フィルタリング語句を研究しよう
毎日毎日迷惑メールがうざい。 それじゃあ、 差出人のどれをフィルタリングしちゃおうとか どこのプロバイダ経由だったらフィルタリングしちゃおう 等の話し合いをするスレッドです。 今だ!2ゲットオォォォォ!!  ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ∠゙⌒"フ / ‘(・・) / (,,゚Д゚) / ̄ ̄旦/ヽ;;;⌒`) /___/ ※/)≡=-;;;⌒`)⌒`) / ※ ※ ※ ※ // ≡≡≡≡= -;;;⌒`)⌒`) (ー―――――_,ノ ≡=⌒`);;;⌒`)≡=-⌒`)  ̄ ̄ ̄ ̄ ̄ ̄ ズザー――― 良スレのヨカーン ┃━┏┃ 「日本語のメールしか受信しない」のが確定しているなら、本文中に 「て」or「に」or「を」or「は」等の助詞を一切含まないメールを排除。 これ、外国spamを刎ねるのに最強。 ちなみに、漏れはReceived:に「ap.yournet.ne.jp」を含むメールを排除 しているけれども、「まっとうな」一般利用者が用いているプロバイダで、 「ap.yournet.ne.jp」が含まれるところってあるのかな? 本文に「@yahoo.co」を含むものは、一応専用フォルダに直行させてる。 (さすがに自動で削除してしまうのは怖い) あと、自サイトに「YAHOOからのメールは一切受け取りません」と明記。 ろくに対策しないYAHOOへのささやかな抵抗。 >>3 フリービットから回線借りてる普通のISPって結構あるよ。 そういうとこだとReceived:にap.yournet.ne.jpが入ったりする。 知らずに使ってる普通の利用者も多いと思われ。 どうすればいい だと、ISPに苦情を言う という流れになっちゃうから、新しく建てた次第。 ちなみに、迷惑メール撲滅本山では、 差出人に「QSV」が混ざってたら、破棄という設定 にしている人がいたから このスレッドだと 差出人のメールアドレスに「QSV」が混じっているものを フィルタする ですな ヘッダーに qmail@mail.localhost.com が含まれていたら X-mailer:Shadow Mail v. 2.0 Reply-to:<your@address> のどっちかを含むのをフィルタ pl*.nas*.a-*.nttpc.ne.jp からのスパムが異様に多いので、 219.102.*.* 210.165.*.* など、nttpc管理のものに該当するIPが入っていたらハネる。 自分のメールアドレスをBase64エンコードしたもの。これ最強。 なにげに役に立つスレだと思うんだけど、意外に流行らないね。 キーワード晒すと業者に逆手にとられるからか? だろうな。 一番いい対策としては、 自分にメールを送ってくることが予定されている者だけを受け入れ(個別にallow)、 それ以外はすべて排除する(deny all)ようにすることだな。 業務用だとそうはいかないだろうが、個人用だったら、普段はそれが一番効果的だろう。 携帯メールのフィルタリングではそうしているよ。 スパムは、普通どこかに誘導する物だから、そのURLでフィルタリングしてる。 本文に「メール停止はこちらまで」とかって書いてあって、 たいがいアホーのアドだったりするんで、@以降の(に含まれる)文字列で弾く設定にしてるんだけど、 どういうわけか受信しちゃう。 >>15 だね。 携帯電話を持っている最近のリアル厨房や工房が、原理(deny all)を知っているかどうか 分からないけれども、「アドレス指定受信」といえば彼らも一発で分かるんだろうね。 きっと。 >>16 漏れは、URLでも特にドメインネームだけで排除するようにしている。 けれども、フリービット系のspamはURL誘導していない罠。 差出人が正規表現 /@yahoo\.[a-z][a-z](>|$)/ にマッチするのは弾いてる。 挿入人が性器表現 ティムポ♂→♀マムコ でエッチするのは しごいている。 糞メールには普通のビジネスメールではあまり使わない単語がよく使われている。 それは 「あなた様」 高卒ドクンが精一杯考えた丁寧語って感じだよね (?iU)<a\s+href="?[\s\S]+"?>[\s\S]+(http(s?)://\S+(?=gif.|jpg.|jpeg.)|img[\s\S]+src="?(http(s?)://[\s\S]+)|(cid:[\s\S]*)"?)>[\s\S]*</a> 「あなた様」「 貴方様」 これで迷惑メールの15パーセントくらいハジける メール本文に 「出会 無料 登録 人妻 主婦 紹介 夫 主人 素人」 のどれかを含むと削除するように設定したら減ったよ。 ドメイン、メアド系 jumpb2.net thesecretstory.com awg.webchu.com nowgetchance.com the-premium-movie scorpius.livedoor.com prentywoman.com hi-mi-tsu.com goku-goku.com gold2004_01 akaiito_cj jyouhou_2004jp @i-towns.net ya_oh_yajp UFVVXPSPHB mail.fokifoki.com truelv.com freeteas.net look8.org geomax.jp hamex.tv lovegal2.net j-sine.com livedear.com 99movie.tv NGワード 特に相手とかいなくってヒマなんですよ 妹とのSEX 使える出会い系 エッチが好きな方 無料ご招待の権利発生 既婚女性のための出会いサークル 素人動画 隠し撮りや とりあえずサンプル見てみよ 男性会員 女性会員 たとえば、ehjeu5432u@*****.comみたいに、 アカウント名部分が普通の単語じゃないアドレスを使ってる場合、 ehjeu5432u <ehjeu5432u@*****.com> "ehjeu5432u" <ehjeu5432u@*****.com> ではじくと結構有効。 友人からのメールを装ったのかもしれないけど、 普通こんな名前でアドレス帳に登録するやつはいないし。 >>ALL あんまり晒すと業者が遠回しな文とかにして 回避してくる希ガス そんな自分はマカヒー使ってまつ 99%弾いてます ap.yournet.ne.jp もバルクメールの巣窟だな 90も来てやがった >>32 yournetは第一種事業者だから 多い 『La vie en rose』(ラヴィアンローズ)代表 で弾いてます。 >>36 BSMTP.DLLは、たま〜に真っ当な会社も使っているけど。。。 メール本文中に livedear1.com ecfrv.com nephrolepis.com present-land.com dear-again.com nephrolepis.com があったらゴミ箱行き。 うちはoutlook expressでメールルールや送信者の禁示でゴミ箱行きにしてるんですけど 送信者や本文に含まれる言葉とか、そういうのでしか指定できず、毎回送信者の禁示をやってるんですけどキリがありません。 メアドも毎回変えてくるし。メールヘッダー内のドメインや単語ではじくようにするのはoutlook expressではできないんですかね。 もういいかげん疲れた。 >>40 >メールヘッダー内のドメインや単語ではじくようにするのは〜 確か、出来るはずだけど・・・ >メアドも毎回変えてくるし。 業者はフィルターすり抜けようと必死です 漏れは、マカフィーの安置スパム使ってるから 迷惑メール来るたび 「業者、必死だなwwwwwwwww」 と思っております(99%弾いてくれる) レスありがdです。 メールヘッダー内のドメインや単語ではじくのってできるんですか?うーんどこだろう… メアドは何度も変えてますよねw本当、業者必死だなwww というかもう、この勧誘にひっかけるためというよりも、なんとしてでもメール沢山送りつけてやるっていう方向になってて笑えます。 何度も拒否されてるのにそれでもメアド変えてまでやるというのが理解できないです。 サクラ雇うのも金かかるだろうに。もっとましな方法あるんじゃないのかなと思いますw >>42 (>>40 ) スマソ、勘違い outlook expressではヘッダー内のドメインや単語ではじくようにするのは出来ない 弾きたければ 1)MSOfficeXPを買ってOutlook2003を入れる 2)マカフィーアンチスパムを買う いずれかしか多分方法はないかと ほとんどの定番スパムは自動で削除できる状態まで持ってきた。 基本はRecieved。 tw,kr,cnで一度でもスパムに使われたプロバイダは全アドレス範囲を無条件であぼん。 日本三悪もRecievedプラスアルファの条件で、ほぼ完璧に誤爆無しで弾いてる。 これをくぐり抜けてくるスパムの代表は、おそらくゾンビPCを踏み台にして、 subjectの単語を毎回微妙に変える英語のバイアグラスパム。 英語圏の不特定からメールを受け取る可能性があるので dateに+0900を含まないメールを弾く方法が使えない。 代わりに、このスパムはToのハンドル部分にランダムにテキトーな名前を入れてくるので、 Toのハンドル部分に公開している物と違う英語名が入っていた場合は弾いてる。 メール本文中に ecfrv.com webchu.com kk-plan.org nephrolepis.com love-together.com love2nd1.com があったらゴミ箱行き。 メアドでは弾けないよね。 やっぱりRecieved。 でもそろそろ限界なんで、スパムメールブロック登録数100から1000くらいにしてほしい。 メアド登録1000できても役に立たないし。 最近はワイルドカードを駆使して登録件数を減らしている。 ワイルドカード使えると、かなり高い確率で弾けるよ。 しかし、こう多いとパソコンでメールするの嫌になるよね。 長文失礼。 メールアドレスのドメインのMXレコードで指定されたサーバ名を そのままReceivedヘッダの偽装に使う連中が結構多い。 たとえば、nslookupしたら、 > nslookup > set type=mx > bar.com bar.com MX preference = 10, mail exchanger = foo.bar.com となった場合、 Received: from foo.bar.com ([123.・・・ とかの偽装ヘッダを入れてくる。 ところが通常のメール送受信時には、MXレコードで帰ってくるサーバ名 とは別の名前でReceivedヘッダに記録されるプロバイダなども多い。 上の例でいえば、まともなメールのヘッダは Received: from foo.bar.com がなくて、 Received: from mail.bar.com が入ってたりする。 そういう環境だった場合、Receivedヘッダに"from foo.bar.com"が 入っていたらはじいてしまえる。 これは無論サーバの設定によるから、プロバイダ・会社などによっては MXレコードの名前がそのまま記録される場合もあるから確認が必要だけど。 ちなみに自分はPOPFile使ってて、スパムの99.7%は受信時にはじいてくれる。 通常はそれだけで十分なんだけど、スパムがあんまりにも多すぎて、 出張でちょっと不在にするとサーバのメールボックスがパンク寸前。 しょうがないからサーバ上でいくつかフィルタかましてるんだけど、 こっちはどうがんばっても60%弱のスパムしかはじけないなぁ。 メインアドレス→GMAIL キーワード -in:spamで受信アドレスに転送 K9ではさんでPOP. ttp://keir.net/k9.html GMAILで6,7割減る感じ. PopFileよりもK9の方が軽いと思う.日本語のフィルタリングもできるけどマニュアルなどは 全部英語. そのほかSpamCombat併用. 有料だけどSPAM関係全部入りのソフト. サーバー上で削除可能. ttp://www.glocksoft.com/sc/?source=gsc 良いと思うんだけどなぁ.こっちは設定すれば日本語表示できる. >>39 こっちもヘッダーなどで弾いていますが 使っているのはEdMax3.02 ----件名規制---- 人妻 援助交際or援交 未承諾広告 無料 完全無料 ----ドメイン規制(スパムメールマガジン含む)---- (メールアドレスから弾く) otonano-mail.com .qsv*.com .kqsv*.com ----ヘッダー規制(アクセスログから弾く)---- .ap.yournet.ne.jp .reset.jp .o-tokyo.nttpc.ne.jp .east.flets.alpha-net.ne.jp .east.bflets.alpha-net.ne.jp .tokyo.flets.alpha-net.ne.jp ヘッダに mail@mail. qmail@mail @mail.localhost.com メール本文に ttp://ez7.jp/ ttp://sweet.pmp.to genkide-jp.com/night_view.htm symplocarpus.com nanpara5.net 純粋にSpamAssassineとかcheck_uri.plとか使うわけにいかんの? メール本文に www.livedear1.com www.otakkujp.net www.love2nd2.com メール本文に webringbuster.com www.luv2006.tv www.livedear1.com >>22 先日ヤフオクで落札したら 出品者からのメールに「あなた様」って書いてあったから お前さんの書き込みを思い出したよw 迷ったけどフィルタリングに設定してなくて良かった。 X-Mailer: DM Mailer or X-Mailer: DM free K095085.ppp.dion.ne.jp このIPの香具師をハッキングすると… なんと!あの有名な人のIPだ! WhoisでRecievedのIPを検索して海外ならプロバイダの IP範囲をまるごと弾くというのを長く続けていたのだけど、 これまでずっと、APNICでKR、CN、TWあたりがマッチするのがほとんどだったのに、 最近はRipeやARINに行くことが増えて、CA、VA、特にFRが増えてきた。 地下で何か変化が起こってるような気がする。 [X-Accept-Language]が[en-us]を含む [見出し]が[low priceまたはviagra]を含む 個人的には、この2つで英語圏からのスパムを九分九厘ゴミ箱行きに出来ている。 「見出し」ってのは何じゃな? そんな妙なもんあんのか? >>66 「見出し」ってのはOutlookとかでいうところの「件名」のこと。要するにメールのタイトル。 Justsystemメーラーのの方言なんだ。スマソ 最近、ヘッダのReceived:見ると(may be forged)って書いてあるスパムが 何通も来るのだが、(may be forged)で弾いても大丈夫かな。 仕事で使ってるメールアドレスなので、必要なものまで弾かれたら困る。 >>69 may be forged つまりは「たぶん偽装〜♪」ってんだから、かなり怪しいんでは? 心配なら(may be forged)で弾く仕分けルールを作ってみて、過去にきた全メールに 適用してみてはどうでしょう?1通でもフィルターにかかる業務メールがあるなら あきらめるってことで。 >>62 わかりきったヘッダ情報をここでさらされると対策されそうでやだな。 タイトルと名前のチェックだけじゃ、これだけ調べてもまだ7割方 すり抜けて来る。 本文チェックすりゃかなり弾けるはずだけど、遅くなるかな… #####&chkspam: SPAMかどうかチェック # trueならSPAM # if(&chkspam($title,$name)){ スパム処理(消去等); } sub chkspam{ local($err,$_,$name)=(1,@_); { last if(/^(\(|(| | |「|※|*)*(未|末)承(諾|認)広告 *(※|*|\)|))/); last if(/^(【必見】|【期間限定】|★大当たり)/); last if(/(ロリコン|人妻|熟女|エロエロ|即高収入|出張ホスト|遊び友達募集|高額先払い |無料援助|高額援助|逆援|逆¥|恋人代行|大人の出会い|今すぐ逢える|出逢い応援 |出逢い情報|女性登録|セフレ|痴女|恋愛希望者|恋愛相談|絶対会えます |女性様|素人女性|セレブな女性|セレブ女性|女性会員|赤裸々|完全無料|当選! |心も体も|男を求めて|入れ食い|女の子を飼|なまだし|最大級の無料|出会い! |性感|乳首を|デリヘル|綺麗なおば様|ワイセツ動画|SEX)/i); last if(/(借金地獄から脱出|簡単に大金|裏求人|裏ネタ情報|必ず稼げる|お金にお困り)/i); last if(/(meds|mendicies|druu?g|pharmaceutical|OEM Software|women desire|erection|BRANDED WATCHES|rolex|wrist clock)/i); last if($name=~/(無修正|熟 ?女|DAILY SOHO|裏DVD|逢い|くっきり|教えちゃいます|人妻の痴態|チンチン)/); if($name eq "info"){# info名の場合SPAMが多いので判定を厳しく last if(/^(あなたはどこから|(あなたの)社長|優先権利|お相手は|☆重要|緊急募集 |こんばんは!|お久しぶり|あやです|携帯番号公開)/); last if(/(あなた次第|前払いしても|タダだよ|サイドビジネス|即決|朗報|いきなりすみません |犯して|【男性】|一万円分|逢えるかな|すぐに電話|情報漏洩|♀|お付き合い|ルで変身|【新規\d件】|稼ぐ!|お姉ちゃん|会って|女性誌|オレンジル|他人には知らせ|他の人には教え|ヒトヅマ)/); } $err=0;#spamでない。 } $err;#戻り値 } プロバイダごとに調べての対応になるけれど、Recievedでこんなテクがあった。 ttp://72.14.203.104/search?q=cache:oV6AN99LOE0J:www.hart.co.jp/spam/myobblocking.html+cust+outbound+25&hl=ja&inlang=ja (unknown [ を含むもの(逆引き不可) はゴミ箱直行 ex: Return-Path: <hugh@p@sitive-id.biz> Received: from friend (unknown [60.164.172.244]) by fm3.freemail.ne.jp (Postfix) with ESMTP id 7A41A120004 for <********.freemail.ne.jp>; Thu, 12 Jan 2006 21:50:25 +0900 (JST) From: "Stephen" <hugh@p@sitive-id.biz> 普通であれば Return-Path: <beach_is_blue@yahoo.ca> Received: from rose.freemail.ne.jp (146.225.75.202.west.bflets.alpha-net.ne.jp [202.75.225.146]) by fm3.freemail.ne.jp (Postfix) with SMTP id AC299120002 for <********.freemail.ne.jp>; Sat, 14 Jan 2006 05:16:27 +0900 (JST) From: "miki" <beach_is_blue@yahoo.ca> とホスト名が入る (これもバルクメールだけどな) >>74 プロバイダによっては↓のように省略される。そのような場合は"(["にしてもオケ。 Received: from friend ([60.164.172.244]) 主に中国韓国に逆引きできないスパマーの巣が集中しているので、 これらの国のIPアドレス範囲に絞ってこの設定をしている。 >>75 日本のメール鯖であれば逆引き設定してあるから IPでの制限は必要無いかも "from"が"@kobej.zzn.com"を含む 「後藤」をフィルタリングする良い方法はないでしょうかね。 こいつだけ、すり抜けてくる。 汎用性の高いものとしては、 Dete欄がおかしいもの(Dete:X [1-9]、Dete:X [A-Z|a-z])、 bodyに平仮名がないもの([body]:X [あ-ん])、 それとX-Mailer:WelcomMail あたりは誤認がないような希ガス。今のところ。 >>86 後藤っての、今来たYO! Dete欄のガットですてられるっぽ。 うちはX-Mailerで弾けるようなメールは来てないなぁ >>92 どこの業者にロックオンされるかで、違ってくるんでしょうね。 うちにきてるWelcomeMailのとこは、仕掛けたワード・条件に掛かるのが 半分程度しかなく非常に手ごわかったためかなり有効だったのですが、 反面、>>84 のNEXTismはまったく掛からなかったりしたので。 現在、Dete欄の選別で「Dete欄自体が無いもの」をなんとかできないかと 思い、いろいろ試しているんだけどもうまくいきません…。 Becky!使いの人で、別けられてる人が居ましたらご教授くださいませ。 @ヘッダ内のalpha-net,yournet,ocn,nttpcをNGワードに。 A国ドメインで、cx,info,biz,st,nu,st,cn,kr,hkをNGワードに。 B数字だけのドメインを排除。 これで被弾スパムは元の5%程度になった。 最も効果があったのは一番目の有害ISP対策だったね。 こんな所を使っている奴が周りに皆無だったのも良かった。 Dateフィールド自体が無いヤシの振り分けに成功したので報告を。 行った方法は>>89 のDate欄がおかしいやつのルールを一まとめにする すなわち… Date:X [A-Z|a-z|0-9]、これひとつに統合。 (ヘッダをDeteに、文字列に [A-Z|a-z|0-9]、正規表現と無いときにチェック) 単なる偶然の産物なんだが、なんで振り分け可能になったのか謎。 正規表現的にはバラしてたのと同じハズなんだが。なぜだ?(悩 >>94 有効そうではあるけど、1のocn、2のinfo、.bizあたりは、 誤爆(スパムじゃないものまで破棄)しそうな気が。大丈夫ですかねぇ? やっとDeteがDateに直ったかw と思ったがそうでもないのか。その程度書けろよ…。 >>96 人生いろいろ、綴りもいろいろ、気にするな。 …ハゲるぞ? べっきー使いさんには悪いけどBeckyをフィルタリングワードにしている 一時はスパマ御用達か?というほどBeckyを使ったスパムが多くてね フィルタリング結果ログを見ても重要なメールは含まれていないので 弊害はなさそう >>98 んー、フィルタリング語句の炙り出し用に手元に残してあった150通くらいの スパムでは、Becky!で引っかかるの無かったけども。 憑いた業者によるんだろうね。やっぱ。 プラグインにDM向きの機能装備したのでもあるんでしょうかね? メールのバラ撒きなんぞやろうとも思わないもんだから、 そういった用途に使いやすい機能を装備してるのかどうか、わからんのだけれども。 漏れの基本は、日本語spamに対してはIPアドレス範囲で隔離。 ただ、Becky!はIPアドレス範囲で振り分ける機能が無いので、IPアドレスを文字列として正規表現で指定。 英語spamについては、「英語でのメール送受信を一切しない」ならば対処は簡単。 「て」「に」「を」「は」といった助詞を「含まない」メールを排除。 漏れは英語でメールをやり取りしているから、使えない技だけど。 ....って、どっかに書いた希ガス。 read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる