[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:7687] ドメイン偽装のSPAM
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:7687] ドメイン偽装のSPAM
- From: Tsubasa Sakamoto <tsubasa@xxxxxxxxxxxxxxx>
- Date: Tue, 15 Jun 2004 15:55:47 +0900
どうも、坂本@横浜と申します。
いつも楽しくROMさせていただいております。
Connect24hというよりはセキュリティー的な話で恐縮ですが、その手の識者が
多そうなので……。
自宅で趣味の自サバを立てているのですが、そこのメールに最近変なメールが
うじゃうじゃ来ます。
これが何なのかわからなくて困っています。
どんな内容かといいますと、こんな感じです。
--------引用ここから--------
Hi. This is the qmail-send program at xxxx.myserver.com.
(注:xxxx.myserver.com.=>私のメールサーバー 以下同)
I tried to deliver a bounce message to this address, but the bounce bounced!
<xxxxxxxx@xxxxxxxxxxxx>:
(注:xxxxxxxxは実在しないユーザネーム。メールごとに違う)
Sorry, no mailbox here by that name. (#5.1.1)
--- Below this line is the original bounce.
Return-Path: <>
Received: (qmail 73379 invoked from network); 15 Jun 2004 05:48:45 -0000
Received: from unknown (HELO aaa.aaaaaaa.net) (64.72.129.3)
by 0 with SMTP; 15 Jun 2004 05:48:45 -0000
Received: from localhost (localhost)
by aaa.aaaaaaa.net (8.11.6/8.11.1) id i5F5i3q30973;
Tue, 15 Jun 2004 00:44:03 -0500
Date: Tue, 15 Jun 2004 00:44:03 -0500
From: Mail Delivery Subsystem <MAILER-DAEMON@>
Message-Id: <200406150544.i5F5i3q30973@xxxxxxxxxxxxxxx>
To: <xxxxxxxx@xxxxxxxxxxxx>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="i5F5i3q30973.1087278243/aaa.aaaaaaa.net"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
This is a MIME-encapsulated message
--i5F5i3q30973.1087278243/aaa.aaaaaaa.net
The original message was received at Tue, 15 Jun 2004 00:44:03 -0500
from mail@localhost
----- The following addresses had permanent fatal errors -----
<childers@xxxxxxxxxxx>
(reason: 550 5.1.1 User unknown)
----- Transcript of session follows -----
550 5.1.1 <childers@xxxxxxxxxxx>... User unknown
--i5F5i3q30973.1087278243/aaa.aaaaaaa.net
Content-Type: message/delivery-status
Reporting-MTA: dns; aaa.aaaaaaa.net
Arrival-Date: Tue, 15 Jun 2004 00:44:03 -0500
Final-Recipient: RFC822; childers@xxxxxxxxxxx
Action: failed
Status: 5.1.1
Diagnostic-Code: X-Unix; 550 5.1.1 User unknown
Last-Attempt-Date: Tue, 15 Jun 2004 00:44:04 -0500
--i5F5i3q30973.1087278243/aaa.aaaaaaa.net
Content-Type: message/rfc822
Return-Path: <xxxxxxxx@xxxxxxxxxxxx>
Received: (from mail@localhost)
by aaa.aaaaaaa.net (8.11.6/8.11.1) id i5F5i3p30973
for <childers@xxxxxxxxxxx>; Tue, 15 Jun 2004 00:44:03 -0500
Message-Id: <200406150544.i5F5i3p30973@xxxxxxxxxxxxxxx>
X-Authentication-Warning: aaa.aaaaaaa.net: mail set sender to <xxxxxxxx@xxxxxxxxxxxx> using -f
Received: from myserver.com(wiley-231-7675.roadrunner.nf.net 205.251.170.7) by aaa.aaaaaaa.net via smap (V2.1)
id xma030927; Tue, 15 Jun 04 00:43:15 -0500
From: Riva Kovach <xxxxxxxx@xxxxxxxxxxxx>
To: <childers@xxxxxxxxxxx>
Subject: Momentum On The Rise For TCPD.OB_Mondayywbajh
Date: Tue, 15 Jun 2004 13:37:28 -0400
Reply-To: <xxxxxxxx@xxxxxxxxxxxx>
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: plain
thymus
anaphora
Great Announcement from TCPD, Strong Buy Tuesday!
……と、以下SPAM本文。(略)
--i5F5i3q30973.1087278243/aaa.aaaaaaa.net--
--------引用ここまで------------
っていう感じばかりです。
一見すると私のサーバから変なメールが送信されているのかとも思いましたが、
どうも大元のメールを送信したホストが送信元のドメインを偽装しているような
のです。
まとめると、
・大元のSPAM発信元は私のサーバ(myserver.com)の架空ユーザを騙っている
・送信元のユーザは実在しない。IPアドレスは私のドメインではない。
・大元のSPAM送信先はバラバラ。でも実在しなさげ。
・で、SPAMはあて先に届かず、私のサーバの架空ユーザに戻ってくる
・でも架空ユーザに配送はできないので私のサーバのpostmasterに戻ってくる。
です。
一応自分のサーバのMTA(qmail)のログはチェックしたのですが、大元のSPAMが配
送された気配はありません。
メールのヘッダーを信用すれば、誰かが「myserver.com」を騙ってaaa.aaaaaaa.net
のSMTPにアクセスしたようです。
(上の例ではwiley-231-7675.roadrunner.nf.net 205.251.170.7ですが、これは
当然myserver.comのドメインの中にはいません。)
これは既知のウイルスによるものでしょうか?それとも発信元が悪意を持って
偽装しているのでしょうか?
はたまた、私のサーバが私の見つけられないウイルスに汚染されているので
しょうか?
一応私のサーバではSMTP Authが仕掛けられているので、myserver.com以外宛の
メールを送信するには認証が必要です。(qmail-vida使用)
長文で申し訳ありませんが、このウザイ戻りメールをとめる方法はないでしょう
か?
皆様のお知恵をお貸し下さい。
※このメールでのmyserver.comは架空のドメインです。
-------------------------------------------------
Tsubasa Sakamoto(坂本 翼)
〜余裕と無駄は人生の人生たる所以である〜
-------------------------------------------------
--[PR]------------------------------------------------------------------
>>>Free ML会員様限定<<<
\○ Gポイント無料登録でチャンス到来! ○
■> 1,000円分のローソンお買い物券が抽選で500名様に当たる <■
< \ 豪華賞品も毎月大放出 /
http://click.freeml.com/ad.php?id=386857
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp