このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

spamメール送信先の傾向

発言者:今井真人
( Date Thursday, May 25, 2000 18:37:59 )


 私のところに来るspamメールは日本にあるメールサーバが勝手に占有
される場合が、目立つようになりました。今日で3例目です。

 以前は日本以外ばかりだったのですけど、皆さんのところはどんなもん
でしょう?

 日本のサーバの管理が緩いことがばれちゃったのね〜。

今井真人 さんからのコメント
( Thursday, May 25, 2000 18:40:16 )

 昔はspamメールは即ゴミ箱だったのですが、最近は傾向と対策をする
ために 専用フォルダにとっておくようにして、メールサーバのフィルタ
リングの参考にしてます。

今井真人 さんからのコメント
( Friday, May 26, 2000 07:25:31 )

 アメリカの一部の州では、

>販売を目的とする商品や
>サービスを申し出 る電子メールのタイトル行は、“ADV:”という文字列で始>めなければなら ない。カリフォルニア州では、メール
>広告が 18 歳以上の人々にのみ合法 的に閲覧もしくは処理できるものの場合>には、タイトル行は“ADV:ADLT.” という文字列で始め
>なければならない。 

 となっているので、わたしのところに来るスパムも「ADV」タイトルが
多かったのね。

→  メールスパム:宣伝カーは鳴りやまず(第2部)

今井真人 さんからのコメント
( Tuesday, May 30, 2000 07:41:07 )

http://www.axes.co.jp/TidBITS-J/issues-j/TidBITS-jp-530.html#lnk1
の少し下
http://db.tidbits.com/getbits.acgi?tbpoll=39

に1週間あたりスパムメールを南通受けるかというアンケート結果が
あります。

1週間に10通を越えるとなると、面倒でしょうね。

たまちゃん さんからのコメント
( Wednesday, June 14, 2000 09:45:00 )

以下のようなページもあります。ちょっと真似が出来ませんね。

→  ジャンクメール受信記録

今井真人 さんからのコメント
( Thursday, July 27, 2000 09:05:50 )

 ハッカージャパン21 vol.1 P.96〜97に「SPAMで寝ながらがっぽり??」という記事があります。SPAM送信側の裏事情がよくわかって良い?記事です。

 ネットワーク管理者としては、買うべきですが、立ち読みでもいいんじゃないかな(笑)。

今井真人 さんからのコメント
( Tuesday, August 01, 2000 22:48:20 )

私のところに来たSPAMメールを暇に任せて解読してみたら

すべて
X-Pop-Account: 私のID@mail.mydomain.com
と書かれていたので、変だなと思っていました。

普通は、私のID@mydomain.comなのに、なんで長ったらしい方を
わざわざ書くのかな?と考えていたら、ようやく理解しました。

他のメールを見てハタと気づきました。メーリングリスト
のメンバーリストが、漏れているんですね。

メーリングリストは、すべて
X-Pop-Account: 私のID@mail.mydomain.com
がついてます。

メールアドレスを集めるには、メーリングリストのメンバーが
狙われるのは、間違いないですね。

たまちゃん さんからのコメント
( Wednesday, August 02, 2000 00:04:40 )

>X-Pop-Account: 私のID@mail.mydomain.com

ひょっとして,メールソフトは ARENA ではありませんか? だとしたら
ARENA の仕様で(直接)SPAM メールとは関係ないと思いますよ。

メーリングリスト用に別のアカウントを用意しているのではないですか?

今井真人 さんからのコメント
( Wednesday, August 02, 2000 09:14:04 )

私のID@mail.mydomain.comは、普通には公開していないのですよ。

メーリングリスト用に別アカウントは全く使ってません。DNSで
MX指定しているだけです。

私のID@mydomain.comが漏れているのなら、納得しますけど。

今井真人 さんからのコメント
( Wednesday, August 02, 2000 09:27:53 )

SPAM送信側は、メーリングリストもどき?で送ってくるすると、私の
使っているARENAが

>X-Pop-Account: 私のID@mail.mydomain.com

を添付する。そういうことなのでしょうね。SPAMメールの解析は難しい。

たまちゃん さんからのコメント
( Wednesday, August 02, 2000 09:35:32 )

>メーリングリスト用に別アカウントは全く使ってません。

失礼しました。1つのアカウントだけでも X-Pop-Account はつくよう
です。

何故つけるかは,以下の目的のためだと思います。ですよね???

→  整理と振り分け : 高度な振り分け設定

今井真人 さんからのコメント
( Wednesday, August 02, 2000 12:50:21 )

ハッカージャパン21誌に紹介されたSPAMの手口の要約を書いておきます。
バウンズメールの処理が、重要です。

・数万件のメールアドレスリストから、ドメインだけのリストを作成。
・ランダムなユーザー名を入れて、一斉に送信する。
・該当ユーザーがいないので、すべて返送される。
・返送メールのヘッダーを見ると、SMTPサーバを特定。
・特定したSMTPサーバに「From:自分のアドレス」「To:自分のアドレス」とし
てメールを出し、不正中継可能か調べていく。
・所有している「メールアドレスリスト」を売却 or タダで配る。
・リストに「自分のメールアドレス」を1件、まぎれこませておく。
・他人の行ったSPAMメールが自分に届く。
・そのメールのヘッダーには、不正中継を許可しているサーバーが含まれる。
・ますます不正中継メールに手を染める。

今井真人 さんからのコメント
( Wednesday, August 02, 2000 12:56:57 )

「うそぴょんくん」SMTPメールサーバーも紹介されています。
「最初の1通目しか転送しない」のがミソです。これで迷惑に
ならず、SPAM送信側を特定しようという試みです。

今井真人 さんからのコメント
( Wednesday, August 02, 2000 21:01:20 )

 早速、本日も

>・ランダムなユーザー名を入れて、一斉に送信する。
>・該当ユーザーがいないので、すべて返送される。
>・返送メールのヘッダーを見ると、SMTPサーバを特定。

 これをやってる人からSPAMメールを貰いました。リバウンドをすべて
禁止してゴミメールをすべて私まで送信するようにしているので、バレバレ
です。

> Subject: I want to congratulate u! 
>210.168.XXX.XXX(Xは伏せ字)

という簡単なメールを配り、SMTPサーバが不正メールを中継するかどうか
テストしています。もし、うまく中継するようなら即、不正中継するつもり
でしょう。

いままでは、すべて見過ごしてきたメールでしょう。私のサイトではしばらく
リバウンドを禁止して様子見をします。

今井真人 さんからのコメント
( Wednesday, August 02, 2000 21:06:57 )

>210.168.XXX.XXX

上記は、私のサイトのメインメールサーバのIPアドレスが記載
されていました。これでリバウンドしたメールを分類している
と思われます。

今井真人 さんからのコメント
( Thursday, August 03, 2000 07:45:46 )

 今朝も同じSPAMメールを送信してきたので、即IPアドレスから名前を引い
てドメインを特定しました。たぶん、リバウンドメールがないので、再度同じ
メールを出した模様です。PINGも通りました。SPAMメールを出した直後なら
相手がまだネット接続している可能性が高いです。

 SPAM送信側は、大抵ダイヤルアップのほうが足が付かなくていいんでしょ
うね。踏み台かも知れませんけど。

今井真人 さんからのコメント
( Thursday, August 03, 2000 09:57:02 )

送ってきたメールを確認したところ、4通ありどれも同じ名前でリレー
しようとしていました。(6月2通、8月2通)

「                   @mail.mydomain.com」

空白19個がユーザ名として入ったメールを送信しようとしています。

今井真人 さんからのコメント
( Monday, August 07, 2000 11:58:19 )

またやってきたという感じです。今度はこんなメール。普通だったら
リバウンドするだけでしょう。エラーログぐらいは残るかな。
>From: <nobody@localhost.mail.mydomain.com>
>To: <SMTPRelayCheck@anydomain.org>
>210.168.xxx.xxx(私のドメインのメールサーバのIP)

今井真人 さんからのコメント
( Friday, September 08, 2000 11:02:30 )

SPAMメールを受け取ることが、なくなりましたので、リバウンド禁止を止めて
通常の運用モードに移ります。エラーメールを返さないようなサーバは
SPAM送信側も遠慮するみたいですね。

今井真人 さんからのコメント
( Monday, September 25, 2000 22:41:19 )

 また「        @mail.domain.com」のメールで不正中継しようとしていました。

 それにつれてSPAMメールも復活しました。また、リバウンド禁止モード
に入ろうかな。

今井真人 さんからのコメント
( Friday, September 29, 2000 09:59:34 )

 リバウンド禁止にしたら、SPAMメールが無くなりました。やっぱり
ハッカージャパン21誌に紹介された手口が常套手段になっているよう
です。

今井真人 さんからのコメント
( Sunday, October 01, 2000 09:29:47 )

またやってきた。

>From: <nobody@localhost.mail.mydomain.com>
>To: <SMTPRelayCheck@anydomain.org>
>210.168.xxx.xxx(私のドメインのメールサーバのIP)

前と同じことやってます。発信先も同じようだしフィルタしちゃいました。

たまちゃん さんからのコメント
( Saturday, November 04, 2000 11:46:19 )

EIMS ML で話題になっている dictionary attack も同じような手口
ですね。

SIMS であれば,host channel limit を設定してやればある程度防ぐ
ことは出来そうです。

今井真人 さんからのコメント
( Saturday, November 04, 2000 19:32:50 )

 リバウンドを禁止して、不正なユーザ名で送られてきたメールは、
すべて管理者の私に転送する設定にしてます。(SPAMMERに
余分な情報を与えない!)そのため

 個人宛の間違いメールが入るので、面倒と言えば面倒です。私が手動で
正しいメールアドレスに転送するようにしています。

 メールを送信した方が初心者で、自分の打ったメールがそのまま返って
くることがなくなり、私以外の人は便利といえば便利なのかも。

 SPAMメールの数も減りましたが、間違いアドレスのメール受信が増え
てます。

たまちゃん さんからのコメント
( Saturday, November 04, 2000 22:04:21 )

>SIMS であれば,host channel limit を設定してやればある程度防ぐ
>ことは出来そうです。

すみません。SIMS を使っていないのがバレバレでした。

address harvesting への対処法は built-in されていました。

今井真人 さんからのコメント
( Sunday, November 05, 2000 21:00:43 )

 参考になるドキュメントです。

>SPAMメールを送ってきた相手に抗議するのはどうか。


→  SPAMメールとE-mail爆撃

今井真人 さんからのコメント
( Saturday, November 25, 2000 17:27:32 )

すごく参考になります。Smurf攻撃についても少し載ってます。

→  SPAM 情報

たまちゃん さんからのコメント
( Thursday, December 07, 2000 09:45:42 )

たまちゃん さんからのコメント
( Saturday, November 04, 2000 22:04:21 )

>SIMS であれば,host channel limit を設定してやればある程度防ぐ
>ことは出来そうです。

EIMS 3.0.x でも同様の設定が出来るんです。Dictionary Attack も
ある程度防ぐことが出来ますね。

今井真人 さんからのコメント
( Thursday, December 21, 2000 11:50:45 )

 私のスパムメールの判定基準について書いておきます。他にもあると思う
ので思いついたときに書きます。

・発信先メールアドレスが怪しい

 例、kdkfjiusdh@aol.com,kdfjoisfdjioe@netscape.com,efehiuhe@hotmail.com

 アカウント名が意味なし文字列の場合は不正中継とみなし、即フィルタ
追加です。

たまちゃん さんからのコメント
( Thursday, December 21, 2000 12:27:17 )

> アカウント名が意味なし文字列の場合は不正中継とみなし、即フィルタ
>追加です。

すみません。どうやって追加するのですか。1つ1つのアカウントを
登録されるのでしょうか。

今井真人 さんからのコメント
( Thursday, December 21, 2000 13:08:38 )

 不正中継されてしまったメールサーバのIPアドレスをスパムメールから
割り出して、SMTPサーバに接続できないように追加していきます。

今井真人 さんからのコメント
( Thursday, December 21, 2000 13:15:13 )

 本当は、スパム発信元のアドレスでフィルタしたいところです。これは
しょっちゅう変わるので、どうにも打つ手がない。

石津@RJC さんからのコメント
( Thursday, December 21, 2000 14:45:53 )

> 不正中継されてしまったメールサーバのIPアドレスをスパムメールから
>割り出して、SMTPサーバに接続できないように追加していきます。

対策されたかどうか定期的にチェックするんですか?

今井真人 さんからのコメント
( Thursday, December 21, 2000 17:59:32 )

>定期的にチェックするんですか?

 そこまではやってませんねぇ。現在60ぐらい禁止してますので、そのうち
調査しなおさないとダメだなぁと思ってます。

今井真人 さんからのコメント
( Thursday, December 21, 2000 18:06:08 )

 不正中継対策されたかどうか検査してたら、それだけで怪しいサイト
だと勘ぐられちゃいますね。いまのところ、うちのサイトには関係ない
だろうというところで収まっているから、大丈夫だと思っているんだけ
ども。

今井真人 さんからのコメント
( Wednesday, December 27, 2000 09:04:03 )

メールサーバが世界中のブラックリストに載って、改修作業のちに申請をしなく
てはならないか?チェックするためのページ。このページに載ってしまうともう
大変。送られたメールは、最初から捨てられて読まれることがないかも。
http://w3.hart.co.jp/relaychk/

非常に細かいメールサーバのスパムメール対抗テスト
http://www.abuse.net/relay.html

今井真人 さんからのコメント
( Wednesday, December 27, 2000 09:11:24 )

誰でもメールアドレスが取得できるシステムを売りに、人数だけを増やし
ている業者がいますけど、随分嫌われています。フリーメールの接続を最
初から許可していないメールサーバやメーリングリストもだんだんと増え
てます。

身元不明をいいことにスパムや無責任メーリングリスト発言やクラックの
やり放題の温床となっています。うちのサーバを見ているだけでも、実例
があり嫌になってきます。

ここまでして問題のあるユーザを囲い、サーバの面倒を見ている理由がよ
くわからんのだけど、これにはどうも裏があるように思えてなりません。

元々面倒なサーバ運営なのに、問題のあるユーザを抱えてまでも、どうし
ても個人の情報公開を手伝ってやりたいという崇高な意志があるようには
私には思えない。

今井真人 さんからのコメント
( Sunday, January 28, 2001 09:05:03 )

スパムメールの送信の値段表です。うちでは以下の会社からのメールは
受信禁止IPアドレス指定しました。スパムの温床。

→  一括送信サービス

今泉克美 さんからのコメント
( Sunday, January 28, 2001 16:12:02 )

うーむ、このようなおそろしい
一括送信サービスがあるのですか。

ゆうれい さんからのコメント
( Thursday, February 01, 2001 22:49:19 )

やっぱり、効率がイイのはdocomoの携帯電話への乱れ撃ちと感じる。

シークレット番号4桁追加か
メールアドレスの番号部分を変更するか。

今井真人 さんからのコメント
( Friday, February 02, 2001 07:02:35 )

【半年間のリバウンド禁止メールサーバ運用のまとめ】

昨日もこんなSPAMメールが届きました。xは伏せ字。

Return-Path: <xxxxxxx@xxxxx.com>
Received: from LocalHost (63.xxx.xxx.xxx) by mail.mydomain.com with SMTP (Eudora Internet Mail Server 3.0.2) for <                   @mail.mydomain.com>; Thu, 1 Feb 2001 07:36:54 +0900
From: <xxxxxxx@xxxxx.com>
To: <SMTPRelayCheck@anydomain.org>
Date: Thu, 1 Feb 2001 07:36:54 +0900
Message-ID: <1231141882-101560925@mail.mydomain.com>
Content-Type: text/plain
X-Pop-Received-Date: 3063825518
X-Pop-Account: myname@mail.mydomain.com

To: <SMTPRelayCheck@anydomain.org> 
2xx.xxx.xxx.xxx


判りにくいですが、<                   @mail.mydomain.com>
と偽って、私のサイトのユーザに見せかけています。

2xx.xxx.xxx.xxx には私のサイトのメールサーバのIPアドレス
が書いてありました。

以上を解析して思うのは、スパマーはメールサーバの管理者や
メールサーバのユーザから見えないスパムテストの方法を追及
しています。

もし、ユーザ名を実際に登録されているメンバーに送っても、
スパマーには何も返事が返ってこないですから、スパマー側
から見るとスパム通過試験にならないのです。

今井真人 さんからのコメント
( Friday, February 02, 2001 07:06:06 )

> docomoの携帯電話への乱れ撃ち

 私は未だに携帯電話を持たない人なので、わかんないのですが、
携帯メールへのスパムって今、増えているのでしょうか?クズメール
ばっかり携帯へ来るようになると、使い勝手がガクッと落ちますね。

ニャー助 さんからのコメント
( Friday, February 02, 2001 11:01:59 )

私は最初電話番号をアカウントにしていましたが昨年の10月頃よりスパムメールが
来始めました。(特に多いのが出会い系サイト)
特に年末年始は毎日のようにきてひどかったです。
(今はアカウントを任意のアドレスに変えたので一つもきていません)

ゆうれいさんの言うようにおそらく電話番号のアカウントの乱れうちをやっているのだと
思います。
(それで戻ってこなかったのは生きてると言うことでそのデータベースを流用)

始末に負えないのが返信アドレスはでたらめで、どこにも文句のもっていきようが
ないということです。(まぁSPAMだからしょうがないと言えばしょうがないけど)

メールヘッダを見ようとしても見方知らないし...
(誰かiModeのメールでヘッダの見方を知っている人がいたら教えてください。)

今井真人 さんからのコメント
( Saturday, February 03, 2001 23:27:40 )

ORBSからのアクセスを拒絶してしまうと逆に試験を逃れてspamを送る意思
ありと見なされてブラックリストに登録されてしまうということがわかり
ました。くわばらくわばら。

http://www.hart.co.jp/spam/haijo3.html

ゆうれい さんからのコメント
( Sunday, February 04, 2001 01:55:13 )

携帯電話に最近届いていたのは、imode対応出会いサイト掲示板へのリンクがほとんどでした。
三才ブックス系?の電話マニア向けの本とかを見れば、
購入地グループごとの携帯番号の振り分けとかもわかるらしい。

090XXXXXXXX@docomo.ne.jpが基本なので、あとは数値を変えて、5kb以内程度にして打ちまくり。
シークレットコードを追加すれば、下4桁増加するので090XXXXXXXXYYYY@docomo.ne.jp
踏み台からなら、確率が1万倍下がろうが、やってくるかもしれないけど。

受信一通あたり約2円かかるのかな?
ドコモもNTTの海外接続Q2問題対策が遅れてしまったことを教訓に
真面目に対策はしているとは思うけど。

docomoが狙われるのは、デフォルトでのメールアドレスが、電話番号(数字の羅列)だからという話がある。

今井真人 さんからのコメント
( Sunday, February 04, 2001 06:38:39 )

> デフォルトでのメールアドレスが、電話番号(数字の羅列)だから

なるほど。電話番号とメールアドレスの両方が、同時にばれているのが
問題でしょうね。

たまちゃん さんからのコメント
( Monday, February 05, 2001 12:07:55 )

「ORBS はネット資源の浪費者以外の何者でもない。彼らは,不正
中継を根絶するといいながら,彼ら自身がテストと称して不正中継
を毎日膨大な数行っている。」

てなことを書いてしまうと,リストに載せられてしまうかもしれま
せん。(^_^;;

かつては自警団的な性格がなきにしもあらずだったのですが,最近
では党派的(?)(vs MAPS)になってきて,ただの政治集団にな
り下がったとみても過言ではありませんね。

若紫 さんからのコメント
( Friday, February 09, 2001 00:47:36 )

いつもお世話になっています。
LetterRip Proでリストサーバーを立ち上げています。
サーバーをチェックしようとログをみたら
>・特定したSMTPサーバに「From:自分のアドレス」「To:自分のアドレス」とし
>てメールを出し、不正中継可能か調べていく。
と思われるログがありました。

smtp recv: connection opened
smtp recv: receiving mail from: sf*rny@hotmail.com
smtp recv: receiving mail to: frank*luck2@aol.com
smtp recv: ERROR!! Invalid user: frank*luck2@aol.com
smtp recv: receiving mail to: ta*4442000@yahoo.com
smtp recv: ERROR!! Invalid user: ta*4442000@yahoo.com
smtp recv: ERROR!! the connection was prematurely closed (-32004)
smtp recv: connection opened
smtp recv: receiving mail from: deni*3091161@delphi.com
smtp recv: receiving mail to: frank*luck2@aol.com
smtp recv: ERROR!! Invalid user: frank*luck2@aol.com
smtp recv: receiving mail to: ta*4442000@yahoo.com
smtp recv: ERROR!! Invalid user: ta*4442000@yahoo.com
smtp recv: ERROR!! the connection was prematurely closed (-32004)

以上です。(*印は伏せ字です。)
その後、特に、ログには何もでていません。
不正中継可能かどうか調べられたのでしょうか?
今後、どんな対策が必要でしょうか?
明日から休みを取るので、レスは連休明けになると思います。
申し訳ありませんが、宜しくお願い致します。

今井真人 さんからのコメント
( Friday, February 09, 2001 07:27:27 )

 メーリングリストサーバの場合は、外部からのメールを中継しない
と役に立たないのはご存知の通りです。私の取っている対策は、

・メーリングリストへの投稿をメーリングリストユーザだけに限る。
・メーリングリストのリストを外部に公開しない(コマンドメールを制限)。
・添付ファイルをはぎ取る(ウイルスばらまき防止対策)。
・大きなメールを跳ね返す。例えば32KB以上は受付しない。

すべて LetterRip Proにて実現可能です。

今井真人 さんからのコメント
( Friday, February 09, 2001 07:36:09 )

 それと、メーリングリストの投稿数や登録数などを毎日メールで
配送してもらうのもいいでしょう。登録数の増減があるときは、
リモートでユーザの確認をします。これもLetterRip Proの機能です。