【SPAM】Spam Mail Killer その2【感染メール除去】
最新50レス以内に全く同じ話が出ているんだが
テンプレート901を有効にしてても、123.152.0.0 - 123.159.255.255から来る
スパムが通っちゃうんだけど何でだろう?
00000000 <ip-address> 123.144.0.0-123.175.255.255 で弾いてくれないのかな。
>>916 ホワイトリストで許可してた、ってオチはなしよ
918 :
916:2009/07/17(金) 01:32:04 ID:e7ieWST00
>>917 いや〜、流石にそれは無かったよ。
許可リストにIPは入れてないし、新着理由も「削除条件に該当しない」ってなってるから
許可リストも禁止リストもスルーしてるっぽい。
もちっと調べてみるよ。
test
保守(´・ω・`)
スパン w
削除ログをみるのが面倒だけど、誤爆が無いか気になって、ざっくりと参照するための
なにかいい手は無いか・・・と考えた結果、2chの専ブラで閲覧する方法で落ち着いた。
smkのログフォルダを探索し、新着をDAT形式で出力するスクリプトを作って、
ローカルウェブサーバを作って、Janeの板ボタンにSMK板を作成して、自分だけで見てる。
1日の到着spamの数=レス数にした。
日ごとのspam数に応じて、スレの勢いが変わるから面白いw
未読も既読も専ブラが全部管理してくれるのは、想定外のグッドな副作用。
ちなみに、週末と休日は、日本語のspam到着数が少ないことがわかった。
やつらは手動で送ってるのだろうか。
>>922 削除条件作り込んじゃうと、誤削除の可能性があるのは新規に発注したWeb通販の
自動返信くらいだけど。週一〜月二で削除ログ一覧する位で済んでるけどなあ。
> 週末と休日は、日本語のspam到着数が少ない
そうそう。送り出し用のマシン止めてから帰るんだろね。律儀なことだ。
ログの保存先って指定できないですよね?
できないですねー
ありがとう。きびしいなー。
>>926 どんな状況下で「厳しい」と判断したの?
具体的にどんな状況で困っているかを言えば(HDDが汚くなるとかはNG)、
このスレのだれかが対処なり回避法をアドバイスできるかも。
928 :
名無しさん@お腹いっぱい。:2010/02/17(水) 10:45:30 ID:tn870Ym10
smkで処理した、月ごとの削除数(月の末尾だけ抽出) メールチェックは30分間隔
11月
20091130220415,6174
20091130223616,6179
20091130230919,6182
20091130234114,6184
12月
20091231220823,5088
20091231224129,5090
20091231231542,5094
20091231234852,5099
1月
20100131211755,6816
20100131215102,6818
20100131225811,6823
20100131233112,6829
今月 2月17日現在
20100217164528,3655
20100217171928,3662
20100217182436,3673
20100217185737,3679
俺宛のspamは、毎月5000〜7000くらいコンスタントに来るようだ
ここ数ヶ月は、増えもせず減りもせず、上記の誤差範囲を前後している
でっていう
テンプレート作成にチャレンジしようと思って、イマイチわからず。どなたかご教授いただけませんか?
件名にひらがなが入っていないメールを削除、という設定を作成したいのですが・・・
そりゃテンプレ608番を改造して <body> を Subject: に置換するだけでできるけどさ、
件名がカタカナと漢字のどちらか一方もしくは両方のまっとうなメールってのもあるからねえ。
おおっ・・・できた! ありがとうございます。
最初の000・・・・ってとこまで変えちゃったから駄目だったみたいです
厚かましいお願いですが、
件名にひらがなかカタカナを含まない、という設定ならどうしたらいいか教えて頂けませんか?
Russiaのladyがどうのこうのとか、watchがどうたらこうたら、Viagraが55%オフみたいな英文スパムを弾きたいので・・・
許可リストと件名チェックでだいたい行けると思うのです
> 件名にひらがなかカタカナを含まない
禁止リスト@複数要素で
「件名に平仮名を含まない」
「件名にカタカナを含まない」
の二行を書いて、どっちも「必須要素」のチェックをはずし、成立要素数を1にする。
ただ、件名の文字種で弾いて今は何とかなったとしても、どうせそのうち
和文のSpamも来るようになると思うけど。
ああ、違うわ。
>>934だと、「平仮名を含まない」もしくは「カタカナを含まない」で削除になるから
たいていのメールは削除されちゃうな。
>>933の意図は「平仮名と片仮名の両方とも含まない」ってことだろうから
両方とも必須要素にして成立要素数は0か2だ。
公式のアジアからの蹴るってやつ更新してホスィ
info@とmag@がすり抜けてくるんだけど何かない?
From:は許可も排除もピンポイント対象。spam全体に適用できるような汎用性はない。
べつの条件を組み合わせて汎用性の高い複数条件を作っといて
必要な相手だけホワイトリストに登録、とかしないと無理
正規表現でワイルドカード使えば概ね対処出来るよ
ランダムでメアド変えて来るけど何通も来ればパターンが見えてくるし
最近は info@ から mag@ に変えてバラ撒いてるな
まぁ禁止リストの文字変えるだけで対処は簡単だけど
>>939 それだと、いま送ってきてる相手にしか対処できなくない?
機械送信の場合特有のヘッダ構成とか、spam一般にありがちなヘッダ構成とかを
あぶりだして登録しとくとたいていのものは引っかかる。ただし、これやると
誤削除のチェックとホワイトリストのメンテはかかせないけど
まあ、いろんなやり方できるのがこのソフトのいいところなので、やりやすいように
やればいいんだけど
保守ついでにこれに効く複数要素教えてください
X-DTI-Virus-Check: checked
X-DTI-Recipient: <***>
Return-Path: <
[email protected]>
Received: from mx04.cm.dti.ne.jp (mx04-fbp.cm.dti.ne.jp [10.236.71.124]) by store11-fbp.cm.dti.ne.jp (3.10pn) with ESMTP id o8DHFF8G027675 for <***>; Tue, 14 Sep 2010 02:15:15 +0900 (JST)
Received: from vcunico.net ([112.109.4.183]) by mx04.cm.dti.ne.jp (3.11g) with ESMTP id o8DHFF59006607 for <***>; Tue, 14 Sep 2010 02:15:15 +0900 (JST)
Received: by vcunico.net (Postfix, from userid 48) id 7F0E610F812B; Tue, 14 Sep 2010 01:51:32 +0900 (JST)
To: ***
Subject: アナタのカワイイお尻の穴を見せてください♪
From: "ミサのアナル"<
[email protected]>
Message-Id: <
[email protected]>
Date: Tue, 14 Sep 2010 01:51:32 +0900 (JST)
X-SMK-ORGSubject: =?ISO-2022-JP?B?GyRCJSIlSiU/JE4lKyVvJSQlJCQqPywkTjdqJHI4KyQ7JEYkLyRAGyhC?= =?ISO-2022-JP?B?GyRCJDUkJCJ2GyhC?=
X-SMK-ORGFrom: "=?ISO-2022-JP?B?GyRCJV8lNSROJSIlSiVrGyhC?="<
[email protected]>
X-SMK-ORGTo: ***
X-SMK-POP3Engine: 0.76
こんなのvcunico.netをはじけばいいだけだろ w
私もそう思う。この場合はそれが一番早いだろな。
ただ、X-mailer: と Content-Type: が両方とも存在しないってのは特徴的だから
それで複数要素リストを書いて様子を見てみたら?
携帯、Webメールや通販サイトの自動返信は X-mailer: がないことが多いけど
Content-Type: はたいていついてるよね。
X-SMK-ORGSubjectとかって見たことないけどメーラーが付けてくれるのかな?
********************************************
2.20
X-mailer: と Content-Type: が両方とも存在しない
0
0
H
30000000 Content-Type:
30000000 X-Mailer:
********************************************
これでおk
見てたらMozillaのメーラー(?)を使ってるやつが多いなぁ
User-Agent: Mozilla/5.038 (X11; U; FreeBSD i386; U; NT4.0; en-us) Gecko/25250101
とか
User-Agent: Mozilla/5.030 (X11; U; solaris; U; NT4.0; en-us) Gecko/25250101
あと
X-Accept-Language: en
を付けてくることが多い
en-usなんてのを使うやつは国内ではまず無いので、無条件で省くのがいいのかなぁ
ああ、それ偽造。
Gecko/の後の数字はビルドされた日付だから25250101なんてありえないし
この手のやつはどう書くのがいいですかね?
この手のは前半変えてあってGecko/25250101だけ共通みたいだから
禁止リスト@ヘッダーに「Gecko/25」とでも登録しておけば?
thx、試してみる
…X-SMK-ORGを指定していたのが誤爆したんで調べてみたらmixiからのメールもX-SMK-ORGが使われてるんだ…
いや、違うな? X-SMK-ORGってなんだこれ?
>>952 X-SMK-ORGはこのアプリ自身が付けている項目のはず。
だからこの項目で弾こうとするのは自爆を招く可能性大のような気が…。
ヘルプに小さな字で書いてある。
#Ver.2.11以降では個別ログのヘッダーに Spam Mail Killer 独自のフィールドが
#付加されます。(X-SMK-POP3Engine: x.xx)
#これは、Spam Mail Killer が内部的に参照する情報なので無視して下さい。
#間違っても、削除条件には含めないように。全メールが削除されてしまいます。
User-Agent: Mozilla 云々のメールは、私んとこだとテンプレの900番台ではじかれてる。
よく探してみたら Gecko/25250101 だけじゃなくて Gecko/20011019 とか
Gecko/20011221, Gecko/20021220 なんてのもあるわ。
>>950は忘れてください。
で、X-Mailer: じゃなくて User-Agent: 付けてくる真っ当なメールって数少ないし
実際に見たことあるのは User-Agent: Microsoft-Entourage/10.1.1.2418 くらいだけど、
もしかして「User-Agent: Mozilla」が含まれるメールなんてSpamばかりだったりしない?
>>944の「Content-Type: が存在しない」ってのも真っ当なメールじゃありえないから、
Date: がないとか、To: がないとかと同様に、単独で削除条件にしていいだろね。
すりぬけてきたメールのヘッダーをさらしてみる<1/2>
Return-Path: <
[email protected]>
Delivered-To: ****@****.ne.jp
Received: (qmail 10214 invoked from network);
15 Sep 2010 19:16:21 +0900
Received: from unknown (HELO microsof-643641) (79.133.143.55)
by ns.p.chan.ne.jp
with SMTP;
15 Sep 2010 19:16:21 +0900
Received: (qmail 2561
by uid 467);
Wed, 15 Sep 2010 14:15:10 +0400
Message-Id: <
[email protected]>
From: USA ゥ Doctor Fabian <
[email protected]>
To: ****@****.ne.jp
Subject: ****@****.ne.jp September 34% OFF.
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
すりぬけてきたメールのヘッダーをさらしてみる<2/2>
Return-Path: <
[email protected]>
Delivered-To: ****@****.ne.jp
Received: (qmail 546 invoked from network);
15 Sep 2010 21:14:15 +0900
Received: from abts-north-dynamic-225.168.177.122.airtelbroadband.in (HELO airtelbroadband.in) (122.177.168.225)
by ns.p.chan.ne.jp
with SMTP;
15 Sep 2010 21:14:15 +0900
Received: from localhost (localhost [127.0.0.1])
by innoa7lp00018 (8.13.1/8.12.10)
with SMTP id 06498 for <****@****.ne.jp>;
Wed, 15 Sep 2010 17:43:54 +0530
Message-Id: <989910566169.03840@innoa7lp00018>
Date: Wed, 15 Sep 2010 17:43:54 +0530
From: "Corrine" <
[email protected]>
Reply-To:
[email protected] To: ****@****.ne.jp
Subject: Legal Pfizer Reseller
Mime-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
>>954 >もしかして「User-Agent: Mozilla」が含まれるメールなんてSpamばかりだったりしない?
過去のメールを検索したら、使ってる人がひとりだけいました。 en-us じゃないけど。
>実際に見たことあるのは User-Agent: Microsoft-Entourage/10.1.1.2418 くらいだけど、
企業関係でよく見かけるけどUser-Agent: Thunderbird もあった
珍しいのはUser-Agent: Spiral/1.10; Messaging Agent かなぁ(メルマガ配信システムらしい)
SMKで誤爆(誤削除)が分かるんだったらSMK使う意味ないんじゃないの?
メーラでやるのと変わんなくね?
もう面倒だからGmailに投げてたまにGmailのSPAMを確認・完全削除
するぐらいだなぁ。
>>958はこのスレの卒業生です。
>>958はこれからクラウドの世界に生きていくそうです。未来永劫、永遠に…
>>955 Date: がない。
Content-Type: に charset の記述がない。
From: の @domain が生IP。
Subject: に To: のアドレスを埋め込んでるメールで真っ当なものなんて見たことない。
>>955,956
X-Mailer: も User-Agent: もない。
SMK以外にもSpam対策の手段はいろいろあるんだから、好きなの使えばいいんじゃない?
ただ、現状何使っても完全じゃないから、誤削除やすり抜けは必ず発生する。その対策が
とれてればね。
>>956 charset=ISO-8859-1(2,9,)のメールで
まともなのは見たことがない。
>943-946 アリガd
前にあったdocomo詐称って複数要素使っていたんですが抜けてきます
IPアドレスの部分とか少しいじってみたんですが、上手くいかないのでどこをいじればいいか教えてください
2.30 ※行数制限でみづらくて吸いません
docomo.ne.jp 詐称
0
0
H
00100000 Return-Path: @docomo.ne.jp
00100000 Received: ##/^from docomo.ne.jp \(\[122\.202\./
00100000 From: @docomo.ne.jp
20100000 Content-Type: text/plain; charset="iso-2022-jp"
20100000 Content-Transfer-Encoding: 7bit
20100000 MIME-Version: 1.0
00100000 Message-Id: ##/^<?\d{14}.?/
30100000 Reply-To:
30100000 Cc:
30100000 X-Mailer:
X-DTI-Virus-Check: checked
X-DTI-Recipient: <***>
Return-Path: <
[email protected]>
Received: from mx04.cm.dti.ne.jp (mx04-fbp.cm.dti.ne.jp [10.236.71.124]) by store11-fbp.cm.dti.ne.jp (3.10pn) with ESMTP id o8G46xHC003354 for <***>; Thu, 16 Sep 2010 13:06:59 +0900 (JST)
Received: from docomo.ne.jp ([122.202.121.221]) by mx04.cm.dti.ne.jp (3.11g) with SMTP id o8G46wIj022527 for ***; Thu, 16 Sep 2010 13:06:59 +0900 (JST)
Message-Id: <
[email protected]>
To: <***>
From: 奈津江<
[email protected]>
Subject: ご近所のようですし、良かったら一度お会いしませんか?
MIME-Version: 1.0
Reply-To: <
[email protected]>
Date: Tue, 14 Sep 2010 10:10:25 +0900
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
>>962 @docomo.ne.jp からのメールなら Message-ID: が <なんちゃら@docomo.ne.jp> になるけど
このメールは Message-ID: つけずに送ってよこして受信側でつけてるでしょ。
だから
・From: に @docomo.ne.jp を含むのに
・Message-ID: に @docomo.ne.jp が含まれない
って条件でいいと思うけど。
964 :
名無しさん@お腹いっぱい。:
このソフト入れてからストレス減ったわ
ありがとう