2008年5月アーカイブ
以前こちらの記事では、送信日時を元に有効なスパム判定方法について取り上げました。
メールの送信日時についてはOUTLOOK EXなど一般のメーラーでも簡単に表示・確認が可能ですが、
ほとんどの方は送信者やタイトルだけに目がいってしまい、なかなか送信日時まで確認されないでしょう。
実際日本国内からのメールはほぼ全て受信日時と同じなので、表示項目節約の意味でも省略されている
ことが多そうです。
そもそもメールの送信日時は、送信者のメーラーや送信用のCGIアプリ等が自動的に付加します。
付加される日時は現地の標準日時となりますが、大抵のスパムメールは現地で作成したメールを他国の
配信サーバー経由で送信するリモート配信であることから、メールが作成された現地と配信サーバー
を所有する国が異なるケースも多いようです。
今回スパム記事に送信日時欄を追加したことで、その基準となっているGMT(グリニッジ標準時)による
時差を元に、実際スパムメールが作成されたと思われる現地が推定できるようになります。
更に配信サーバー欄から実際にスパムメールが配信された国が特定できますので、個々のスパムが
どのようなルートでリモート配信されているかの目安になると思います。
※ただし送信用CGIアプリや配信サーバーそのものの設定を変更している場合は例外です。
例えば日本のGMTとの時差は+09:00ですが、送信日時欄に当時差の表記があった場合には日本で
スパムメールが作成された可能性が高いと言えます。
そして配信サーバーを所有する国が( US )=アメリカの場合、日本で作成されたスパムメールが米国
経由のリモートスパムとして配信されていることが推測されます。
また同じ日本で作成されたスパムメールでも、WEBメールを利用し直接他国のサーバーにアクセスして
作成されたような場合には、日本標準時ではなくその国の現地標準時が送信日時として付加されます。
そのためたとえGMT時差が+09:00でなくても、日本で作成されたリモートスパムである可能性は高い
のです。
更に配信業者自らが現地にCGIアプリ搭載型スパム配信サーバーを設置している場合は、メール作成
から各種設定変更まで自在に操れるので上記の限りではありませんが、サーバーメンテ等の維持管理
にも多くの経費がかかるため、その存在は事実上ごく一部に限られると思われます。
いずれにしましても、こうした情報を少しでもスパム撲滅のために役立てることができれば幸いです。
突然ですが、皆さんのところにもタイトルや本文が空欄のスパムメールがよく届きませんか?
特に本文が空欄のスパムについては、送信元がroot@mta126.mail.tnz.yahoo.co.jpのような
特殊なメールアカウントになっていることがほとんどです。
このようなサーバー固有のアカウントは一般にスパム判定から除外されることが多いため、
安易な設定の迷惑メールフィルターをいとも簡単に通り抜けることができます。更にタイトルや
本文を空欄とすることでスパムキーワード判定を事実上不能にし、通過性を高めているのが
特徴です。
こうしてより確実なメール配送化を実現させることで、このスパムの宛先となっているアドレスの
生存確認をしているのです。宛先のアドレスが無い場合は、自動的にエラーメールが送信元に
返ります。厳密にはメールヘッダーのReturn-Path欄に記載されているメールアドレスに返されます。
スパマーは既に所持しているアドレスリストから、これらエラーメールを元にして実際に生きている
メールアドレスを割り出し、スパムアドレスリストの精度を高めようとしています。
そのためにはエラーメールが確実に返される環境、つまりエラーメールの返信先を確保する必要
があります。エラーメールの有無が不確実では意味がないからです。
そこでこうした現状から返信先(Return-Path)の情報掲載も有用と考え、今後新たに追加しようと
思います。大抵は送信元(from)と同一のはずですが、上記のような特別な目的・意図をもったもの
や配信方法によって必ずしも一致していないのがわかると思います。
ただしくれぐれも返信先にはスパムメールを送り付けないで下さい。スパマーも報復を予想して
返信先を詐称する可能性もあるからです。例えばあなた自身のメールアドレスが設定されている
場合には、自分自身にスパムを送りつけることになりますし、スパマーに無関係なユーザーの
メールアドレスが設定されていれば、あなた自身がスパマーとなりかねないからです。
またスパマーは極めて短時間で返信先を切り替える術を持っているので、例えば5分後に報復を
開始しても既にそのアドレスが無効になっていることも少なくありません。残念ながら当システム
で公開しているスパム記事は受信から掲載までに1~3日程度遅れているため、返信先において
リアルで有効な情報提供とは言えそうにありませんが、統計解析等で役立てられればと思います。
そろそろ5月の大型連休も終わりを迎え、再びスパマー達の稼ぎ時がやってきたようです。
その間に先月分のスパム統計を出してみたところ、下記の記事にもあるようにこれまで全盛だった
CNCGROUP-LNの中国系スパムを抜き、ナントBSNLNETのインド系スパムがダントツのトップに
踊り出ていることがわかりました。
ただメール内容にほとんど変わりがないところからも、単なるスパム配信サーバーのお引越しと
言ったところなのでしょう。でもきっとこの間にも他国への引越しを念頭に置きつつ、配信サーバー
の分散化を図るつもりなのかもしれませんね。結果どこまで費用をかけるかに掛かってくるのかな?
まぁいずれにしてもお先は短そうですが。。。。
ところで突然ですが視点を日本に向けてみると、メール配信事業者のcombzmailからの配信数が
圧倒的に多いのがわかります。実はこの業者、既にスパムブラックリストにも登録されているのです。
つまりこちらのサーバー経由で配信されるメールは、中国系スパム同様一律に迷惑度が跳ね上がり
スパムと判定されやすくなっているのです。
またinterlinkと言うVPN系プロバイダーからもフィッシングメールの配信が今尚続いているため、
combzmailほどではありませんがスパムブラックリストに登録されていることから、比較的スパムと
判定されやすい状況となっています。
このcombzmailですが、当該サイトを観る限り迷惑メールに対してゾンザイな感があり、窓口もなく
あろうことか会員に対して迷惑メールとみなされない方法まで伝授しているようです。これは限りなく
スパム配信業者に近い存在であるように思われます。
海外系はどうであれ、まず日本からのスパムメールを元から断つべく国内全土で努力を重ねている
にも関わらず、こうした火に油を注ぐ業者の存在は如何ともし難い気もするのですが、今後は被害者
たる迷惑メール受信者を尊重した配慮が必須と考えています。
この時代に迷惑メールの受付窓口すらないのは話にもなりませんし、こうした業者から配信される
複数の迷惑メールを一まとめにし、添付メール等で容易に提供することができないところもいまだに
少なくありません。
これだけ迷惑スパムメールの社会問題が続いている背景には、そもそもITに疎い日本の政界体質
があります。さらに海外からのスパムメールに対しても、これまた外交に疎い日本の政界体質がアダ
になっているのはとても残念です。
このまま行くと、IT国インド自体が手早く迷惑メールの取り締まりを始めてくれるかもしれませんね。
中国は正直どうしようもないけど、インドは個人的に期待度大です。日本ができるんだから大丈夫!
そしたらまた中国に戻るのかなぁ?
★スパムメール配信元トップ10★
ネットワーク名: ( IN ) BSNLNET 受信数 [ 180 ]
ネットワーク名: ( CN ) CNCGROUP-LN 受信数 [ 158 ]
ネットワーク名: ( IN ) RCOM 受信数 [ 73 ]
ネットワーク名: ( CN ) CHINANET-GD 受信数 [ 63 ]
ネットワーク名: ( CN ) CNCGROUP-GD 受信数 [ 62 ]
ネットワーク名: ( TR ) TURKTELEKOM 受信数 [ 55 ]
ネットワーク名: ( PH ) IPG 受信数 [ 31 ]
ネットワーク名: ( KR ) HANANET-KR 受信数 [ 31 ]
ネットワーク名: ( KR ) KORNET-KR 受信数 [ 30 ]
ネットワーク名: ( IN ) HATHWAY-NET 受信数 [ 29 ]
ネットワーク名: ( GB ) NTL 受信数 [ 27 ]
★日本のスパムメール配信元一覧★
ネットワーク名: ( JP ) COMBZ-2 受信数 [ 25 ]
ホストドメイン名: p31.combzmail.jp
ホストドメイン名: f51.combzmail.jp
ホストドメイン名: r11.combzmail.jp
ホストドメイン名: d91.combzmail.jp
ホストドメイン名: p11.combzmail.jp
ホストドメイン名: r51.combzmail.jp
ネットワーク名: ( JP ) PROX 受信数 [ 20 ]
ホストドメイン名: 210.166.215.63
ホストドメイン名: 210.166.215.62
ネットワーク名: ( JP ) COMBZ-S1 受信数 [ 13 ]
ホストドメイン名: btb014.combzmail.jp
ホストドメイン名: btb009.combzmail.jp
ホストドメイン名: btb007.combzmail.jp
ホストドメイン名: btb011.combzmail.jp
ネットワーク名: ( JP ) SAKURA-NET 受信数 [ 8 ]
ホストドメイン名: sv372.lolipop.jp
ネットワーク名: ( JP ) EM-USER 受信数 [ 1 ]
ホストドメイン名: pool.e-mobile.ne.jp
ネットワーク名: ( JP ) ACROSS-NET 受信数 [ 1 ]
ホストドメイン名: ipclient3.across.or.jp
ネットワーク名: ( JP ) EASTCOM-NET 受信数 [ 1 ]
ホストドメイン名: ftth159.eastcom.ne.jp
ネットワーク名: ( JP ) KDDI-NET 受信数 [ 1 ]
ホストドメイン名: msa103.auone-net.jp
スパムメールを判定する場合、プロバイダー等の迷惑メール駆除サービスでは配信元サーバーのIPアドレスを
ネット上のスパムブラックリストと照合し、該当するメールをスパムと判断しています。
しかし私達が通常メールのやり取りに使っているOUTLOOK EX等のメーラー(メールソフト)では、スパム配信元
を特定する機能がないため、送信者のメールアドレスや題名・本文の内容でスパムを判定する他ありません。
ただ上記の判定内容では誤判定に繋がるケースも多く、かと言って甘く設定すると今度はスパム判定に支障を
きたすことになるため現実的とは言えません。
そこで一つ確実なスパム判定方法をお伝えしようと思います。それはスパムメールの「送信日時」です。
本来メールの送信日時はサーバーが現地日時に合わせて自動的に付加するものですが、故意に改ざんする
ことも可能です。スパマーとしては裏を取られにくくするため、できるだけ送信時の情報を詐称しようとしますが、
その一部として送信日時を改ざんするケースが多いのです。
また現地日時の基準(GMTやPDT等)によっても記載内容が違ってくるため、日本基準で受信したメールの
送信日時を確認すると、とんでもなく矛盾した表記(未来の日時)だったりすることもあります。
もちろん日本国内でのメールのやり取りであれば、基準の差異もなく後者の問題はないと考えられますし、
現在のネット環境では特別な状況や細工さえなければ、ほぼ時間差なくタイムリーな送受信が可能です。
こうした環境を踏まえると、受信した日時より未来の表記はまずあり得ないと考えることができます。
さらに最後(前回)に受信した日時さえ覚えておけば、その次に受信したメールの送信日時が最後(前回)の
日時以前になることもまずあり得ないと考えることができます。
このようにメール受信時に送信日時の表記をマメに確認することで、個人でも日本国外からのスパムメール
を見分けることができると思います。その上で必要なメールだけを非スパムとして振り分け設定すれば、
結果的に今まで以上のスパム判定精度向上が期待できるかもしれません。
普段のメールのやり取りは日本国内のみという方で、半自動でも確実にスパムを切り分けたいと思う方は
ぜひ一度試してみて下さい。
ようやく中国系スパムメールが減少してきたのはいいけれど、その分諸外国系スパムメールが猛威を
振るってきていることは、すでにこのブログでもお伝えしてきました。
ただスパムメールの配信は諸外国系と中国系を自由に切り替えることができるようで、時として突然
中国系スパム配信が多数を占めるケースも結構あるようです。つまり諸外国系スパムも、実はリモート
スパムだったりすることが多いわけです。これもすでにお伝えしていましたね。
さて諸外国系とは言っても、具体的にどこの国々のことを指すのか関心のある方もいると思うのですが、
当システムで処理しているスパム解析結果から判断するに、最近では意外にもインド発スパムメールが
かなり増えてきているようなのです。
インドと言えば頭脳明晰な国と言うイメージもしますが、当然インド人がスパムを送りつけるはずもなく、
単にスパム業者が配信サーバーを移設しただけに過ぎないのでしょう。
それにしても、なぜゆえにインド? まだ監視の目が甘いからなのか、サーバー設置に都合のよい顧客
でも見つけたのか。どうでもいいけど、必死でクイブチにしがみ付くスパム業者の愚かな姿が目に浮かぶ
ようですね。
どうせならチベットなんてどうかしらん?(笑) もっとも中国から大量に送り付けられそうだけど。
