掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2014年03月03日
三菱東京UFJ銀行を騙るフィッシングメール対策(2)
三菱東京UFJ銀行を騙るフィッシングメールの送信元メールアドレスのパターンが変更されていたので、件名(Subject)で拒否する設定にしてみました。

▼着信したメールの件名

Subject: 「三菱東京UFJ銀行」本人認証サービス
Subject: 【三菱東京UFJ銀行】本人認証サービス


▼Subjectヘッダーのソース表示

Subject: =?utf-8?B?44CQ5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CR5pys5Lq66KqN6Ki844K144O844OT44K5?=
Subject: =?utf-8?B?44CM5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?=

▼拒否ルール

/^Subject:.*=\?(UTF|utf)-8\?B\?44C(Q|M)5LiJ6I\+x5p2x5Lqs77y177ym77yq.*6YqA6KGM44C(R|N)5pys
5Lq66KqN6Ki844K1.*44O844OT44K5\?=/ REJECT

※オリジナルのメールはSubjectのUTF-8エンコードが1行で記述されていますが、テストで使っているメーラーの仕様により途中で分割されるため、「.*」が入っています。

▼REJECT結果

Mar 3 11:30:22 reject: header Subject: =?utf-8?B?44CM5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?= from smtp510.mail.kks.yahoo.co.jp[114.111.99.159]; from=
Mar 3 11:32:12 reject: header Subject: =?utf-8?B?44CM5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?= from smtp502.mail.kks.yahoo.co.jp[114.111.99.163]; from=
Mar 3 11:34:52 reject: header Subject: =?utf-8?B?44CM5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?= from 122x219x45x73.ap122.ftth.ucom.ne.jp[122.219.45.73]; from=

[ 投稿者:Cookie at 11:33 | SPAM対策 | コメント(0) | トラックバック(0) ]

2014年02月27日
三菱東京UFJ銀行を騙るフィッシングメール対策
三菱東京UFJ銀行を騙るフィッシングメールがかなりの頻度で届くため、自分用メールサーバ上でREJECTする設定を行った結果…

用事のない人は「yahoo.com.tw」をブロックすると手っ取り早い。

Feb 26 16:20:25 harvest862000@yahoo.com.tw
Feb 26 16:20:43 heartbreaker338@yahoo.com.tw
Feb 26 16:26:08 tommy896310@yahoo.com.tw
Feb 26 16:52:59 hcc8514@yahoo.com.tw
Feb 26 17:27:18 heary810705@yahoo.com.tw
Feb 26 19:06:15 he02534272@yahoo.com.tw
Feb 26 20:00:48 tp6u4d93@yahoo.com.tw
Feb 26 23:15:29 benman35@yahoo.com.tw
Feb 26 23:37:01 k748596123k@yahoo.com.tw
Feb 27 01:29:50 fairyandy0527@yahoo.com.tw
Feb 27 01:47:10 g73023@yahoo.com.tw
Feb 27 01:57:10 ga47212377@yahoo.com.tw
Feb 27 02:52:59 f961783@yahoo.com.tw
Feb 27 06:00:57 f961783@yahoo.com.tw
Feb 27 06:59:49 nick59103@yahoo.com.tw
Feb 27 08:31:54 nickdogwx987@yahoo.com.tw
Feb 27 08:39:44 nicky198138@yahoo.com.tw
Feb 27 13:39:23 kane5161@yahoo.com.tw
Feb 27 13:55:13 gp008302@yahoo.com.tw
Feb 27 13:58:26 kelly855904079@yahoo.com.tw
Feb 27 15:27:35 joke102474761@yahoo.com.tw

ルールはこんな感じ(postfix)

/^From: =\?utf-8\?B\?5LiJ6I\+x5p2x5LqsVUZK6YqA6KGM\?=.*\@yahoo\.com\.tw/ REJECT



[ 投稿者:Cookie at 17:52 | SPAM対策 | コメント(0) | トラックバック(0) ]

2013年10月29日
携帯電話キャリアメールを偽造したSPAM送信元
no-spam-2x

管理しているメールサーバへの携帯電話キャリアメール"@i.softbank.jp" "@docomo.ne.jp" "@ezweb.ne.jp" を偽装したSPAM送信元を集計したところ、ダントツで hqjt.xidian.edu.cn[202.117.120.82] からの送信が多いことが分かったので、このIPアドレスをFirewallでブロックしましたが、ドメイン名からすると中国の大学と思われます。

日本国内の携帯電話キャリアメールを偽装しているので、明らかに日本人をターゲットにしたスパム行為で、どんな組織が関わっているのか興味深い。

PC端末が乗っ取られて不正に操作されているのか、あるいは意図的な…

# whois 202.117.120.82

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '202.117.112.0 - 202.117.127.255'

inetnum: 202.117.112.0 - 202.117.127.255
netname: XIDIAN-CN
descr: ~{Nw025gWS?F<<4sQ'~}
descr: Xidian University
descr: DianZiKeJiDaXue
descr: Xi'an
country: CN
admin-c: MY3-CN
tech-c: FG1-CN
tech-c: CER-AP
remarks: origin AS4538
changed: hm-changed@net.edu.cn 19951225
mnt-by: MAINT-CERNET-AP
status: ASSIGNED NON-PORTABLE
source: APNIC

role: CERNET Helpdesk
address: Room 224, Main Building
address: Tsinghua University
address: Beijing 100084, China
country: CN
phone: +86-10-6278-4049
fax-no: +86-10-6278-5933
e-mail: cernet-helpdesk-ip@net.edu.cn
remarks: abuse@net.edu.cn
admin-c: XL1-CN
tech-c: SZ2-AP
nic-hdl: CER-AP
remarks: Point of Contact for admin-c
mnt-by: MAINT-CERNET-AP
changed: cernet-helpdesk-ip@net.edu.cn 20010903
source: APNIC
changed: hm-changed@apnic.net 20111114

person: Feng Guo
address: ~{Nw025gWS?F<<4sQ'~}
address: National Key Lab of ISN
address: Xidian University
address: No.2 Taibai Road
address: Xi'an, Shaanxi
address: China
country: CN
phone: +86 29 5264700 ext. 5001
fax-no: +86 29 822 2707
e-mail: xdu@xjtu.edu.cn
nic-hdl: FG1-CN
notify: address-allocation-staff@cernic.net
mnt-by: MAINT-NULL
changed: szhu@cernic.net 19951225
source: APNIC
changed: hm-changed@apnic.net 20111122

person: Ming Ye
address: ~{Nw025gWS?F<<4sQ'~}
address: President Office
address: Xidian University
address: No.2 Taibai Road
address: Xi'an, Shaanxi,
address: China
country: CN
phone: +86 29 526 1020 ext. 2203
fax-no: +86 29 526 2281
e-mail: xdu@xjtu.edu.cn
nic-hdl: MY3-CN
notify: address-allocation-staff@cernic.net
mnt-by: MAINT-NULL
changed: szhu@cernic.net 19951225
source: APNIC
changed: hm-changed@apnic.net 20111122


[ 投稿者:Cookie at 10:42 | SPAM対策 | コメント(1) | トラックバック(0) ]

2012年03月18日
postfix-2.9用のsleepパッチ が出ていた
postfixで運用しているメールサーバのスパム対策に使わせていただいている『taRgrey』で必要となるpostfix用パッチが、postfix-2.9に対応しているようです。

http://d.hatena.ne.jp/stealthinu/20120224/p1

以前構築したメールゲートウェイのリプレースの話が出ているので、早速お世話になると思われます。

stealthinuさんに感謝!

[ 投稿者:Cookie at 11:21 | SPAM対策 | コメント(0) | トラックバック(0) ]

2011年11月16日
日本語での「フィッシングメール」
SPAM捕獲用メールアドレス宛に届いていた、いわゆる「フィッシングメール」です。

日本語で送られてくるので、くれぐれも注意!

発信元は「中国」です。

※既に誘導先URLのホスト名はDNSから削除されているようですが、念のため伏字にしておきます。

-----------
■本文
peypei 三井住友銀行ご利用のお客様へ

三井住友銀行のご利用ありがとうございます。
このお知らせは、三井住友銀行をご利用のお客様に送信しております。
この度、三井住友銀行のセキュリティーの向上に伴いまして、SMBCダイレクト暗証カードを再発行する事になりました。
再発行手続きは下記URLから入り必要事項を記入し送信お願いします。
http://www.******-****.com/reg.aspx
再発行のカードは後日郵送で届きますので到着までは現在の確認番号カードをお使いください。
この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします。
三井住友銀行

2011-10-812:48:22

-----------
■ヘッダー情報
Received: from m255-81.kenfor.net (localhost.localdomain [127.0.0.1])
by m255-81.kenfor.net (Postfix)
with ESMTP id 94B39E7212 for <********@****************>;
Sat, 8 Oct 2011 12:47:55 +0800 (CST)
Received: from dczrfkiq([199.192.153.129])
by m255-81.kenfor.net(KBAS Gateway 2.1 2.130a13(2011-07-21))
with ESMTP id local1914.1318049274 for <********@****************>;
Sat, 08 Oct 2011 12:47:55 +0800 (CST)
X-Original-AuthLogin: service@alllike.com.cn
X-MAIL-SOURCE-IP: 199.192.153.129
Sender: service@alllike.com.cn
Message-ID:
From: "SMBC"
Subject: .再発行手続き

-----------
■誘導先URLドメインのwhois情報

Name Server ..................... dns9.hichina.com
dns10.hichina.com
Registrant ID ................... hc844380917-cn
Registrant Name ................. ZHANG bai
Registrant Organization ......... WAN HUI WANGLUO GONGSI
Registrant Address .............. SHANG HAI YANGPUQU GUIYANGLU 583NONG 42HAO
Registrant City ................. shang hai shi
Registrant Province/State ....... shang hai
Registrant Postal Code .......... 130000
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.02155681 - 807
Registrant Fax .................. +86.02155681 - 807
Registrant Email ................ higashikokasai@163.com
Administrative ID ............... hc844380917-cn
Administrative Name ............. ZHANG bai
Administrative Organization ..... WAN HUI WANGLUO GONGSI
Administrative Address .......... SHANG HAI YANGPUQU GUIYANGLU 583NONG 42HAO
Administrative City ............. shang hai shi
Administrative Province/State ... shang hai
Administrative Postal Code ...... 130000
Administrative Country Code ..... CN
Administrative Phone Number ..... +86.02155681 - 807
Administrative Fax .............. +86.02155681 - 807
Administrative Email ............ higashikokasai@163.com
Billing ID ...................... hc844380917-cn
Billing Name .................... ZHANG bai
Billing Organization ............ WAN HUI WANGLUO GONGSI
Billing Address ................. SHANG HAI YANGPUQU GUIYANGLU 583NONG 42HAO
Billing City .................... shang hai shi
Billing Province/State .......... shang hai
Billing Postal Code ............. 130000
Billing Country Code ............ CN
Billing Phone Number ............ +86.02155681 - 807
Billing Fax ..................... +86.02155681 - 807
Billing Email ................... higashikokasai@163.com
Technical ID .................... hc844380917-cn
Technical Name .................. ZHANG bai
Technical Organization .......... WAN HUI WANGLUO GONGSI
Technical Address ............... SHANG HAI YANGPUQU GUIYANGLU 583NONG 42HAO
Technical City .................. shang hai shi
Technical Province/State ........ shang hai
Technical Postal Code ........... 130000
Technical Country Code .......... CN
Technical Phone Number .......... +86.02155681 - 807
Technical Fax ................... +86.02155681 - 807
Technical Email ................. higashikokasai@163.com
Expiration Date ................. 2012-10-05 18:58:44


[ 投稿者:Cookie at 15:17 | SPAM対策 | コメント(0) | トラックバック(0) ]

Facebookに偽装したSPAMメール(迷惑メール)
Facebook偽装スパム



Facebookに偽装したSPAMメール(迷惑メール)が多い...

From: が、@facebook******.com ってパターンがほとんどですが、まともなFacebookからの通知が「@facebookmail.com」からも届く例があるので単純に正規表現でフィルタリングできない。

他にもFacebookが公式で使っているドメイン名があると困るので、しばらく調査することにしよう。

[ 投稿者:Cookie at 11:13 | SPAM対策 | コメント(0) | トラックバック(0) ]

2010年08月27日
タイトル・本文が英数字2~7文字だけのスパム
以前からメールのタイトルや本文が英数字で何文字かだけ書かれたスパムが着信しており、特徴を探すのに苦労したのでそのまとめです。

■スパムの例

Subject: szl e3
---本文---
ic

Subject: hdamf mamr
---本文---
z6

など。

SpamAssassinでSPAM判定されるものがほとんどですが、抜けてくるものが若干あるのと、ログを調べると他の要因でREJECTしている中にも同一の特徴をもつものが多数見受けられました。

送信元がゾンビPC等と思われますが、taRgreyに引っかかているものもあります。

これらのメールの特徴としては「In-Reply-To」ヘッダーが必ず付いていることと、規則性がみられることです。

▼該当メールのIn-Reply-Toの例


<966401cb3f4b$c4682a18$589ee6f7@pmajar3>
<9af801cb4223$b55a27b7$4dc7a232@ag9wo5b>



<656601cb3f8e$9b4250ab$3f5dc3e9@551ans2>
<4e9201cb4179$c5372034$7f2f7f31@4nwgsn1>
<3a0801cb41ff$379e0ebe$98022f91@bme2ju2>
<7e3901cb443f$3e5380e0$e571b3ab@3uq3bvd>
<6ab401cb441e$85866932$3d550e81@xquej61>
<2caa01cb4179$d84daf8c$e4b7adc9@xjci983>
<726c01cb42d3$6843aaaf$2cbbfd55@0v9h5bq>

<523c01cb3ff2$687961af$d2ee40a7@9bz1s03>
<735301cb41f4$175f77c5$fe6e9177@fu0e971>

<558d01cb438d$eab96983$9e8404f0@cdio4l1>


<72cf01cb3f10$3e8516a6$2c732898@pucl723>
<63f401cb42ed$51eb0fb9$c0675a4a@mdyo9y1>
<2b6c01cb4310$c1d76bb8$5502c6aa@81gy351>

気がついたパターンは3個。

1.先頭2文字が[1-9a-z]に合致

正常なメールでのIn-Reply-Toでは先頭が"00"とか"20"とかから始まるパターンが多数。
"20"は"2010"とか西暦を使っているための様です。

2."@"の左側に"$"が2箇所含まれる

"$"の位置は規則性がありますが、調べると正常なメールでも同じ位置に"$"がある場合も確認しています。

3."@"の右側の文字列が必ず7文字

これらの条件を組み合わせるとこんな感じの正規表現になるので、postfixのheader_checksに書いてあげるとヒットします。

/^In-Reply-To: <[1-9a-z]{2}[0-9a-z]{10}\$[0-9a-z]{8}\$[0-9a-z]{8}@[0-9a-z]{7}/ WARN

とりあえずWARNとして状況を確認するのが良いでしょう。

※このルールに引っかかってしまう正常なIn-Reply-Toをご存じの方はご指摘頂けると助かります。

ちなみに送信元のIPアドレスをip2ccで確認しsortしてまとめたのが下記です。

多分ボットとかにやられてるんだと思いますが、そもそも送られてくるスパムの内容が意味不明です。

ツールの動作確認とかなんでしょうか?

▼2010-08-26のログから集計した送信国リスト結果

AE (United Arab Emirates):217.164.126.44
AE (United Arab Emirates):217.164.180.98
AE (United Arab Emirates):217.164.220.198
AE (United Arab Emirates):83.110.226.174
AE (United Arab Emirates):86.97.179.78
AE (United Arab Emirates):86.97.186.204
AE (United Arab Emirates):86.98.27.7
AE (United Arab Emirates):92.98.233.184
AM (Armenia):83.139.38.6
AN (Netherlands Antilles):201.216.71.212
AR (Argentina):190.178.83.116
AU (Australia):122.148.179.220
AU (Australia):202.72.162.224
AU (Australia):203.45.166.252
AU (Australia):203.91.69.138
AZ (Azerbaijan):94.20.42.11
BA (Bosnia and Herzegovina):77.78.213.250
BG (Bulgaria):78.128.106.19
BG (Bulgaria):84.201.201.233
BG (Bulgaria):85.196.168.239
BG (Bulgaria):93.123.36.230
BG (Bulgaria):94.101.193.121
BR (Brazil):189.105.39.154
BR (Brazil):189.105.76.134
BR (Brazil):189.110.204.254
BR (Brazil):189.19.157.158
BR (Brazil):189.46.177.127
BR (Brazil):189.69.92.174
BR (Brazil):189.7.235.121
BR (Brazil):189.80.121.150
BR (Brazil):189.80.16.27
BR (Brazil):200.202.201.42
BR (Brazil):200.223.180.66
BR (Brazil):201.10.55.28
BR (Brazil):201.14.221.161
BR (Brazil):201.51.136.168
BR (Brazil):201.67.105.194
BR - Brazil:187.106.33.118
BR - Brazil:187.107.186.128
BR - Brazil:187.74.19.203
BY (Belarus):93.85.84.159
BY - Belarus:178.120.96.219
BY - Belarus:178.172.144.34
CA (Canada):216.46.32.55
CA (Canada):65.87.252.56
CL (Chile):201.246.77.221
CO (Colombia):190.158.113.84
CO (Colombia):190.27.123.172
CO (Colombia):190.69.57.216
DE (Germany):88.73.238.129
DK (Denmark):77.213.226.102
DO (Dominican Republic):190.166.86.179
DO (Dominican Republic):64.32.87.139
DZ (Algeria):80.249.66.244
EG (Egypt):41.196.190.154
EG (Egypt):82.201.227.16
EU (European Union):188.133.250.247
EU (European Union):188.249.61.90
EU (European Union):188.48.113.224
EU (European Union):188.50.30.242
EU (European Union):188.55.118.189
FR (France):78.229.181.226
FR (France):82.227.11.76
FR (France):89.90.44.208
GB (United Kingdom):78.147.22.150
GB (United Kingdom):78.151.111.121
GB (United Kingdom):81.151.239.124
GB (United Kingdom):81.99.172.61
GB (United Kingdom):82.12.14.226
GB (United Kingdom):86.131.130.72
GB (United Kingdom):86.184.125.239
GB (United Kingdom):86.184.63.252
GB (United Kingdom):90.195.158.41
GB (United Kingdom):90.203.113.190
GB (United Kingdom):92.15.203.104
GB (United Kingdom):92.8.13.84
GR (Greece):79.107.182.127
GR (Greece):79.166.103.207
HR (Croatia):93.139.52.243
ID - Indonesia:111.94.125.133
ID - Indonesia:180.243.189.4
IL (Israel):212.199.54.18
IL (Israel):62.219.114.104
IL (Israel):77.126.142.184
IL (Israel):77.126.96.74
IL (Israel):77.127.47.3
IL (Israel):79.177.120.83
IL (Israel):79.181.106.97
IL (Israel):79.181.122.12
IL (Israel):79.181.7.123
IL (Israel):80.179.213.53
IL (Israel):81.218.168.27
IL (Israel):84.109.187.92
IL (Israel):84.110.207.240
IL (Israel):87.68.155.189
IL (Israel):87.68.23.36
IL (Israel):87.68.52.216
IL (Israel):87.70.215.56
IL (Israel):94.159.158.70
IL (Israel):94.159.242.141
IN (India):115.111.44.4
IN (India):115.113.79.5
IN (India):116.74.34.250
IN (India):117.201.2.147
IN (India):117.96.125.216
IN (India):122.160.47.224
IN (India):122.163.114.130
IN (India):122.164.232.136
IN (India):122.178.183.42
IN (India):59.177.76.243
IN (India):59.180.138.39
IN (India):59.90.101.31
IN (India):59.93.165.112
IN - India:114.79.130.35
IN - India:183.82.166.174
IR (Iran (Islamic Republic of)):217.219.90.188
IS (Iceland):85.197.202.91
IS (Iceland):88.149.117.91
IT (Italy):151.53.144.174
IT (Italy):217.203.64.161
IT (Italy):93.33.5.108
KR (Republic of Korea):115.93.239.142
KR (Republic of Korea):118.36.90.238
KR (Republic of Korea):121.159.174.155
KR (Republic of Korea):123.141.122.125
KR (Republic of Korea):125.240.191.165
KR (Republic of Korea):125.242.20.10
KR (Republic of Korea):211.195.216.144
KR (Republic of Korea):211.214.238.45
KR (Republic of Korea):220.123.230.182
KR (Republic of Korea):59.17.250.151
KR (Republic of Korea):59.19.50.148
KR (Republic of Korea):59.30.87.23
LT (Lithuania):84.32.220.95
LV (Latvia):78.84.21.75
MA (Morocco):196.217.50.103
MK (The former Yugoslav Republic of Macedonia):77.29.3.243
NL (Netherlands):217.120.145.44
NL (Netherlands):77.250.214.120
NL (Netherlands):77.251.226.186
NL (Netherlands):80.56.24.54
NL (Netherlands):82.72.152.205
NL (Netherlands):94.212.146.74
NO (Norway):62.92.54.174
OM (Oman):82.178.193.36
PE (Peru):190.233.4.140
PE (Peru):190.42.212.58
PE (Peru):201.230.46.233
PL (Poland):83.3.5.154
PS (Undefined):83.244.112.115
PT (Portugal):79.168.33.148
RO (Romania):213.233.64.128
RO (Romania):89.32.161.65
RO (Romania):92.81.12.70
RO (Romania):92.82.121.93
RO (Romania):92.82.174.129
RO (Romania):92.84.124.187
RO (Romania):92.85.138.79
RO - Romania:109.99.20.205
RS - Russian Federation:178.175.39.250
RU (Russian Federation):213.234.20.198
RU (Russian Federation):77.40.77.231
RU (Russian Federation):78.85.251.206
RU (Russian Federation):83.149.21.206
RU (Russian Federation):83.149.37.216
RU (Russian Federation):86.110.190.45
RU (Russian Federation):90.151.23.33
RU (Russian Federation):94.41.30.205
RU - Russia:178.129.29.27
RU - Russia:178.72.89.128
SA (Saudi Arabia):212.118.142.75
SA (Saudi Arabia):77.31.223.148
SA (Saudi Arabia):86.51.18.71
SA (Saudi Arabia):94.96.153.249
SA (Saudi Arabia):94.97.81.168
SE (Sweden):194.103.219.5
SE (Sweden):213.238.246.201
SE (Sweden):84.55.70.142
SG (Singapore):116.14.62.142
SG (Singapore):116.15.104.236
SG (Singapore):116.15.32.55
SG (Singapore):119.74.107.59
SG (Singapore):218.212.63.251
SG (Singapore):219.74.169.216
SG (Singapore):59.189.218.155
TH (Thailand):115.87.198.124
TH (Thailand):119.46.164.226
TH (Thailand):124.120.94.84
TH (Thailand):124.121.246.236
TH (Thailand):58.147.21.188
TH (Thailand):58.9.160.155
TH (Thailand):61.7.189.129
UA (Ukraine):92.112.66.83
UA (Ukraine):93.73.160.172
US (United States):130.156.169.99
US (United States):136.166.78.238
US (United States):173.26.84.23
US (United States):65.35.202.120
US (United States):71.57.81.211
US (United States):75.91.13.221
US (United States):75.91.13.221
US (United States):75.95.127.248
VE (Venezuela):201.210.62.205
VE (Venezuela):201.211.65.65
VN (Viet Nam):113.162.60.7
VN (Viet Nam):113.166.136.33
VN (Viet Nam):117.1.23.79
VN (Viet Nam):117.1.57.30
VN (Viet Nam):123.28.187.253




[ 投稿者:Cookie at 10:50 | SPAM対策 | コメント(0) | トラックバック(0) ]

2010年08月26日
Bounce Address Tag Validation (BATV)
とあるメーリングリストの利用者から「MLに送信しても配送されない」との問い合わせがあり、調査したところ送信者のメールシステムが「Bounce Address Tag Validation (BATV)」を導入しているらしいことが判明。

BATVを導入するとback-scatter(後方散乱)でのスパムを判定するために「Return-Path:(Envelope-From)」に独自のキーを追加し、正常なバスンスメールの判定に使用するようです。

▼書き換えの例
mailbox@example.com から prvs=tag-value=mailbox@example.com

一部のリストサーバ(今回はezmlm)では登録利用者の確認をReturn-Path:で行なうため、投稿が拒否されます。

ezmlm側で対応できれば良いのですが、この辺りの情報が見つからず現在調査中。

BATV自体は以前から存在していますが、実際に導入していてトラブルに遭遇した経験が無かったので、今回改めて調査してみました。

ezmlmの他にどんなソフトと相性が悪いのかは調べきれていませんが、個人的な感想としては「BATV」は「やりすぎ」かなと思います。

▼Bounce Address Tag Validation
http://en.wikipedia.org/wiki/Bounce_Address_Tag_Validation

▼BATV利用者の感想(postfix-ML)
http://www.postfix-jp.info/ML/arc-2.4/msg00023.html

▼後方散乱:back-scatter
http://jp.trendmicro.com/jp/threat/security_news/virusnews/article/20080528040245.html

▼BATVを導入しているアプライアンス製品
http://www.sonicwall.com/japan/press/press-20080708.html
http://www.clearswift.com/jp/
 https://apphelp.clearswift.com/jp/policycenter/pcspambatv.htm


[ 投稿者:Cookie at 15:46 | SPAM対策 | コメント(0) | トラックバック(0) ]

2010年04月22日
zip圧縮ファイル添付のSPAM 再来
昨日あたりからzip圧縮ファイル添付のSPAMが再来しています...

ヘッダーやタイトル、本文、添付ファイルにも共通性がなく、唯一「User-Agent:」だけが共通です。

このUser-Agent自体は確かにThunderbirdのものの様ですが、言語が「en-US」なのでしばらく観察してみることにします。


▼ZIPファイル添付の英文SPAM
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.7) Gecko/20100111 Thunderbird/3.0.1


▼正常なThunderbird(日本語版)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.1.7) Gecko/20100111 Thunderbird/3.0.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.1.7) Gecko/20100111 Thunderbird/3.0.1
User-Agent: Thunderbird 2.0.0.24 (Windows/20100228)
User-Agent: Thunderbird 2.0.0.24 (X11/20100411)
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)

ちなみに添付のZIPファイルを解凍すると、*****.rtfなファイルが現れ内容は以下の通り「Viagra」系の宣伝。

$ cat somme.rtf
{\rtf1\ansi\ansicpg1252\deff0\deflang1033{\fonttbl{\f0\fnil\fcharset0 Calibri;}}
{\colortbl ;\red0\green0\blue255;\red192\green80\blue77;\red0\green176\blue80;\red204\green180\blue0;\red255\green0\blue0;\red223\green206\blue4;\red155\green0\blue211;\red79\green129\blue189;\red165\green165\blue165;\red128\green158\blue194;\red247\green150\blue70;\red0\green77\blue187;\red75\green172\blue198;\red221\green132\blue132;\red51\green51\blue51;\red158\green124\blue124;\red155\green187\blue89;}
{\*\generator Msftedit 5.50.28.4269;}\viewkind4\uc1\pard\sa200\sl276\slmult1\lang9\f0\fs32{\field{\*\fldinst{HYPERLINK "http://www.ca66.ru"}}{\fldrslt{\ul\cf1 http://www.ca66.ru}}}\f0\cf1\b\fs32 - Order the cheapest medications now!\par
Viagra \cf4 Cialis \cf3 Viagra Professional \cf5 Cialis Professional \cf6 Viagra Super Active+ \cf3 Cialis Super Active+ \cf7 Levitra\cf0 \cf8 Viagra Soft Tabs \cf9 Cialis Soft Tabs\cf10 \cf11 Levitra Professional \cf4 Female Viagra \cf12 Propecia \cf7 Acomplia \cf6 Xenical\cf0 \cf5 Brand Levitra \cf13 Female Cialis \cf14 Levitra Super Active+ \cf15 Tamiflu\cf0 \cf7 VPXL\cf0 \cf16 Viagra Soft Flavoured \cf5 Brand Viagra \cf17 Brand Cialis\cf0




[ 投稿者:Cookie at 11:25 | SPAM対策 | コメント(0) | トラックバック(0) ]

2010年04月08日
zip圧縮ファイル添付のSPAM
一昨日ごろからzip圧縮ファイル添付のSPAMがすり抜けて来るようになったので特徴を観察してみました。

毎度の事ですが添付ファイル名やタイトル、本文はランダムなのでヘッダーやbase64エンコーディングされた添付ファイル部分を見比べていて気がついた点。

Return-Receipt-To: edbaolmaph_ededeljjbn@abdumaler.in
X-Confirm-Reading-To: edbaolmaph_ededeljjbn@abdumaler.in
Disposition-Notification-To: edbaolmaph_ededeljjbn@abdumaler.in

これらのヘッダー(受信確認要求)が付加されています。

メールアドレスはランダムに変化しますが、ドメイン名部分は共通。

akbhkjgmhb_akakaelikn@abdumaler.in
apnfkojlbe_apapaiikhg@abdumaler.in
bdbjbmciga_bdbdabeied@abdumaler.in
bdefdkhelk_bdbdaikimg@abdumaler.in
bfnpkinadp_bfbfbchboo@abdumaler.in
bjimdjemne_bjbjbdhjgc@abdumaler.in
cgnaahdfha_cgcgchmoai@abdumaler.in
chfdfeaeim_chchdhopfb@abdumaler.in
dhfmiabplp_dhdhcggifk@abdumaler.in
dhocgfihil_dhdhdoljmg@abdumaler.in
dibghcacjk_didicndneo@abdumaler.in
dmahcogelp_dmdmdongdb@abdumaler.in
dmmkdifkcd_dmdmdafjan@abdumaler.in
doaaddmlhi_dododaehlc@abdumaler.in
eamelldnjk_eaeaekmjlb@abdumaler.in
ebdgpafljb_ebebealebb@abdumaler.in
efcjieimhp_efefehnoml@abdumaler.in
elllfailpg_elelfnedij@abdumaler.in
emgadpcfjf_ememfknppm@abdumaler.in
fbgnkhgcmh_fbfbegkocc@abdumaler.in
fgeikfanbi_fgfgfiokab@abdumaler.in
fhbeoedfba_fhfhfjamja@abdumaler.in
fjaeangkph_fjfjepjbcd@abdumaler.in
fjpgibcfml_fjfjepmppm@abdumaler.in
gfgjpaamla_gfgfhdpdpb@abdumaler.in
hdddfejfjd_hdhdgajdpn@abdumaler.in
ibfclkcjdd_ibibickkja@abdumaler.in
ibghfkmbnl_ibibjfhkom@abdumaler.in
ibnpbhijia_ibibiibgdo@abdumaler.in
iedpgblkeb_ieiejcbapm@abdumaler.in
jgechjpmjj_jgjgjoiofl@abdumaler.in
kaekienaam_kakaleaono@abdumaler.in
kbhnokkbcd_kbkblhiffm@abdumaler.in
kgknoaopgp_kgkglgbemf@abdumaler.in
kiekpghhge_kikilomgfk@abdumaler.in
kijolologe_kikilnmoab@abdumaler.in
kjlhchfgko_kjkjkklnbp@abdumaler.in
kljdedmioh_klkllbdiph@abdumaler.in
knckenlapb_knknkdfcma@abdumaler.in
lehekendkh_lelekcaoeo@abdumaler.in
lfidpppgki_lflfkdjmlb@abdumaler.in
liokhgljbf_lililbejak@abdumaler.in
mpjngdlhhe_mpmpmplnel@abdumaler.in
nlklhfpfda_nlnlnhddml@abdumaler.in
oecfimcpop_oeoeofeima@abdumaler.in
okiegeendi_okokpjceco@abdumaler.in
okonipbkmk_okokocbabd@abdumaler.in
pfbckmkjab_pfpfpmcicj@abdumaler.in
pgnaifanmn_pgpgpljkgb@abdumaler.in
pjbgdjachh_pjpjoailjg@abdumaler.in
pmbemmcdak_pmpmphkbnm@abdumaler.in


▼header_checks で拒否

/^Return-Receipt-To: .*@abdumaler.in/ REJECT

...としておきました。


Return-Receipt-To と Disposition-Notification-To の違いについて

メールヘッダー解析


[ 投稿者:Cookie at 09:59 | SPAM対策 | コメント(0) | トラックバック(0) ]

2010年01月05日
SpamAssassinのFH_DATE_PAST_20XX ルール


スパム判定されたメールを確認していたところ、通常ならば「スパム」にはならないメールがスパム判定されていたので調査。

FH_DATE_PAST_20XX のルールでスコアが「3.2」も加算されている...

このルールを調べると、未来の日付で送信されるスパム対策らしいが、当時は「未来」であった2010年がスパムの判定基準だったらしい。

SpamAssassinのFH_DATE_PAST_20XX

SpamAssassin公式サイト トップページのアナウンス

SpamAssassinのMLでも情報が流れていることを確認...

ひとまず該当ルールのスコアを「0.0」に設定してから、誤判定していたメールを救済して完了。

[ 投稿者:Cookie at 10:55 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年12月15日
添付画像スパムの傾向
spam

最近届いている添付画像スパムの傾向を調べていて気が付いた事。

メールヘッダーのUser-Agent: がことごとく「Thunderbird」です。

ちょっと集計しただけでこんな感じ。
--------------------------------------------------------
User-Agent: Thunderbird 2.0.0.22 (Macintosh/20090605)
User-Agent: Thunderbird 2.0.0.22 (Macintosh/20090605)
User-Agent: Thunderbird 2.0.0.22 (Macintosh/20090605)

User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)

User-Agent: Thunderbird 2.0.0.22 (Windows/20090605)
User-Agent: Thunderbird 2.0.0.22 (Windows/20090605)
User-Agent: Thunderbird 2.0.0.22 (Windows/20090605)

User-Agent: Thunderbird 2.0.0.14 (Windows/20080421)
User-Agent: Thunderbird 2.0.0.14 (Windows/20080421)
User-Agent: Thunderbird 2.0.0.14 (Windows/20080421)

User-Agent: Thunderbird 2.0.0.21 (Windows/20090302)
User-Agent: Thunderbird 2.0.0.21 (Windows/20090302)

User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
--------------------------------------------------------

これは、「Thunderbird」を偽装したスパムツールなのか
それとも本当に「Thunderbird」から送信されているのか?
ゾンビPC上の「Thunderbird」?

すでに最新は「Thunderbird 3.0」が出ている様ですが、
2系列の最新は「2.0.0.23」の様です。

スパムで届いているのはみんな旧バージョンばかりです。

なんとかヘッダーとかの特徴を見つけようとしたのですが、
これといった特徴無し。

相当数はSpamAssassinでスパム判定されていいますが、
なんとかしたい...




[ 投稿者:Cookie at 15:41 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年12月04日
「中年のメル友」?
というタイトルでコメントが付いていたので、誘導先のURLを
確認すると、Firefoxが「攻撃サイト」との警告!

攻撃サイトとして報告されています!

SPAMコメントの調査をしていると、時々このようなサイトに
遭遇することはありますが、Firefoxの画面に「このサイトが
ブロックされた理由」というボタンが有るので押してみました。

このボタンの存在は知っていましたが、実際に押してみた事は
ありませんでした。

診断提供はGoogleとなっています。

Google セーフ ブラウジング診断ページ- 51th.net

読んでみると、Googleって単にウェブ巡回しているだけではなく、
マルウェアが仕込まれているかとかもチェックしている事が分かり
興味深い。


セーフ ブラウジング
51th.net の診断ページ

51th.net の現在のステータス

疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。

過去 90 日間に、このサイトの一部で不審な動きが 2 回報告されています。

Google による巡回テスト状況

このサイトで過去 90 日間に Google がテストした 5 ページのうち 2 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは2009-12-03で、このサイトで不審なコンテンツが最後に検出されたのは2009-12-03です。

Malicious software includes 1282 scripting exploit(s), 3 trojan(s), 3 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

不正なソフトウェアは tcvicogne.be/ を含む 1 個のドメインでホストされています。

This site was hosted on 1 network(s) including AS17506 (UCOM).

有害な不正ソフトの感染を広げる媒介をしていたかどうか

過去 90 日間に 51th.net が感染の媒体として機能した形跡はありません。

不正なソフトウェアをホストしていたかどうか

はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。hanasakam.com/, oga2.com/, www.kmitl.ac.th/dolsos/ を含む 131 個のドメインを感染させています。

疑わしいサイトとして挙げられた原因

第三者が不正なコードを合法的なサイトに追加したことにより、この警告メッセージが表示されている可能性があります。

次のステップ:

* 前のページに戻ってください。
* このサイトの所有者であれば、Google ウェブマスター ツールを使ってサイトの審査を依頼することができます。審査プロセスの詳細については ウェブマスター ヘルプをご覧ください。

[ 投稿者:Cookie at 17:29 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年09月03日
SpamAssassin TLECのuser_prefs 資料
先日の「第09回 まっちゃ445勉強会」で松田さんがプレゼンに使用した資料が公開されておりますので、リンクさせて頂きます。 m(_ _)m

SpamAssassinのルールを詳細に解説した資料って少ない(探し方が悪い?)ので、貴重な情報です!

アジア諸国のISPのIPアドレス範囲をルールとして設定されているあたりには恐れ入ります。
確かに日本以外のアジア圏から送信される日本語SPAMは多いですから。

「ルール作成の注意点」は自分で作成しているルールでも見直す必要がありそう。

それにしても、個人レベルでこれだけのルールのメンテナンスを継続されている事に頭が下がります。 m(_ _)m

「TLECのuser_prefs」プレゼン資料
http://www.flcl.org/~yoh/matcha445_090829SAT/sa_user_prefs_matsuda.pdf


2009.8.29まっちゃ445勉強会アフターフォロー
http://spamassassin.jp/modules/xhnewbb/viewtopic.php?viewmode=thread&topic_id=64&forum=1



[ 投稿者:Cookie at 08:41 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年06月19日
誘導先ホスト名が"."以外の文字区切りのスパム
昨晩からちらほら目立って届いているスパムの特徴です。

誘導先サイトのホスト名を.(ドット)区切りではなく、スペースもしくはTABで区切った記述になっています。

▼メール本文

Foreplay Techniques too Make Heer Climax Easily (www meds35 net)
Amerticans Make Resolutiosn, Stick To Them

----------------

Best French Kisssing Tips And rTicks (www meds35 net)
Facing Tbhe uMsic

など

でもこんなので誘導できるのか?

追記)

Sexstrology -- The Basics - Prat 2 (www meds88 net)
Ohio Couples Have White (Castel) Weddiing

ドメイン名の数字が変化したものが届き始めました...

/\(www(\.| )meds[0-9]{2}(\.| )net\)/ REJECT

とかで対応。

追記 2009-06-22)

パターンが変化していますが、基本的に単純なので正規表現で
マッチングさせれば全てブロックできます。

(www meds30 org)
(www shop47 net)
(www? shop47? net)

しかし、こんな表記でスパムとしての効果は期待できるのか??


追記 2009-07-23)

類似のSPAMですが、URLの表記を変えてまだばら撒いているようです。

▼例(文章は差替えました) 
Everything that irritates us about others
can lead us to a better understanding of ourselves.www.sd63{.net}

とか、末尾が www.sd63(.net)
などのSPAMがこのところ日替わりで届いていましたが、予想される記述を
正規表現にまとめてREJECT設定しました。

たぶん括弧の種類や位置が変化すると思われます。

少し前には、
www . sd63 . net
www .sd63. net
www. sd63.net
www[dot]sd63[dot].net

とかのパターンもありましたね。

追記 2009-07-25)

新たなパターンが届きました。
www.45meds. com
www.molopo. net

追記 2009-07-27)

相変わらず色々とパターンを変化させてますね。
www.5site5.net
www.5site5 .net
www.only9 . org
www.only9 .org
www.45meds . net
www.newway9 .com
www.77shop. org

しかし全て共通の特徴として、スパム文末の"."に続けて誘導先サーバ名が書かれているので、判定ルールは簡単に正規表現で書けます。


[ 投稿者:Cookie at 09:53 | SPAM対策 | コメント(0) | トラックバック(0) ]