ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« お通夜にかかってきた営業電話。 | トップページ | ホントに叩いてはいけません。 »

2006年2月17日 (金)

迷惑メール対策@nifty編。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

迷惑メールがまた来るようになりました。
先日までは、@niftyのスパムメールブロック機能と迷惑メールフォルダー機能でほぼ完全にシャットアウトできていましたので、かなり快適だったんですが…。

@niftyのスパムメールブロックの条件設定は、かなり強力です。
本文中の特定の文字列チェックはできないのですが、各ヘッダーの文字列に対しては、柔軟な条件設定が可能です。
たとえば、

差出人 に info@qsv の文字を含むメールを拒否
題名 に Viagra の文字を含むメールを拒否

なんていうのはもちろん、「ワイルドカード」が使えるので、

差出人 に *@*.com.tw の文字を含むメールを拒否
宛先 に gea00???@nifty.ne.jp の文字を含むメールを拒否

といった柔軟な条件設定ができるだけでなく、

Return-Path に info@mail.*.net の文字を含む
Received に by smtp* (Coremail) with SMTP id の文字を含む
Message-ID に qmail@mail.????.com の文字を含む

といった細かい指定ができます。
また、@niftyには「迷惑メールフォルダー」という機能もあり、こちらは細かい設定もなく、迷惑メールは受信メールボックスからほとんどシャットアウトしてくれます。

おかげで、迷惑メールとはほぼ無縁の平和なメール生活を送っていたんですが…その静寂は、ある日届いた一通のメールで破られました。

-----

こんなメールです。

Return-Path: host_main@hotmail.co.jp
Received: by ******.nifty.com id 43e96d72******;
Wed, 08 Feb 2006 13:02:58 +0900
Received: from ******.nifty.com by ******.nifty.com with SMTP id 43e96d70******;
Wed, 8 Feb 2006 13:02:56 +0900
Received: from c-68-40-4-85.hsd1.mi.comcast.net (c-68-40-4-85.hsd1.mi.comcast.net [68.40.4.85])by ******.nifty.com with SMTP id k184153v******;
Wed, 8 Feb 2006 13:02:48 +0900
Date: Wed, 8 Feb 2006 13:02:48 +0900
From: host_main@hotmail.co.jp
Received: from 43.100.66.6 by 68.40.4.85; Wed, 08 Feb 2006 09:01:45 +0500
Message-ID:

本文・題名は空白でした。
その上、ToヘッダーやX-Mailerヘッダーもないことから、おそらく大量メール発信専用ソフトとBcc機能を使って大量に発信されたんでしょう。

これで宛先にしたメールアドレスからエラーメールが返ってこなければ、そのメールアドレスは「生きている」と判断できます。
それを元に、自動的に「スパムメール送信相手リスト」を作るように処理するソフトでも使ったのでしょう。

その日以来、1日に何通も日本語の迷惑メールが届くようになりました。
たまたま今までのフィルターをすり抜けるようなヘッダーになっていたので、遠慮会釈もなくガンガン届きます。
そして、差出人の特徴は、

{いろいろ}@{4文字もしくは5文字の意味のなさそうな文字列}.{com / net}

となっていることもありますし、特徴的だったRecievedヘッダーの「info@mail.*.com」「info@mail.*.net」もなくなってしまったので、今までのように、Return-PathやReceivedに含まれる「ドメイン名」程度では対処しきれないようです。
ということで、今度は発信元のIPアドレスに注目してみました。
これは、Receivedヘッダーの一番下の行に含まれているIPアドレスですので、単純にはごまかせません。
そして、発信元のIPアドレスを管理しているプロバイダを突き止めるには、

JPNIC Whois Gateway(whois.nic.ad.jp)
APNIC WHOIS(whois.apnic.net)
ARIN WHOIS(whois.arin.net)
RIPE WHOIS(whois.ripe.net)
LACNIC WHOIS(whois.lacnic.net)

だいたいは、これらのどこかでわかるはずです。

特に多かったのはここです。

inetnum: 210.200.0.0 - 210.201.255.255
netname: APOL
descr: Asia Pacific On-line Services Inc.
descr: Internet Service Provider
descr: Taipei, Taiwan
country: TW
admin-c: AA91-AP

inetnum: 221.207.64.0 - 221.207.255.255
inetnum: 222.160.0.0 - 222.163.31.255
netname: CNCGROUP-HL
descr: CNCGROUP Heilongjiang Province Network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN

inetnum: 222.171.0.0 - 222.171.127.255
netname: HEILONGJIANG-HAERBIN-TELECOM
country: CN
descr: HAERBIN TELECOM
descr: HAERBIN
descr: HEILONGJIANG PROVINCE

inetnum: 219.239.208.0 - 219.239.208.255
netname: ZHONG-GUO-DI-ZHI-HUAN-JING-JIAN-CE-YUAN
country: CN
descr: ZHONG GUO DI ZHI HUAN JING JIAN CE YUAN CO.LTD
descr: CO.LTD

inetnum: 61.232.2.0 - 61.232.3.255
netname: CRBjB
country: CN
descr: China Railcom Beijing Branch
descr: Telecommunication Company
descr: Beijing

inetnum: 211.155.245.0 - 211.155.245.255
netname: BTV
descr: BEIJING DIAN-SHI-TAI
descr: CO.LTD
descr: BEIJING
country: CN

inetnum: 202.66.0.0 - 202.66.255.255
netname: CPCNET-HK
descr: CPCNet Hong Kong Ltd.
descr: 20/F, Lincoln House,
descr: Taikoo Place,
descr: 979 King's Road,Quarry Bay,
descr: Hong Kong
country: HK

なんで香港や中国や台湾経由で日本語の出会い系の宣伝メールがくるのやら(笑)。
中には日本人の女性の名前を名乗ったタイトルもあったり。
しかも、上記のプロバイダとは全く関係のないメールアドレスが送信拒否用のアドレス(大体Yahoo!メールかHotmail)で記入されています。

ということで、ReceivedヘッダーにこれらのIPアドレスが含まれた場合は拒否、という条件を作りました。

Received に 221.207.*.* の文字を含むメールを拒否
Received に 210.200.*.* の文字を含むメールを拒否
Received に 210.201.*.* の文字を含むメールを拒否
Received に 211.155.245.* の文字を含むメールを拒否
Received に 202.66.*.* の文字を含むメールを拒否
Received に 222.160.*.* の文字を含むメールを拒否
Received に 222.161.*.* の文字を含むメールを拒否
Received に 222.162.*.* の文字を含むメールを拒否
Received に 222.171.*.* の文字を含むメールを拒否
Received に 219.239.208.* の文字を含むメールを拒否
Received に 61.232.2.* の文字を含むメールを拒否
Received に 61.232.3.* の文字を含むメールを拒否

こんなところを経由するメールは基本的にありえないので、ざっくり拒否です。

さて、これで効果があるかどうか検証中です。
また後日談を報告させてもらいます。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2006年02月17日(金) パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき, 迷惑メール関連 |

« お通夜にかかってきた営業電話。 | トップページ | ホントに叩いてはいけません。 »

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

迷惑メール関連」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/8702111/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 迷惑メール対策@nifty編。:

コメント

追加です。
また来ました。

inetnum: 218.24.0.0 - 218.25.255.255
netname: CNCGROUP-LN
country: CN
descr: CNCGROUP Liaoning province network

ということで、拒否条件に

Received に 218.24.*.* の文字を含むメールを拒否
Received に 218.25.*.* の文字を含むメールを拒否

を追加しました。
もしかしたら、これでもきりがないのかも…。

投稿: ささもと | 2006/02/23 16:30:53

塾所、人妻から連絡有り てタマに来ます。
せめてタイトルは固有名詞にしてほしい。
何に怒ってんだろ?

投稿: p | 2006/02/25 20:40:05

まだしつこく数日に1通ぐらいで来るのでしらべてみたら、また、先のコメントにも入れたCNCGROUP-LNってところです。

inetnum: 221.208.0.0 - 221.212.255.255
netname: CNCGROUP-HL
descr: CNCGROUP Heilongjiang Province Network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN

記事中のAPNICのサイトで「CNCGROUP-HL」で調べたら、全部でこんなにありました。

inetnum: 60.11.0.0 - 60.11.255.255
inetnum: 60.14.0.0 - 60.15.255.255
inetnum: 60.218.0.0 - 60.219.255.255
inetnum: 61.138.0.0 - 61.138.63.255
inetnum: 61.158.0.0 - 61.158.127.255
inetnum: 61.167.0.0 - 61.167.255.255
inetnum: 61.180.128.0 - 61.180.255.255
inetnum: 202.97.192.0 - 202.97.255.255
inetnum: 218.7.0.0 - 218.10.255.255
inetnum: 221.206.0.0 - 221.206.255.255
inetnum: 221.207.64.0 - 221.207.255.255
inetnum: 221.208.0.0 - 221.212.255.255

IPアドレスだと範囲でブロックできるけど、こんなにバラバラにあったら、防ぎきれるかなぁ…。
プロバイダに言うしかないかな。

投稿: ささもと | 2006/03/07 6:43:56

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« お通夜にかかってきた営業電話。 | トップページ | ホントに叩いてはいけません。 »