ｑｓｖ系のスパムメール被害を考えるスレ

[0001 １ 2005/05/06(金) 00:02:04 ID:xmcXzpeU0]

ど迷惑なｑｓｖ系のスパムメール。
皆さん、どんな対処してます？

[0948 名無しさん＠お腹いっぱい。 2005/10/24(月) 14:44:12 ID:UYXBepv30]

ま、かの国のらしいから、弾いといて問題なしですな。乙>>941
かの国と取り引きがある方はもう少し様子をみたほうがいいかもしれんが。。

[0949 361,941 2005/10/24(月) 16:44:31 ID:EUwbCiGC0]

>>947
確かにそれを書いておかないと、無関係なところまでフィルタして
しまう可能性がありましたね。失礼

mail.fdiw.com
mail.fgqn.com
mail.fqdu.com
mail.fvtr.com
mail.fxoq.com
mail.fyev.com
mail.gypr.com
mail.hclj.com
mail.iybz.com
mail.kxog.com
mail.lulj.com
mail.nuzk.com

といったアドレスです。
qsv/awg 系のみをサービスしていると思われるので、
check_ns_access に入れても、無関係なところをはじく
心配はないと思います。

# ちなみに、うちは、中/台/韓 をはじくような設定はしてません。
# 取り引きあるし…

[0950 名無しさん＠お腹いっぱい。 2005/10/24(月) 23:24:19 ID:wLtg0T/50]

>>949
どうもです。
なるほど、125.57.108.0/24　が追加されたのか・・・

[0951 名無しさん＠お腹いっぱい。 2005/10/24(月) 23:33:57 ID:+4JqZ6cr0]

>>950
108だけでなくもっと広い模様。

ｑｓｖ系のスパムメール被害 qsv02
http://pc7.2ch.net/test/read.cgi/antispam/1129960807/10-n

[0952 名無しさん＠お腹いっぱい。 2005/10/25(火) 13:03:45 ID:+3IMI4Im0]

FWで遮断しているSMTPアクセスが22分で1000になった
ちょっと前は1時間で1000だったのに
よくやるよ

[0953 名無しさん＠お腹いっぱい。 2005/10/25(火) 13:25:50 ID:yst9vu+80]

>>951
さんくす　新スレチェックしてなかった。。

[0954 名無しさん＠お腹いっぱい。 2005/10/25(火) 19:19:02 ID:K3nT/mWc0]

何気なくﾔﾌｰメールのゴミ掃除をしてたらこんなページを見つけた
http://help.yahoo.co.jp/help/jp/mail/anti-spam/anti-spam-44.html
これって紛れもなくqsvのことだよな。
ﾔﾌｰにわざわざ個別に記事を書かせるなんて、ある意味たいしたもんだ。
</チラシのオモテ>

<チラシのウラ>
昨日から始めたSPAMフィルタの導入で、procmailの設定ミスやらfetchmailの設定ミスやらで
qsvメールを10通ほど、メールボックスにもフィルタの学習もされずにはるか彼方へ消し飛ばしてしまいました。
SPAM対策はバッチリですw
</チラシのウラ>

[0955 名無しさん＠お腹いっぱい。 2005/10/25(火) 22:19:54 ID:W+kYaq680]

しょぼいフィルタの癖にメルアド変更210円。

[0956 名無しさん＠お腹いっぱい。 2005/10/26(水) 03:14:34 ID:1HvwMaE/0]

また爆撃始まった。9通単位で来るから堪らん。

[0957 名無しさん＠お腹いっぱい。 2005/10/26(水) 07:01:15 ID:QsVv9tX70]

>>956
> また爆撃始まった。9通単位で来るから堪らん

同じ件名で？　それともバラバラの件名で？

ウチは、同じ件名の時には４〜５通くるし、
バラバラ件名の時は９通くらいいっぺんに来ているよ。

どっちにしても「宣伝」とは思えない。
ただ意味なく「ノルマ」で送っているか、「嫌がらせ」としか思えん。

[0958 名無しさん＠お腹いっぱい。 2005/10/26(水) 07:02:00 ID:QsVv9tX70]

うっ、IDがqsvか・・・・・・。

[0959 名無しさん＠お腹いっぱい。 2005/10/26(水) 09:30:37 ID:nngqNdVo0]

>>958
おまいがスパマーか！

[0960 名無しさん＠お腹いっぱい。 2005/10/26(水) 09:52:24 ID:wN/blHdQ0]

>>957
ｶﾝｺｯｸからの分は日本人への嫌がらせﾆﾀﾞ

[0961 名無しさん＠お腹いっぱい。 2005/10/26(水) 15:55:05 ID:9l5rtcjN0]

>>957
正気だとしたら、宗教的な狂気だな〜なんて思っていたけど、オウムと某国の関係とか特定アジア的発想とかを理解できるようになると、あれはサイバーテロとして扱うのが妥当だと思えてきたよ。

[0962 名無しさん＠お腹いっぱい。 2005/10/27(木) 09:23:31 ID:SjUhY0dI0]

>>950

> なるほど、125.57.108.0/24　が追加されたのか・・・

こちらでは125.57.109.0/24からSPAMが来ている

[0963 名無しさん＠お腹いっぱい。 2005/10/27(木) 11:21:52 ID:BC8/ipxf0]

>>962
125.57.106.0/24
125.57.107.0/24
125.57.108.0/24
125.57.109.0/24
125.57.110.0/24

いまわかっているのは、これだけある。

[0964 名無しさん＠お腹いっぱい。 2005/10/27(木) 14:55:00 ID:x1VPT7y+0]

最近のqsv系smtpサーバはPTRレコードの設定を全然してないっぽいね
接続時にPTRレコードあるかどうかチェックして無ければ拒否って設定するだけで100％拒否できてるっぽい。

ちなみにqmailのrblsmtpdで同様のことをするには以下の通り。

tcpserverのルールで

=:allow
:allow,RBLSMTPD="Access denied. Cannot resolve PTR record."

の様なファイルを作成してtcprulesでcdbを作成。-xオプションでcdbファイルを指定して起動。
1行目は「=」で「逆引してホスト名が得られれば」って意味になる。
2行目は全て許可するがRBLSMTPDを設定するって意味。
これで、逆引できないホストには環境変数RBLSMTPD付きでrblsmtpdに処理が渡されるので、
このあとrblsmtpdが上記のメッセージ付きで拒否してくれる。
メッセージはもちろん上記の通りじゃなくて良い。
IPレンジで拒否設定するばあいは1行目の前に追加していけばいいでしょう。　
自分はqmail-vida環境なのでRELAYCLIENTの設定書いてませんが必要な方はそれも忘れずに。

127.0.0.1:allow,RELAYCLIENT=""
192.168.1.:allow,RELAYCLIENT=""
=:allow
:allow,RBLSMTPD="Access denied. Cannot resolve PTR record."

こんな感じになるでしょうか。

[0965 名無しさん＠お腹いっぱい。 2005/10/27(木) 15:05:22 ID:KE+445VF0]

>964
つい昨日逆引きがダウンしていたというニュースをみていないのか？

[0966 名無しさん＠お腹いっぱい。 2005/10/27(木) 15:12:41 ID:CT4am7aG0]

少なくともうちに来る qsv スパムは、それだけでは防げない。
たとえば
mail.dggah.com NK210-202-7-12.vdsl.static.apol.com.tw[210.202.7.12]
は逆引きできる。

これまでの様子からすると
1. たぶんレンタルサーバを借りてるだけ
2. 逆引きの委譲は受けてない
なので、逆引きできるかどうかは、qsv かどうかじゃなくて、
単にそのレンタルサーバ業者があらかじめ逆引きを設定して
いるかどうかだけに依存してるんじゃないかな。

[0967 名無しさん＠お腹いっぱい。 2005/10/27(木) 20:05:01 ID:ak+HNXbf0]

>>964
ほんとにね。
ネットワークの所有実態を漏らしたくないのかな？こちらでも、8割り以上、reject_unknown_clientで
弾けています。残りは、ネームサーバやIPのブラックリストで難なく拒否できてるし。

[0968 あぼーん NG NG]

あぼーん

[0969 名無しさん＠お腹いっぱい。 2005/10/27(木) 22:50:52 ID:O8y1I0Ns0]

>>967
reject_unknown_client はちと恐くないですか？
無実の設定が甘いだけのサーバも拒否しちゃうのでは。
というか中国、韓国のサーバって、正しいメールサーバでも逆引き設定してないとこ多いし。

[0970 名無しさん＠お腹いっぱい。 2005/10/27(木) 23:30:12 ID:Rc3t7/Z/0]

それでｵｹと思ってんだから放っとけばｲｲんでないの？

と思う。

[0971 名無しさん＠お腹いっぱい。 2005/10/28(金) 05:44:11 ID:KOLs5Lg40]

大阪の登録住所が正しいのならみんなで押しかけようぜ
嫌がらせは特定メール法に関係なく被害届を出せる（ｗ
生活安全かな　刑事課かな

[0972 名無しさん＠お腹いっぱい。 2005/10/28(金) 08:07:25 ID:WYloW70z0]

qsvって、アドレス収集はいつも東京から行なっているけど・・・・・・。

[0973 名無しさん＠お腹いっぱい。 2005/10/28(金) 11:43:55 ID:hcEAeveD0]

東京と大阪でユニゾってんの
　どこからだーい　漫喫からかなぁ
　　ＮＴＴの無料体験コーナーからかなぁ
　　　首相官邸から警察庁へ指示されてるよぉ
　　　　ビルのまわりに私服はいないかぁい

[0974 名無しさん＠お腹いっぱい。 2005/10/28(金) 11:49:14 ID:ZAPxK2EO0]

間をとって名古屋が悪いことにするわはー

[0975 名無しさん＠お腹いっぱい。 2005/10/28(金) 12:56:44 ID:RO3zTpoD0]

>>972
大阪商工会議所に登録されてるけど、>>882, >>893 を見る限り、
大阪だけでなく東京でも IPアドレスの割り当てを受けてる。

[0976 名無しさん＠お腹いっぱい。 2005/10/28(金) 15:09:24 ID:rIQHVKhh0]

>>882>>895のファイルをよーく見るんだ。
犯人逮捕につながるかも知れない、すごいことが書いてあるぞｗ
http://deai.awg.jp/euc/inc/config.inc

[0977 名無しさん＠お腹いっぱい。 2005/10/28(金) 15:42:19 ID:AS+LOqKb0]

203.67.12.0/24
203.67.19.0/24
203.67.145.0/24
お引越しの結果、以上が消滅しました。
ns1.ttforever.net も機能停止っぽいね。

[0978 名無しさん＠お腹いっぱい。 2005/10/28(金) 16:05:29 ID:BccPIKsi0]

>>976
全部403だ。
どれも同一人物が運営してるか、このスレを見てるかのどっちかだろうｗ

[0979 名無しさん＠お腹いっぱい。 2005/10/28(金) 16:13:09 ID:rdt8/onj0]

http://diary.jp.aol.com/qqhvu6zapj/

[0980 名無しさん＠お腹いっぱい。 2005/10/28(金) 21:08:39 ID:o5vt+z440]

>>969
White Listとの併用とで問題はないですね。

>>970
でも頭の悪い発言はやめられない、と(w

[0981 名無しさん＠お腹いっぱい。 2005/10/28(金) 21:58:47 ID:RO3zTpoD0]

そんなに頭悪い発言なのかな。
あまり気にならなかったけど。

うちは postfix だけど、reject_unknown_client は
使わず、check_ns_ で対処してます。

[0982 名無しさん＠お腹いっぱい。 2005/10/29(土) 00:10:38 ID:k39J9UED0]

>>980
まあ、自分しか使わないようなサーバなら、reject_unknown_clientでもなんでも
使って良いだろうよ。
多数のユーザがいる場合は、とてもそんなこと恐くて出来ん罠。

[0983 名無しさん＠お腹いっぱい。 2005/10/29(土) 06:33:13 ID:1Ngq9LSE0]

>>894
うちのホームページに 59.87.86.71 からアクセスがあった。

a. [IPネットワークアドレス] 59.87.86.64/28
b. [ネットワーク名] TRYBRAIN-NET
f. [組織名] 有限会社 トライブレインカンパニー
g. [Organization] TRY BRAIN COMPANY
m. [管理者連絡窓口] HN5567JP
n. [技術連絡担当者] HN5567JP
n. [技術連絡担当者] AT047JP
----------
株式会社ユーズコミュニケーションズ (U's Communications Corp.)
[割り振り] 59.87.0.0/16
株式会社ユーズコミュニケーションズ (U's communications Corp.)
SUBA-468-0A4 [SUBA] 59.87.86.0/24

a. [JPNICハンドル] HN5567JP
b. [氏名] 西本 仁満
c. [Last, First] Nishimoto, Hiromitsu
d. [電子メイル] nis@tribrain.co.jp
f. [組織名] 有限会社 トライブレインカンパニー
g. [Organization] TRY BRAIN COMPANY
k. [部署] システム開発
l. [Division] Systems development
m. [肩書] 部長
n. [Title] Manager

[0984 名無しさん＠お腹いっぱい。 2005/10/29(土) 07:07:21 ID:cnqtVr0A0]

>>982
用途が限定された鯖なら害はない罠。
そんなことにも頭が回らず、"reject_unkown_client"という言葉に
脊髄反射してるからバカにされたんじゃないの？

[0985 名無しさん＠お腹いっぱい。 2005/10/29(土) 14:29:30 ID:3JLgS3k60]

良く分からんなあ。
>>970 は実際、ｵｹと思ってんだから放っとけばｲｲって言ってるじゃん。
むしろ過剰反応してるのは>>980だと思うんじゃがじゃが。

[0986 名無しさん＠お腹いっぱい。 2005/10/29(土) 17:57:58 ID:CGo1U0ud0]

いろんな人が見てるんだから、
用途が限定されてない鯖で害があるかもしれない方法について
ひとこと注意しておくのは別にいいんじゃないの？
その方法取ってる人を責めてるわけじゃないんだし。

バカとか頭悪いとかやめようよ。

[0987 名無しさん＠お腹いっぱい。 2005/10/29(土) 18:22:29 ID:qdODIH0I0]

煽られるのが嫌ならそもそも煽らなければいいだけの話。
>>970なら俺でもカチンとくるが。。

[0988 名無しさん＠お腹いっぱい。 2005/10/29(土) 19:53:13 ID:UCMEtDs30]

この業者
発言してやがるに１票

[0989 名無しさん＠お腹いっぱい。 2005/10/29(土) 20:21:10 ID:CGo1U0ud0]

>>988
あはは。ありえる

[0990 名無しさん＠お腹いっぱい。 2005/10/29(土) 20:30:53 ID:qbwxoJh40]

ついに妄想か、池沼ってやつは(w

[0991 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:02:45 ID:5vEDkJR+0]

あと埋め埋めしていい？

[0992 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:04:02 ID:5vEDkJR+0]

カウントダウン開始！

[0993 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:05:56 ID:5vEDkJR+0]

１回だけＡｇｅ

[0994 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:09:03 ID:5vEDkJR+0]

あと６

[0995 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:10:05 ID:5vEDkJR+0]

あと５

[0996 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:11:22 ID:5vEDkJR+0]

あと４

[0997 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:12:54 ID:5vEDkJR+0]

あと３

[0998 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:15:21 ID:eV2tuiarO]

qsv1K

[0999 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:16:14 ID:oVyV59k00]

あと２

[1000 名無しさん＠お腹いっぱい。 2005/10/30(日) 12:16:17 ID:ov3rfff30]

1000だったらｑｓｖ死去