されたHTMLをそのまま引き継いでしまったと思われます。

「GENOウイルス」による自動的なFTPアップロードが行われるかは未確認ですが、少なくとも自分でHTMLファイルをFTPで更新する作業をしている場合、感染していると自らのホームページに誘導用JavaScriptが埋め込まれたHTMLをアップロードしてしまう事になります。

ちなみにホームページが改竄されると「martuz.cエヌ」への誘導用JavaScriptが埋め込まれ、改竄されたページの表示の際ブラウザのステータスバーにこのドメイン名への接続中のメッセージが表示され、表示そのものが非常に時間がかかります。

※ドメイン名は全角で表記し、nを「エヌ」としましたが、このサイトへのアクセスは危険を伴いますので、セキュリティ対策が万全でない場合は止めてください。

GENOウィルス
「GENOウィルス」によってHTMLに書き込まれるJavaScript

「martuz.cエヌ」をFirefoxでアクセスすると、
“攻撃サイトとして報告されています!”という警告が表示されますが、セキュリティ対策のされていないブラウザの場合感染してしまう可能性が高いと思われます。

他にも同様の内容でPCの調子が悪いとの問い合わせが入ってきておりますので、注意が必要です。

参考情報

GENOウイルスまとめ
http://www29.atwiki.jp/geno/pages/12.html


危険なGENOウイルス「Gumblar」「Martuz」が感染拡大中
http://dxd8.com/archives/192/


小林製薬のサイトが改ざんでウイルス感染の恐れも
http://blogs.yahoo.co.jp/noooo_spam/57954245.html


GENOウィルスに関してその2
http://zerodama.seesaa.net/article/119770684.html


新たな「Webウイルス」が猛威、感染被害が急増
http://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/?ST=security


GENOウィルス・何をすれば良いか分からない人のまとめ
http://www40.atwiki.jp/gegegeno/pages/15.html
[ 投稿者:Cookie at 10:28 | セキュリティー | コメント(0) | トラックバック(0) ]

2009年05月15日
フレッツADSLトラブル 意外な結末
フレッツADSLをご利用中のユーザー様から「ネットに接続できない」との電話問い合わせを頂き、調査したのですが意外な結果に... orz

■機器 ADSLモデム NV3

基本として、機器の状態を確認。

ADSLランプ:点灯 ≫ 正常
PPPランプ :点滅 ≫ PPPoE認証失敗 or 認証サーバ応答なし

この状態から、PPPoEの認証が出来ていない事が想定されましたが、前日までは使えていたとの事。

この機器の設定は私が行っており、ユーザー様ご自身が設定画面等を操作することはありません。

念のため手元の検証用機器で、ユーザー様のPPPoEアカウントでの接続確認をしてみても正常に認証されます。

ADSLモデムの故障なども考えられたのですが、最終的に判明した原因は「料金滞納で電話が止められていた」事でした。

★教訓

電話回線が止められていても、ADSLランプは点灯する!

ADSL契約している電話番号に電話を掛けてみれば「お客様の都合により現在利用できません」というアナウンスが流れるのでそれと分かります。

ちなみにNTTのフレッツ故障受付にも確認してみましたが、このような状況の場合でも、ADSLランプは点灯するとの事でした。

[ 投稿者:Cookie at 10:50 | インフラ | コメント(0) | トラックバック(0) ]

2009年05月13日
「防弾ホスティング」と「防弾ドメイン」
セキュリティホール memo さん経由 ComputerWorld セキュリティ・マネジメントの記事より
スパム・ビジネスに利用される「防弾ホスティング」と「防弾ドメイン」
一切のクレームを無視して運用されるサーバやドメインが深刻な問題に

(2009年05月11日)

 スパマーにとって、実においしい話がある。スパムを好き放題ばらまくのに使える中国国内のサーバを、1台月額700ドルで借りられるというのだ。こうしたサービスは「防弾ホスティング(bullet-proof hosting)」などと呼ばれ、スパムやサイバー犯罪と戦う人々の間で深刻な問題になりつつある。

さらに、
 加えて、サーバのホスティングだけでなく、スパム送信やオンライン攻撃に悪用するための「防弾ドメイン」登録サービスも提供されている。米国アラバマ大学でコンピュータ・フォレンジック研究の責任者を務めるギャリー・ワーナー(Gary Warner)氏によれば、同大の研究者らが2009年以降の3カ月間、医薬品のオンライン販売スパムを送信するのに使われた2万2,300件のドメインを追跡調査したところ、そのすべてが中国内でホスティングされているわずか6台の防弾コンピュータにたどり着くことがわかったという。

このようなあからさまにSPAMを助長するようなネットワークからの接続は全て遮断したいところですが、こういうところが一般向けの接続サービスやフリーメールサービスみたいなサービスを提供していたりすると、罪の無い一般利用者まで影響が及ぶので熟慮が必要です。

とは言え、記事の中で名指しされている「Tecom」というプロバイダに関しては自分でも調べてみる事にします。

ちなみに最近ブログへのコメントスパムで多い誘導先リンクも「.cn」だったりするのもこのような「防弾ドメイン」による対策なのかもしれません。

追記)
英文記事をいくつか追いかけてみると、「Tecom」のサイトは、
http://bullet-proof-webhosting.com/faq-bulk-bulletproof-hosting.htm
らしいのですが、現在アクセスできません。

googleキャッシュ

http://www.techworld.com/news/index.cfm?rss&newsid=115576

▼whoisの情報

Registrant:
KTV Technology, Inc.
18F Tai Yau Building, 181 Johnston Road
Wanchai, Hong Kong, HK 00005
HK
Registrar: DOTREGISTRAR
Domain Name: BULLET-PROOF-WEBHOSTING.COM
Created on: 13-JUN-03
Expires on: 13-JUN-12
Last Updated on: 11-MAY-09
Administrative Contact:
Technology, Inc., KTV allenlee1158@hotmail.com
18F Tai Yau Building, 181 Johnston Road
Wanchai, Hong Kong, HK 00005
HK
+853.2833018
Technical Contact:
Technology, Inc., KTV allenlee1158@hotmail.com
18F Tai Yau Building, 181 Johnston Road
Wanchai, Hong Kong, HK 00005
HK
+8862.89927283

Domain servers in listed order:
NS1.SPAMSHUTDOWN.COM
NS2.SPAMSHUTDOWN.COM


▼別ドメインでのサイト
http://servers8.com/bulk-friendly-server.htm
 このサーバはUSのIPアドレスでした。

▼「Bullet Proof Dedicated Server - GOLD」でググった結果 別の業者

http://hostbp.com/

こんな事言ってます。
Lowest Cost BP Dedicated Hosting Servers, and Shared BulletProof Web Hosting

Your ISP shut your services down even if you are running opt-in email lists because of some complaints from some users that forget they were opted in? Then our overseas BP web hosting services are your choice. We will help you on getting a stable web hosting and make money with ease.

For over four years, we are deeply committed to providing you with the most reliable and affordable BP web hosting services. We offer you several kinds of bulletproof dedicated hosting servers, and shared hosting plans at the lowest prices. Don't pay over $200 per month for shared hosting on others that are not stable and you can not find anyone when you need help.

Sending with Reverse DNS IPs to penetrate major ISP's filters.

We have 100% fresh email list Every day for affordable price.

We have cheap opt-in email lists starts at $35/million.

We are online 24/7 to answer any questions.


こちらのドメイン名はUSの住所になってますが、サーバのIPアドレスは「202.75.223.132」で中国です。

Domain name: hostbp.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected (ccace8318b6f43c7827f8e1a7459f393.protect@whoisguard.com)
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected (ccace8318b6f43c7827f8e1a7459f393.protect@whoisguard.com)
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
ns1.keyphraseplacement.com
ns2.keyphraseplacement.com

Creation date: 11 Mar 2009 14:24:29
Expiration date: 11 Mar 2010 15:24:29


「11 Mar 2009」に登録されたばかりなので、前述のドメイン名が方々の記事で取り上げられたので鞍替えしたのかもしれません。


Whois結果 - 202.75.223.132

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.75.208.0 - 202.75.223.255
netname: SRT
country: CN
descr: Hangzhou Silk Road Information Technologies Co.,Ltd.
descr: Hangzhou, Jiangsu, P.R.China
admin-c: QL43-AP
tech-c: WL169-AP
status: ALLOCATED PORTABLE
changed: ipas@cninc.net.cn 20050127
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: Qiu LiXia
address: Huaxing Technology Bldg. Fl.5, No.477 Wensan Road,Hangzhou, Zhejiang,310012, China
country: CN
phone: +86-0571-5127666-31
fax-no: +86-0571-5026182
e-mail: lihp@srt.com.cn
nic-hdl: QL43-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20080218
source: APNIC

person: Wang Linda
address: Huaxing Technology Bldg. Fl.5, No.477 Wensan Road,Hangzhou, Zhejiang,310012, China
country: CN
phone: +86-0571-5127666-31
fax-no: +86-0571-5026182
e-mail: lhm@srt.com.cn
nic-hdl: WL169-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20080218
source: APNIC

inetnum: 202.75.208.0 - 202.75.223.255
netname: SRT
country: CN
descr: Hangzhou Silk Road Information Technologies Co.,Ltd.
descr: Hangzhou, Jiangsu, P.R.China
admin-c: QL43-CN
tech-c: WL169-CN
status: ALLOCATED PORTABLE
changed: ipas@cninc.net.cn 20050127
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CN-SRIT
source: CNNIC

person: Qiu LiXia
address: Huaxing Technology Bldg Fl.5, No.477 Wensan Road,Hangzhou, Zhejiang,310012, China
country: CN
phone: +86-0571-5127666-31
fax-no: +86-0571-5026182
e-mail: lihp@srt.com.cn
nic-hdl: QL43-CN
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20080218
source: CNNIC

person: Wang Linda
address: Huaxing Technology Bldg. Fl.5, No.477 Wensan Road,Hangzhou, Zhejiang,310012, China
country: CN
phone: +86-0571-5127666-31
fax-no: +86-0571-5026182
e-mail: lhm@srt.com.cn
nic-hdl: WL169-CN
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20080218
source: CNNIC





[ 投稿者:Cookie at 08:49 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年05月12日
エプソンさん... 「ひがらな」って ^^;
先日書いた「ひがらな もじ いかれえ CGI」(ひらがな文の文字入れ替え)の影響で、『ひがらな』での検索結果の上位に...

googleではトップになってました。
で、Yahooの検索結果を見ていると、なんと!
エプソン|ヘルプ
全角・・・漢字 ・ ひがらな ・ カタカナ. ※ 機種依存文字および半角カタカナ、 「&,<,>,",'は利用できませんので. ご注意ください。 エラーが表示されているのは 「ニックネーム」 の項目です。 ニックネームで ...
www.epson.jp/myepson/help/e07.htm -キャッシュ


リンク先を見ると、
「ニックネーム」 に使用できる文字は、半角および全角文字です。
半角・・・半角アルファベット (小文字/大文字) ・ 数字および 「!#$%&*+-=?@_」
全角・・・漢字 ・ ひがらな ・ カタカナ

※着色は筆者による

との事です^^;

どこかからコピペで持ってきて気が付かなかったのか?

それとも本当に打ち間違え(typo)たのか?




[ 投稿者:Cookie at 14:30 | ノンジャンル | コメント(0) | トラックバック(0) ]

2009年05月08日
ひがらな もじ いかれえ CGI
俗・砂丘日誌さんのエントリーで発見した「文字入れ替えひらがな文」。

2chなどを中心に盛り上がりを見せている様ですが、既にperlのスクリプトを書いていた方「みずぴー日記」がいらっしゃったので、CGIに加工(と言うほどでもない)してみました。

ひがらな もじ いかれえ
http://web.asama.ne.jp/cgi-bin/shuffle.cgi


ひらがなに限らず半角スペースで区切られた4文字以上の文字列内の文字を入れ替えています。

おしもろい へんかん けかっが でたきら コンメト くさだい ^^v

追記)
「おかしな日本語に変換してくれるページ」 発見しました。

こちらは単語の区切りを判断して、漢字カナ混じりの文も「文字入れ替えかな文」にしてくれます。
※ 漢字はひらがなに、カタカナはカタカナのまま

追記)
2chのコピペよりも前のオリジナルを探してたどり着いたのはこちら
ひらがなせいかつ への いざない
http://n.h7a.org/blog/entry/1594

ちょっと かんけいないかもしれませんが こんなのをおもいだしました。

こちにんは みさなん おんげき ですか?  わしたは げんき です。 この ぶんょしう は いりぎす の ケブンッリジ だがいく のけゅきんう の けっか にんんげは たごんを にしんき する ときに その さしいょ と さいご の もさじえ あいてっれば じばんゅん はめくちちゃゃ でも ちんゃと よめる という けゅきんう に もづいとて わざと もじの じんばゅん を いかれえてあまりす。 どでうす? ちんゃと よゃちめう でしょ?

Goro - 21 April '2009 - 14:25


追記)2009-05-13
知っている人はだいぶ前から考察していたようですね。
【ひらなが】(替誤科)
http://www.tt.rim.or.jp/~rudyard/kaego014.html

[ 投稿者:Cookie at 16:52 | ノンジャンル | コメント(1) | トラックバック(0) ]

2009年05月03日
添付画像だけのSPAMが多い
png1



最近、英文タイトルで添付画像のみ(ファイル名なし)のSPAM
メールが増えた気がします。

送信元はバラバラで、taRgreyも抜けてくるしSpamAssassinでも
SPAM判定が難しく、画像はサプリ系の通販サイト誘導で、誘導先
サイトも共通。

ひとまずメール本文のbase64エンコードされた画像データの
1行目をpostfixのbody_checksでREJECTするようにしましたが、
画像スパムフィルタも考えないとダメかも...

PNGの仕様をよく調べてないので誤判定すると困りますが、
いくつか適当なPNGファイルを添付した限りではエンコード結果が
異なっていたので大丈夫かな?

▼添付画像の1行目
iVBORw0KGgoAAAANSUhEUgAAAVMAAAGHCAMAAAA6OkF/AAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVsAAAGDCAMAAACyfEOdAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAX4AAAGtCAMAAAAmru9PAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAV8AAAGnCAMAAAAnqqTHAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAU8AAAGuCAMAAAAnC3TnAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVYAAAGrCAMAAACsfU92AAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWMAAAGFCAMAAAAfAWJMAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWkAAAGNCAMAAADkcHDoAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWcAAAGICAMAAACqdNHoAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVkAAAGiCAMAAAB6eUUzAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWYAAAGiCAMAAADjgZyGAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVIAAAGSCAMAAACG47lpAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAXcAAAGoCAMAAACKdlU2AAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAXIAAAGaCAMAAAAl7TjUAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVIAAAGDCAMAAABOaWhXAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWsAAAGaCAMAAAD+VpL2AAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWcAAAGhCAMAAACK14UWAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAX4AAAGQCAMAAACeSvs8AAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAWoAAAGlCAMAAADkuEywAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAVMAAAGHCAMAAAA6OkF/AAAABGdBTUEAAK/INwWK6QAAABl0RVh0

※追記 2009-05-07
 添付画像のファイル名が付いて、誘導先URLの数字が異なるバージョンが着信しました。
 base64エンコードされたデータの一行目はこんな感じで、ファイル名無しの場合とほぼ同一。

iVBORw0KGgoAAAANSUhEUgAAAXsAAAF/CAMAAACfcZkvAAAABGdBTUEAAK/INwWK6QAAABl0RVh0
iVBORw0KGgoAAAANSUhEUgAAAXAAAAF/CAMAAABnkWLYAAAABGdBTUEAAK/INwWK6QAAABl0RVh0

▼マッチングパターン
/^iVBORw0KGgoAAAANSUhEUgAAA..AAA..CAMAAA......AAAABGdBTUEAAK.*/


※追記

PNGフォーマット情報
http://www.river.sannet.ne.jp/yuui/fileformat/png.html
http://www14.ocn.ne.jp/~setsuki/ext/png.htm

追記 2009-05-08)

「画像スパム」が再び急増、迷惑メールの7%以上に
http://pc.nikkeibp.co.jp/article/news/20090410/1014179/


 セキュリティ企業の米シマンテックは2009年4月8日、「画像スパム(イメージスパム)」に分類される迷惑メール(スパム)が、2週間ほど前から急増していることを伝えた。迷惑メール全体に占める割合が、以前は1%程度だったものが、最近では7%を超えたという。


追記)
taRgreyで大変お世話になっている「モーグルとカバとパウダーの日記」さんの関連記事など

[pc][spam]ここ数週間ですごく増えてるスパムの特徴とフィルタ内容
http://d.hatena.ne.jp/stealthinu/20090501

[pc][spam]ここ最近急増している(画像1枚のみではなく)HTMLメールでバイアグラを売るスパムの状況
http://d.hatena.ne.jp/stealthinu/20090512

PC Online
帰ってきた「画像スパム」、迷惑メール全体の16%に
http://pc.nikkeibp.co.jp/article/news/20090511/1014961/


[ 投稿者:Cookie at 13:53 | SPAM対策 | コメント(0) | トラックバック(0) ]