山田です。
スパムメールの解析料理11話目です。
スパムメールの解析料理と通報と回答の一部を紹介します。解析料理の基本は「かやのメール」で説明していますので、まずこれを熟読しておいて下さい。
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
今回は「加奈メール」で、11月18日に受信したスパムメールです。解析料理の料理人は、私のマスコットが担当します。
今回はスパァーム(Spaham)君がウィルスメールにかかって寝込んでいるので、彼のメル友のスパ子(Spaco)ちゃんが代わりに解析します。
--
「スパ子ちゃんの紹介」
スパ子ちゃんは、スパムメールが大嫌いです。何故なら、大好きなメル友のスパァーム君のメールボックスがいつもスパムだらけで、彼からなかなか返事が届きません。おまけにスパァーム君は時々ウィルスメールにも感染し、寝込んでしまいます。見るに見かねたスパ子ちゃんは、スパァーム君からノウハウを伝授してもらい、数ヶ月間の猛勉強のおかげで、スパムメールの解析ができるレベルに達したのです!
--
「解析料理:加奈メール」
はじめまして、スパ子と申します。今回は、私のスパァーム様がウィルスメールにやられて寝込んだので私が担当します。彼を看病しながら、これを書いています。あれだけウィルスメールには気をつけなさいって言ったのに〜 :(
皆さん、今後ともよろしくネ♪
さて、今回は「加奈メール」を解析料理しましょう。
*** ヘッダを見る
ASLさんのプロバイダはIIJ4U、.Macに個人と仕事用のメールアドレスを持っています。.Macのウェブメールは使わずにIIJ4Uのメールアカウントに転送しています。今回の例では「スパム業者 -> *****@mac.com -> %%%%%@ss.iij4u.or.jp」という経路でメールが送られています。
「加奈メール」をファイルとして保存して、それを適当なエディタで開いてみましょう。
(ラップして読みづらい場合は、エディタにコピーしてご覧下さい)
%%%%%: ASLの IIJ4U ID
*****: ASLの .Mac ID
- 「加奈メール」
X-UIDL: 1100717322.16892.b0332828a46e18f
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
Return-Path:
Received: from mdi00.iij.ad.jp (mdi00.iij4u.or.jp [210.130.0.164])
by m-ss.iij4u.or.jp (8.8.8/PM01) with ESMTP id DAA16889
for <%%%%%@ss.iij4u.or.jp>; Thu, 18 Nov 2004 03:48:42 +0900 (JST)
Received: MDI(mdi00) id iAHImg8Q014136; Thu, 18 Nov 2004 03:48:42 +0900 (JST)
Received: MI(mi11) from smtpout.mac.com (smtpout.mac.com [17.250.248.46])
for <%%%%%@ss.iij4u.or.jp> id iAHImeEL016274; Thu, 18 Nov 2004 03:48:41 +0900 (JST)
Received: from mail42-ce1 (mail42-ce1 [10.13.9.42])
by smtpout.mac.com (8.12.6/MantshX 2.0) with ESMTP id iAHIme60012639
for <%%%%%@ss.iij4u.or.jp>; Wed, 17 Nov 2004 10:48:40 -0800 (PST)
Received: from mac.com (smtpin24-en2 [10.13.11.66])
by ms42.mac.com (iPlanet Messaging Server 5.2 Patch 2 (built Jul 14 2004))
with ESMTP id <0I7C00GPV6X4OU@ms42.mac.com> for %%%%%@ss.iij4u.or.jp
(ORCPT *****@mac.com); Wed, 17 Nov 2004 10:48:40 -0800 (PST)
Received: from localhost (y092142.ppp.dion.ne.jp [219.108.92.142])
by mac.com (Xserve/smtpin24/MantshX 4.0) with SMTP id iAHImbCM003639 for <*****@mac.com>; Wed, 17 Nov 2004 10:48:39 -0800 (PST)
Received: (qmail 20834 invoked from network); Wed, 17 Nov 2004 16:34:19 +0000
Received: from unknown (HELO tf-003) (192.168.0.72)
by localhost with SMTP; Wed, 17 Nov 2004 16:34:19 +0000
Date: Thu, 18 Nov 2004 01:35:00 +0900
From: 加奈
Subject: どもー♪はじめまして☆
To: *****@mac.com
Reply-to: kkaannaachan@yahoo.co.jp
Message-id: <200411171848.iAHImbCM003639@mac.com>
MIME-version: 1.0
X-Mailer: MailDistributor
Content-type: text/plain; charset=iso-2022-jp
Content-transfer-encoding: 7BIT
はじめまして。加奈っていいます☆
以前セックスフレンドを募集されていましたよね?まだ大丈夫ですか??
まだでしたら、ぜひなってみたいと思っているのです。
近い処に住んでる人ですし、とても気になったので♪
簡単に自己紹介をしますねっ!
歳は22歳学生でセックスが好きで、趣味です(*^ヮ^*)
タバコは吸わないけどお酒は大好きです。
大きくなったら美容師になりたいです〜って言うか来年です。
よく、顔がエロイって学校で言われるんですよね〜。なんでだろ?
こんな感じなのですがよろしくね。
そういえば気になった事があったんです!う、ぅ〜んと…お返事貰ったときに聞こうかな?
ではでは〜返事は80%返しますので、お返事待ってますね♪
-
まあ、私のスパァーム様を誘惑しようだなんて、貴方ちょっとひどいんじゃありません?学生なら勉強しなさい。何が「セックスが趣味」よ、この尻軽女!大体、何で80%なの?残りの20%の人の事を考えてないの?何でなの?...
あら、私とした事がご免あそばせ。しかし、毎回 yahoo.co.jpのメールアドレスだわ。「kkaannaachan」だって、貴方恥ずかしくないの?
孫様、何とかして下さいませ。
-
ヘッダの見方は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** ヘッダを見る」をご覧下さい。
さて、今回も Received:ヘッダの "by mac.com"に注目しましょう。
Received: from localhost (y092142.ppp.dion.ne.jp [219.108.92.142])
by mac.com (Xserve/smtpin24/MantshX 4.0) with SMTP id iAHImbCM003639 for <*****@mac.com>; Wed, 17 Nov 2004 10:48:39 -0800 (PST)
DNS名は dion.ne.jp、IPアドレスは 219.108.92.142です。ターミナルを起動して hostコマンドで調べてみましょう。
% host 219.108.92.142
142.92.108.219.IN-ADDR.ARPA domain name pointer y092142.ppp.dion.ne.jp
DNSは dion.ne.jpであることが確認できました。whoisで調べてみましょう。
% whois 219.108.92.142
...
inetnum: 219.108.92.0 - 219.108.92.255
netname: KDDI-NET
descr: DION (KDDI CORPORATION)
country: JP
admin-c: KT6191JP
tech-c: KW062JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: apnic-ftp@nic.ad.jp 20020624
source: JPNIC
...
ついでにJP−NIC http://www.nic.ad.jp/にアクセスして「■WHOISによる検索」の下にある入力フィールドにIPアドレス 219.108.92.142 を入力して、検索ボタンをクリックします。
-
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 219.108.92.0
b. [ネットワーク名] KDDI-NET
f. [組織名] DION (KDDI株式会社)
g. [Organization] DION (KDDI CORPORATION)
m. [運用責任者] KT6191JP
n. [技術連絡担当者] KW062JP
p. [ネームサーバ] dns0.dion.ne.jp
p. [ネームサーバ] dns2.dion.ne.jp
y. [通知アドレス] info@ip.kddi.com
[割当年月日] 2002/06/24
[返却年月日]
[最終更新] 2002/06/24 20:32:02 (JST)
ip-alloc@nic.ad.jp
-
「DION (KDDI株式会社)」が 219.108.92.142を管理していることがわかりました。会社名で googleサーチし、レポートします。(今回は abuse@dion.ne.jpに報告しました)
詳細は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** プロバイダに通報する 」をご覧下さい。
!!!
ここで気をつけていただきたい点は、ごく一部のスパム業者はプロバイダとして登録している場合があります。見分け方として、聞いたことのないプロバイダ名・登録IPアドレス範囲がとても少ない(1000以下)場合などです。この場合は、プロバイダ <-> スパム業者の個人情報のアイソレーションができませんので、通報すべきではありません。巨大プロバイダの場合のみ通報しましょう。
!!!
以下、プロバイダからの回答です。
「こちらはKDDIネットセキュリティグループでございます。
この度はご連絡いただきまして、誠にありがとうございます。
ご申告の件につきまして、
いただいたヘッダ情報から調査しましたところ、
発信元は弊社ネットワーク利用の2次プロバイダーの
ご契約者様という事が判明いたしました。
そのため、弊社にて送信者の特定をいたしかねましたので、
この度ご提供頂いた情報と共に、弊社におけるネットワーク接続
情報を添えて、ISP事業者に当該契約者への対応を引き継ぎま
したことをご報告致します。
ご迷惑をお掛けしまして誠に申し訳ございませんが、
何卒ご理解ご了承の程、よろしくお願い申し上げます。
お問合せ番号:[********]
======================================
KDDIカスタマーサービスセンター
ネットセキュリティグループ
E-Mail:abuse@dion.ne.jp
URL :http://www.dion.ne.jp/
======================================」
-
これで、メル友のスパァーム様とのメールの邪魔をしていたスパムメールの11通目を解析料理しましたわ。慣れてくれば、女性の私でも結構簡単に通報できることがわかりました。
皆さんも一方的に送り続けてくるスパムメールのヘッダを解析して、日本国内から発信されていたら通報しましょうね。彼女達の甘い言葉に引っ掛かっては駄目よ。ASLさんみたいにスパム業者の餌食になってしまいますわよ。
では、これからもよろしくネ♪
スパ子より
--
今回のスパ子ちゃんの解析料理はいかがでしたか?
では、次回の彼らの活躍をお楽しみに。
hiroo
(P.S. 女性言葉に自信がないので、おかしかったら指摘して下さい:)
