スパムフィルターを更新してみた。

最近来るスパムメールはこの前晒したのと同じでフィッシィング系が主になってきました。
特徴としてはyahoo japanのメールサーバーを使用しており、基本適当なアドレスから送信されてきます。
時々だけれど個人の名前だったりするのでクラックされた人とかも送信元になっているのかもしれない。

で、このフィッシィングメールにはかなり特徴があるのですよ。
まず送られてきたメールヘッダー↓

Return-Path: <送信元アドレス@yahoo.co.jp>
Received: from smtp505.mail.kks.yahoo.co.jp([114.111.99.166])
 by kerberos20131106([127.0.0.1])
 with ESMTP for <宛先アドレスA@wolfs.jp>;
 Tue, 14 Jan 2014 23:16:33 +0900 (Asia/Tokyo)
Received: (qmail 41565 invoked
 by alias);
 14 Jan 2014 14:16:36 -0000
DKIM-Signature: ...略...
DomainKey-Signature: ...略...
Received: from unknown (HELO ydlbgt) (119.116.230.123
 with login)
 by smtp505.mail.kks.yahoo.co.jp
 with SMTP;
 14 Jan 2014 14:16:36 -0000
X-Apparently-From: <送信元アドレス@yahoo.co.jp>
X-YMail-OSG: ...略...
Message-ID: <9B30BF268C0171E0A5769816242DBA61@ydlbgt>
From: 三菱東京UFJ銀行 <送信元アドレス@yahoo.co.jp>
To: <宛先アドレスB@hanmir.com>
Subject: 【三菱東京UFJ銀行】本人認証サービス
Date: Tue, 14 Jan 2014 14:12:06 +0800
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

そしてサーバーログ↓

[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: accept:smtp505.mail.kks.yahoo.co.jp [114.111.99.166]
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: HELO:smtp505.mail.kks.yahoo.co.jp (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Sender <送信元アドレス@yahoo.co.jp> (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Recipient <宛先アドレスA@wolfs.jp> (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Ok Send data (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: SignatureVerifier: ok.
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Message received (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Service closing transmission channel (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])

となっています。
 
yahoo.co.jpが送信元のメールでまず調べるのはシグネチャ。
yahoo japan正規サーバーからちゃんと送信しているようでシグネチャチェッカーには引っかかりません。

次に見るのが宛先アドレス。
サーバーへ「RCPT TO」コマンドで指定されている宛先は「宛先アドレスA@wolfs.jp」と正常。
ですが、メールヘッダーの「To」フィールドに指定されているアドレスは「宛先アドレスB@hanmir.com」となっていました。
メーリングリスト等以外は通常「RCPT TO」と「To」の宛先アドレスは同じなのですが、フィッシィングメールは9割方アドレスが違います。
yahoo japanのサーバーに直接投げ込んでいるようです。

yahoo japanのサーバーで記録されたReceivedフィールドの送信元IPアドレスは「119.116.230.123」
IPアドレスを照会してみると・・・

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '119.112.0.0 - 119.119.255.255'
inetnum: 119.112.0.0 - 119.119.255.255
netname: UNICOM-LN
descr: China Unicom Liaoning province network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: GZ84-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-LN
mnt-routes: MAINT-CNCGROUP-RR
mnt-irt: IRT-CU-CN
changed: hm-changed@apnic.net 20080205
changed: hm-changed@apnic.net 20090508
source: APNIC
irt: IRT-CU-CN
address: No.21,Jin-Rong Street
address: Beijing,100140
address: P.R.China
e-mail: zhouxm@chinaunicom.cn
abuse-mailbox: zhouxm@chinaunicom.cn
admin-c: CH1302-AP
tech-c: CH1302-AP
auth: # Filtered
mnt-by: MAINT-CNCGROUP
changed: zhouxm@chinaunicom.cn 20101110
changed: hm-changed@apnic.net 20101116
source: APNIC
person: ChinaUnicom Hostmaster
nic-hdl: CH1302-AP
e-mail: abuse@cnc-noc.net
address: No.21,Jin-Rong Street
address: Beijing,100033
address: P.R.China
phone: +86-10-66259764
fax-no: +86-10-66259764
country: CN
changed: abuse@cnc-noc.net 20090408
mnt-by: MAINT-CNCGROUP
source: APNIC
person: Guangyu Zhan
nic-hdl: GZ84-AP
e-mail: abuse@online.ln.cn
address: DATA Communication Bureau of Liaoning Province,China
address: 38 Lianhe Road,Dadong District Shenyang 110044,China
phone: +86-24-22800809
fax-no: +86-24-22800077
country: CN
changed: jinjl@lntelecom.com 20090803
mnt-by: MAINT-CNCGROUP-LN
source: APNIC
% Information related to '119.112.0.0/13AS4837'
route: 119.112.0.0/13
descr: CNC Group CHINA169 Liaoning Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20080205
source: APNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)

きました中国。カエレ。
 
と言うことで、このスパム君対策用に作ったフィルターは
 ・送信元サーバーがyahoo.co.jpである
 ・RCPT TOコマンドで指定されたアドレスとメールヘッダー内Toフィールドに指定されているアドレスが違う
 ・メール内ヘッダーReceivedフィールドの送信元IPアドレスが日本国外の場合、サーバー内ホワイトリストを参照し登録されていない場合はステータスコード553を返す。(特定の地域(中国、韓国)は無条件で553を返す。)
という感じに仕上げました。
 
これで面白い文法のフィッシィングメールはサーバー側で止まるかなー。
釣りサイトに偽物のIDとパスを送りつけて遊べなくなるのが惜しいかもしれないけど・・・w

EIZO FORIS FS2333-Aが届いたー!

去年からモニターの寿命か何かで色がおかしくなったり電源が入らない時があったりしました。
「次に買うモニターはワイドにしよう!」と言うことで目を付けたのがEIZO FORIS FS2333-A

本当は去年の9月頃にFS2333を買う予定だったけれど、いろいろ出費があって買えなかったのですよ(´・ω・`)
そうこうしている間にFS2333は生産終了となりFS2333-Aが発売。
中身は同じで値段だけ上がったモデル?のようで、EIZOは同じような事をやっているようです。
値段はFS2333の時は29000円、FS2333-Aが出たときは41000円でした。

4万越えはちょっとキツイので値下がりを待って32000円で購入。
 
で、注文した物が今日届いたので早速設置してみる。
FORIS FS2333-A - 段ボール
以前モニターを買ったときはメーカー出荷時の箱の上に更に段ボールとプチプチで送られてきたけど、今回はメーカー出荷時の箱のままでした。
箱に傷や汚れは見当たらないけど大丈夫なのか・・・
 
横を見ると・・・それなりに大きく型番が。
FORIS FS2333-A - 型番 FORIS FS2333-A - めいどいんじゃぱん
そして安心の日本製表示!!
 
箱に傷、凹み、汚れなどがないか確認したら開封!
FORIS FS2333-A - 付属品
何でも開封する時ってワクテカしますよねーw

内容物は・・
 ・本体
 ・スタンド
 ・スタンド取付ネジ
 ・VESA取付ネジ
 ・リモコン+電池
 ・電電コード+アースプラグアダプター
 ・DVIケーブル
 ・ステレオミニジャックケーブル
 ・ケーブルホルダー
 ・ユーティリティディスク
 ・説明書(スタンド取付、セットアップガイド、使用注意)
でした。
続きを読む

フィッシングメールが増えてきたよー

最近はアダルトや不正B-CAS販売メールが来なくなったのだけれど、代わりに「三菱東京UFJ銀行」、「スクウェアエニックス」、「ハンゲーム」のフィッシィングメールが大幅に増えました。
送信元サーバーはどれもyahoo.co.jpの正規サーバーで、送信に使用されているアカウント名をyahooのサーバーへstmpコマンドを飛ばして存在する事を確認済。
正規サーバーを通っているのでDKIMシグネチャも正常でこっちのフィルターも通過してしまう・・・鬱陶しい。

yahoo japanへアビューズ報告しても対応はされない模様。
理由は、アビューズ報告して1ヶ月経ってから、yahooのサーバーへToコマンドを飛ばしても553 unknown user等のエラーが帰ってこないこと。

KDDIといいyahooといい本当にクソだ。
 
送り先のアドレスは・・・楽天系列で使った物ばかり。
残りはMK-STYLE。

私は使うサービスによってアカウント名とサブドメインを変えているので、どのサービスに使用したアドレスか一発でわかる。
例えば通販で使う物なら、「ショップ名+ランダム文字@shop.wolfs.jp」等を使用しているんです。

恐らく楽天側から漏れたか売ったんでしょうねー。
 
さて、各メールの特徴は
 ・html形式メール
 ・釣りの部分のみAエレメントタグで偽物のURLが仕込んである (下記メールは偽URLを削除済)
 ・日本語が不自由
 ・yahoo japanの正規サーバーから送信されている。

と言うことで、送られてきたメールを晒してみる。
続きを読む