山田です。
スパムメールの解析料理3話目です。
解析料理の料理人は、私のマスコットが担当します。
彼の名前はスパァーム(Spaham)君です。
--
「スパァーム君の紹介」
スパァーム君は、スパムメールが大嫌いです。何故なら、大好きなメル友のスパ子ちゃんのメールがスパムに埋もれてしまうからです。おまけに時々ウィルスメールにも感染し、寝込むこともありました。何と彼の1日のスパム数は軽く数百通を超えていたのです。そして数ヶ月間の猛勉強のおかげで、彼はスパムメールの解析ができるレベルに達したのです!
--
「解析料理:しおりメール」
スパァームです。「かやのメール」「PayPalフィッシング」の解析料理法ご覧になっていただけましたか?ちょっとヘッダの解析が難しかったかもしれませんが、慣れればすぐにどこが送信元だか特定できるようになります。
さて、今回は「しおりメール」を解析料理しちゃいましょう。
*** ヘッダを見る
ASLさんのプロバイダはIIJ4U、.Macに個人と仕事用のメールアドレスを持っています。.Macのウェブメールは使わずにIIJ4Uのメールアカウントに転送しています。今回の例では「スパム業者 -> *****@mac.com -> %%%%%@ss.iij4u.or.jpという経路でメールが送られています。
「しおりメール」をファイルとして保存して、それを適当なエディタで開いてみましょう。
(ラップして読みづらい場合は、エディタにコピーしてご覧下さい)
%%%%%: ASLの IIJ4U ID
*****: ASLの .Mac ID
- 「しおりメール」
X-UIDL: 1093926762.29285.4e52a6963fd631b
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
Received: from mdi01.iij4u.or.jp (mdi01.iij4u.or.jp [210.130.0.165])
by m-ss.iij4u.or.jp (8.8.8/PM01) with ESMTP id NAA29276
for <%%%%%@ss.iij4u.or.jp>; Tue, 31 Aug 2004 13:32:42 +0900 (JST)
From: bigtrail777@yahoo.co.jp
Received: MDI(mdi01) id i7V4WfmL008884; Tue, 31 Aug 2004 13:32:41 +0900 (JST)
Received: MI(mi12) from smtpout.mac.com (smtpout.mac.com [17.250.248.87])
for <%%%%%@ss.iij4u.or.jp> id i7V4WesF081910; Tue, 31 Aug 2004 13:32:40 +0900 (JST)
Received: from mail42-ce1 (mail42-ce1 [10.13.9.42])
by smtpout.mac.com (Xserve/MantshX 2.0) with ESMTP id i7V4Wero015753
for <%%%%%@ss.iij4u.or.jp>; Mon, 30 Aug 2004 21:32:40 -0700 (PDT)
Received: from mac.com (smtpin16-en2 [10.13.11.244])
by ms42.mac.com (iPlanet Messaging Server 5.2 Patch 2 (built Jul 14 2004))
with ESMTP id <0I3A00LT3NAG7H@ms42.mac.com> for %%%%%@ss.iij4u.or.jp
(ORCPT *****@mac.com); Mon, 30 Aug 2004 21:32:40 -0700 (PDT)
Received: from SMTP (206.36.150.220.ap.yournet.ne.jp [220.150.36.206])
by mac.com (Xserve/smtpin16/MantshX 4.0) with ESMTP id i7V4WbuH025405 for
<*****@mac.com>; Mon, 30 Aug 2004 21:32:38 -0700 (PDT)
Received: from netbeing ([192.168.11.2])
by SMTP with Microsoft SMTPSVC(6.0.3790.0); Tue, 31 Aug 2004 12:19:18 +0900
Date: Wed, 31 Mar 2004 12:19:18 +0900
Subject: 早い者勝ち! 開業者が続出しています!
Sender: bigtrail777@yahoo.co.jp
To: *****@mac.com
Reply-to: bigtrail777@yahoo.co.jp
Message-id:
MIME-version: 1.0
X-Mailer:
Content-type: text/plain; charset=iso-2022-jp
Content-transfer-encoding: 7BIT
X-OriginalArrivalTime: 31 Aug 2004 03:19:18.0515 (UTC)
FILETIME=[4D27D430:01C48F09]
-
ヘッダの見方は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** ヘッダを見る」をご覧下さい。
さて、今回も Received:ヘッダの "by mac.com"に注目しましょう。
Received: from SMTP (206.36.150.220.ap.yournet.ne.jp [220.150.36.206])
by mac.com (Xserve/smtpin16/MantshX 4.0) with ESMTP id i7V4WbuH025405 for
<*****@mac.com>; Mon, 30 Aug 2004 21:32:38 -0700 (PDT)
いました。いました。DNSは yournet.ne.jp、 IPアドレスは 220.150.36.206です。
ターミナルを起動して hostコマンドで調べてみましょう。
% host 220.150.36.206
206.36.150.220.in-addr.arpa domain name pointer 206.36.150.220.ap.yournet.ne.jp.
確かに、このIPアドレスは yournet.ne.jpであることがわかりました。
% whois 220.150.36.206
...
whois: connect(): Connection refused
Exit 71
あらら、whoisが使えませんね。では、奥の手のJP−NICに行きましょう。
http://www.nic.ad.jp/にアクセスして「■WHOISによる検索」の下にある入力フィールドにIPアドレス 220.150.36.206 を入力して、検索ボタンをクリックします。
-
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 220.150.0.0-220.150.255.0
b. [ネットワーク名] FB-NET
f. [組織名] フリービット株式会社
g. [Organization] FreeBit Co.,LTD.
m. [運用責任者] AI368JP
n. [技術連絡担当者] TI151JP
p. [ネームサーバ] ns1.freebit.net
p. [ネームサーバ] ns2.freebit.net
y. [通知アドレス] opinion@FreeBit.NET
[割当年月日] 2004/01/23
[返却年月日]
[最終更新] 2004/01/23 10:32:08 (JST)
ip-alloc@nic.ad.jp
-
前にもレポートしたことのある「フリービット株式会社」が yournet.ne.jpを管理していることがわかりました。会社名で googleサーチし、レポートします。
詳細は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** プロバイダに通報する 」をご覧下さい。
!!!
ここで気をつけていただきたい点は、ごく一部のスパム業者はプロバイダとして登録している場合があります。見分け方として、聞いたことのないプロバイダ名・登録IPアドレス範囲がとても少ない(1000以下)場合などです。この場合は、プロバイダ <-> スパム業者の個人情報のアイソレーションができませんので、通報すべきではありません。巨大プロバイダの場合のみ通報しましょう。
!!!
これで、メル友のスパ子ちゃんとのメールの邪魔をしていたスパムメールの3つ目を解析料理しちゃいました。慣れてくれば、結構簡単に通報できることがわかっちゃいました。
皆さんもしぶとく送り続けてくるスパムメールのヘッダを解析して、日本国内から発信されていたら通報しちゃいましょう!
スパァームより
--
今回のスパァーム君の解析料理はいかがでしたか?
では、次回の彼の活躍をお楽しみに。
hiroo
