Hotmailでのmail-bst.netのスパムメール
基本的には迷惑メール振り分け機能だ。
この手のスパムメールは毎日やってくる。
受信拒否する場合メールアドレスをいちいち登録するとかなりの数。その場合はドメインで受信拒否するのが効率がいい。
以下のドメインで受信拒否する。
スパマーのメールアドレスのドメイン
103.28.187.35
njhjkr.info
udghdf.info
xewerd.info
******************
103.28.184.67
labdhw.info
wahfdg.info
zterthd.info
********************
103.28.184.94
yjfgjr.info
nrtyndfg.info
もう1個あるはずなんだが、データとっていなかったようだ。
********************
103.28.187.99
fewfgs.info
jaterdd.info
unwereb.info
たとえばlabdhw.infoのドメインのメールアドレスは、
From: <ami_soulmate@labdhw.info>
From: <harumi_rf1065@labdhw.info>
From: <mami_shingun@labdhw.info>
From: <kaori_beloved@labdhw.info>
From: <maya_k777@labdhw.info>
From: <mai_bentary@labdhw.info>
スパマーからのメールヘッダーを調べると最終のReceived欄のfromはホスト名とそのIPアドレスが符合しない。
また、いくつかのサーバーを経由する。
一例
Received欄の最終のfrom
Received: from r001-aso001.mail-bst.net≪103.28.184.68≫ ([103.28.184.74]≪Unknown≫) by ≪ホットメール≫
スパマーは([103.28.184.74]≪Unknown≫)に接続、r001-aso001.mail-bst.net≪103.28.184.68≫から送信しているということらしい。本当かどうかわからないが。
≪≫内のものはこちらで付加したもの。
このスパムの送信元は
From: <harumi_rf1065@labdhw.info>≪103.28.184.67≫
これはスパムメール内のリンク先のIPアドレスに一致する。
このようなスパムメールは、4つのリンク先IPアドレスとそれぞれのスパムメールの複数ドメインから成る。
一例≪103.28.184.67≫の発信者メールアドレス
From: <ami_soulmate@labdhw.info>
From: <harumi_rf1065@labdhw.info>
From: <mami_shingun@labdhw.info>
From: <kaori_beloved@labdhw.info>
From: <maya_k777@labdhw.info>
From: <hitomi_seakof@wahfdg.info>
From: <yui_moramento@wahfdg.info>
From: <emi_innamoram@wahfdg.info>
From: <rika_lvlii@wahfdg.info>
From: <nana_green@wahfdg.info>
From: <mai_cawcaw@wahfdg.info>
From: <eri_pierodo@zterthd.info>
From: <sae_pippoa@zterthd.info>
From: <mika_nqeex@zterthd.info>
ホットメールでは、IPアドレスによる受信拒否設定は機能しないがリストに追加はできる。
スパマーのサイト・サーバーを調べると、TCPポート80番しか開いていない。おそらくSquirrelMailのような80番ポートを使うウェブメールを使っていると思われる。
ちなみにリンク先のサイトは、http://103.28.184.67/webmail/ とブラウザのアドレス入力欄に入力するとログイン画面が現れる。
このアドレスの端末にログインするからReceived欄のfromとbyの関係の始まりは103.28.184.67となる。
それらのサーバー80番ポートを調べると
Server: Apache/2.2.15 (FreeBSD) DAV/2 PHP/4.4.9 with Suhosin-Patch
の情報を得られる。OSはFreeBSDがお気に入りのようだ。
スパマーの経由サーバー。
Received欄の最終FROM=ホットメールへの送信元
r001-aso002.mail-bst.net 103.28.184.69
r001-aso002-01.mail-bst.net 103.28.184.71
r001-aso001.mail-bst.net 103.28.184.68
r003-aso002-01.mail-bst.net 103.28.184.98
r003-aso002.mail-bst.net 103.28.184.96
r003-aso001.mail-bst.net 103.28.184.95
r004-aso002.mail-bst.net 103.28.187.43
r004-aso002-01.mail-bst.net 103.28.187.39
r004-aso001-01.mail-bst.net 103.28.187.38
r005-aso002-01.mail-bst.net 103.28.187.103
r005-aso001.mail-bst.net 103.28.187.100
=============
sender IP
このIPアドレスとそのホスト名はReceivedの最終fromのホスト名とほとんど一致しない。
103.28.187.42 r004-aso001.mail-bst.net
103.28.187.43 r004-aso002.mail-bst.net ≪Receivedの最終fromのホスト名に一致≫
103.28.187.110 r005-aso001.mail-bst.net
103.28.187.119 r005-aso002.mail-bst.net
103.28.184.95 r003-aso001.mail-bst.net ≪Receivedの最終fromのホスト名に一致≫
103.28.184.108 r003-aso002.mail-bst.net
=================
スパムメールのリンク先のサイト
http://isfgfh.info/ 103.28.187.35
http://bsdfjk.info/ 103.28.187.35
http://edfgdfg.info/ 103.28.184.67
http://qhdfrdf.info/ 103.28.184.67
http://kbnsre.info/ 103.28.184.67
http://fetrhn.info/ 103.28.184.94
http://dgrrer.info/ 103.28.184.94
http://asdffb.info/ 103.28.187.99
=================
IPアドレスは103.28.184.0 - 103.28.184.255、103.28.187.0 - 103.28.187.255の範囲内。
MTA1、MTA4がスパマーのプロバイダー。何とも素晴らしい規制緩和・自由化ではないか。なあ、総務省。
事業車の所在地は、2-23-4, Minami-Nagasaki, Toshima-ku, Tokyo 東京都豊島区南川崎2-23-4らしいが。アパートの個室一つが事務所なんだろう。
その辺のごろつきがIPアドレスを割り当てられているからIPアドレスも枯渇するわけだよ。
スパムメールの中には、フリーのウェブメールを使うものがある。ヤフーとか。
また、ドメインは月日が経つと消滅しているものがある。
==================================
ボンクラータワー ハンター9918 シードブレーキオープン
ボンクラータワー ハンター9918 スリーシックスゼロ セブンサウザン
ボンクラータワー ハンター9918 リバースレフト350ゴー
ボンクラータワー ハンター9918 はい ワンドロップ
ボンクラータワー ハンター9918 うぉぉぉぉぉぉぉ! メーデー メーデー ハンター9843と激突 操縦不能 墜落中
ハンター9918 ボンクラータワー 墜落しろ
ボンクラータワー ハンター9918 了
ボンクラータワー ハンター9843 オルソ 了
==================================
AOR AR8200Mk3サーチ結果
229.4→札幌 金玉
235.2→札幌
244.3→札幌
250.4→札幌 金玉
257→札幌
276.3→札幌 IC-R3ss内部発信 ID-92内部発信 AOR AR8200Mk3内部発信
282.9→札幌 北朝鮮シグナル電波
300.1→札幌 北朝鮮シグナル電波
308→札幌
315.1→札幌
328→札幌
337.4→札幌
359.9→札幌 変調?
365→札幌 パソコンノイズ電波
369.4→札幌