フィルタリング語句を研究しよう
毎日毎日迷惑メールがうざい。
それじゃあ、
差出人のどれをフィルタリングしちゃおうとか
どこのプロバイダ経由だったらフィルタリングしちゃおう
等の話し合いをするスレッドです。 ・fromが自ドメインだけどIPが別物
うちはこれを除外することでかなり減りました
メールアドレス(@の前)が
“英文字列”+“三桁の数字”
なのを弾く、ってのは既出?
to,ccに、自分のメールアドレス以外で同じメールサーバーに属するメールアドレスが含まれる。
でも、このタイプは最近は見なくなった気もする。 [^A-Za-z]ppp[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
[^A-Za-z]dsl[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
[^A-Za-z]catv[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
[^A-Za-z]cust[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
正規表現だけど、こんなアドレスが「自プロバイダのメールサーバーが付けた」Recievedに含まれるもの。
>>73を参考にしたもので、PPPやCATVの店子らしきアドレスから相手のプロバイダの
メールサーバーを介さず直接こちらのプロバイダのメールサーバーに送られたメールを弾く。
今のところ誤爆するか判断できなくて自分では設定していないけど、
\d{1,3}[.-]\d{1,3}[.-]\d{1,3}[.-]\d{1,3}\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
もかなり有効な気がする。 >>105
↓このspammerは、それ(Ccに同一ドメインのアドレス列挙)もやっているよ。
jason006,joynerstar, warren2004
http://pc7.2ch.net/test/read.cgi/antispam/1145357542/ 件名のフィルタリング語句です。
こんなんでどうでしょうか?
逆援銀行得得支店
開いててよかった
涼子
\靉ヌ
逆援
【緊急】男性
ヌ、濕
本日より無料とさせて頂きます
隱ニ、
入金お断りしますか?
イqヘヌ
副収入
ナキゥH
秘密にして
タレント
タレント予備軍
普通の方
エッチ
任宮
イエ
NEWオープン
初エッチ体験集
耋H
携帯番号交換して下さい
RE[1]: hello ..
粂H
ワオス
隱ニ
肓記
苑
X記
直メ
どうしても逢いたい
ラブセンター
大人ニュース
やっと手に入れましたので、至急ご確認下さい。
Rolex
女子高生全見せ
女子高生
Amazing
メール見たよ♪
Amazing,
口コミの凄さ!
遊び友達募集します♪
女性新規投稿
あっそっぼ
(≧▽≦)
VIP令嬢会員
任宮粂H
ヌ、オワキゥH
ヌ、濕
素人出張ホスト
┃素┃┃人┃┃出┃┃張┃
┃完┃┃全┃┃無┃┃料┃
┃お試しOK┃
完全無料登録OK
rolexやamazingとかは俺も使っているけれど、
件名のようなスパマーがどんどん変更する部分でフィルタリングするのは
すぐに効果が薄れてストレスがたまると思うぞ。 「Received: from unknown」でフィルタしたら必要なのまでフィルタリングされて酷い目にあったことがある
これを少し変えて「Received: from unknown [ 」にしたらだいぶ良くなったけど s0ft
0EM(0はオーでなくてゼロ)
あと正規表現だけど
[Vv].{0,3}[Iitl1\/].{0,3}[Aa@].{0,3}[Gg].{0,3}[Rr].{0,3}[Aa@]
でVIAGRA系弾ける >>111
Vを\/(英語で\はバックスラッシュ)
aを&で書いてくる業者もいるな。 そうだったのか!>\/、&
さっぱり訳ワカメでなんじゃこりゃ?だったよ
メール本文に
jason006
があったらゴミ箱行き。 ([222.171.
がヘッダーにあったらゴミ箱。
>>114
Yahooメールだと、本文に書いてあっても振り分けられないときがある。どゆこと? 正規表現で、Toに[A-Z][a-z]+\s[A-Z][a-z]+"\s<を含む。
Toに適当な名前を入れてくる海外スパムを弾く。
もちろん、この正規表現が自分のHNにマッチしないことが条件。 love-woman889889_gogo-server114_freesystem01_freefree-lovelove.tv ヘッダで弾く文字列候補
X-IP:
X-Message-Info:
Content-Transfer-Encoding: base64 とりあえず sns naviはサーバーで着信拒否にした。 >>118
そうそう、私もYahooで本文に「jason006」や「fourtykidf.com」を指定してるのに
すり抜けてきちゃう。
自分でテストで「jason006」って書いて送ると、ちゃんとフィルタリングされて届かないのに、
ヤツラのメールが届くのはなぜ?? >125
つ[Content-Transfer-Encoding: base64]
ありがトン!
じゃ、これって諦めるしかないの?くやしい…。
Yahooに問い合わせたけど、トンチンカンな答しか返ってこなかった…。 jason006は死んだしfourtykidfも時間の問題 >127
Yahoo! Mailに
「base64 encoding使っているspammerが居るから、
本文がbase64 encodeされていたらdecodeしてから
キーワードチェック(?)してくれ」
と頼めば。対応してくれるかどうかはYahoo!次第だが。
もし駄目ならpopで読めるようにするか、他のアドレスに転送して
そこの機能で頑張るとか。自鯖に飛ばせばなんでもやりたい放題。
>>127 >>129
Yahoo! JAPANは、spam本文中のYahoo!メールアドレスはちゃんと対応してくれるぞ。
でも通報前に、本当に実在するYahoo! JAPANメールアドレスか確認してね。
http://profiles.yahoo.co.jp/< Yahoo! JAPAN ID >
通報先
mail-abuse@mail.yahoo.co.jp
以下Yahoo! JAPANメールカスタマーサービスセンターからの回答
--------------------------------------------------------------------
Yahoo!メールカスタマーサービスです。
ご連絡いただいた4件の迷惑メールについて回答いたします。
お知らせくださいました「@yahoo.co.jp」につきましては、
利用規約とYahoo!メールガイドラインに照らし、早急に調査いたします。
◇利用規約
http://www.yahoo.co.jp/docs/info/terms/index.html
◇Yahoo!メールガイドライン
http://www.yahoo.co.jp/docs/info/guidelines/mail.html
なお、調査結果など個別の回答には応じかねますので、何卒ご了承
くださいますようお願い申し上げます。
また何かお気づきの点がありましたらお知らせくださいますと幸いです。
このたびは情報をお寄せくださり誠にありがとうございました。
これからもYahoo! JAPANをよろしくお願いいたします。
***********************************
Yahoo!メールカスタマーサービス[1052]
Yahoo!メールヘルプページ
http://help.yahoo.co.jp/help/jp/mail
Yahoo!メール - 迷惑メール対策
http://antispam.yahoo.co.jp/index.html
***********************************
<以下省略>
>>129
再度ありがトン!!
一応Yahooに要望だしてみます…。
受信したくないからフィルターかけてるのに、
それをかいくぐって無理やり受信させて、効果あるんでしょうかねぇ…?
125に書いた以外のは、ほとんどフィルターにかかってゴミ箱直行だけど、
ゴミ箱見るとアダルト系の迷惑メールが最近1日100通近い。
そろそろメアド変え時なのかもしれませぬ…。
(負けたみたいでチトくやしい!) Yahooに問い合わせしてみました。
問い合わせに「fourtykidf」って書いたもんで、せっかくのカスタマーからの返信が、
NGワードに引っ掛かってゴミ箱に入っててびっくりしますた…。
前に問い合わせたときは、私自身がよくわかってなくて質問したので
トンチンカンな答しか返ってこなかったんだけど、
今回は「base64 encoding使っているスパムが、フィルターすりぬけて来る」って、
具体的に申告出来たので、なんか好感触のお返事が来てます。
「調査にしばらく時間がかかるので、しばらくお待ち下さい」ってことなので
またお返事が来たら報告します! sonpeterson.com
が本文中にあったらゴミ箱行き。 sodersttroms.com
が本文中にあったらゴミ箱行き。 真の発信元とか本文中に記載されたURLの逆引きが出来ればね。
厨国(cn)発を全て遮断すれば、たぶん9割以上弾ける。
特にcnc-noc.netが悪質。 漏れはぷららのユーザー
【無条件で透過】
信頼できる人のアドレス(ドメイン含む)
自分の本名やハンドルネーム(カタカナとひらがな)が件名に含まれるもの
【件名に以下の語句が含まれる場合シャットアウト(プロバイダのサービス)】
セフレ 完全無料 人妻 出会い系 モロ出し
あなたはいくらですか 援助交際 援交 逆援 即アポ …など
【差出人アドレスに以下の語句が含まれる場合シャットアウト(同上)】
「.ocn.jp」、「.ocn.co.jp」、「.yaho.co.jp」、「.yapoo.co.jp」
「.1ivedoor.co.jp」など(実在のドメインの改造)
【シャットアウトのための他の条件】
差出人アドレスに「@」が含まれない(なぜか差し出し人アドレスがないメールが来る。)
差出人アドレスに「.jp」「.com」「.net」「.org」「.to」が含まれない
差出人アドレスが漏れのメールアドレスと同じもの
しかし、プロバイダのサービスには、本文を調べてシャットアウトする
ものがないため、Microsoft Outlookの機能も併用している。
【件名または本文に以下の語句がある場合、完全に削除し復元できなくする】
セフレ 完全無料 人妻 出会い系 モロ出し
援助交際 援交 逆援 即アポ …など
結構高い精度で弾けるようになったんだけど
題名が文字化けした奴だけはしつこく来るなあ・・・
どうにかならん? 題名文字化けって、もしかすると慶征管理系かも。
コイツらだと直接レジストラに対してアクション起こして
ドメイン自体を潰すほうが早いかも。
>jason006スレ参照 Outlook Expressのメッセージルールの内容って外部へ書き出しできないのかね? ヘッダのDateは、日本国内なら+0900(JST)になるんだよな
だったら+0800 (PHT)とかは弾いて平気かな。 迷惑メールのヘッダテから契約先の住所を特定することできないかな? >>145
おれ0900をDateに含まないメールは全部はじいてる。
Dateフィールドの無いメールは通常送られてくることなんてまず無いし
外国に知り合いなんかいないし。
0800は中国だね。ここはじけばスパムの大半ははじけるんじゃないかな。 そしてspammerの時計は、対象国の時刻に合わされるようになった...という
オチなんじゃあるまいか。まぁ気が付きにくいとは思うけどね。 >>147
ありがとう。安心したよ
今日だけで-0300 -0400 -0700のスパムが着弾してるので
+0900以外は弾くことにするよ。
俺も外国に知り合いはいないので。
>>148
イタチごっこもそこまでいくともうw >>105の系統がいっぱい来てた。
全て自動削除されたので出所不明だけど、自分のメアドもばらまかれるのが腹立つ。 >>149
Amazon.co.jpからのメールは-0700で来るので、利用してるなら要注意よ。 海外を弾くのなら
charset="iso-2022-jp
が無いメールで弾けばいいんじゃねーの?
こんな感じで登録してる。
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?EUC-KR
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?GB2312
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift-jis
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?iso-8859
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift_jis
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?us-ascii
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?windows-125[0-9]
X-MailerがAOLでWindows USなら間違いなくスパム
良いフィルタリング語句が無いか検討する時に各メールのヘッダ情報を見るのですが、
メール1通ずつ開いて確認しています。
複数のメールのヘッダ情報を一覧形式で見る事ができるツールってないんでしょうか?
google等で検索しましたが、見つけられませんでした。
こういったツールがあれば、X-MailerがAOLのものが多いな、とかフィルタリング語句が
見つけやすいのですが。また、フィルタリング語句を設定して正常なメールが届かなくならないかの
チェックもしやすいし。
誰かご存知でしたら教えてくださいm(__)m >>154
mbox形式にエクスポートしてメモ帳ででも見れば?
というか、そういうのは普遍的な需要も無いからツールもないと思うけど。
漏れは自分で使う分はCGI組んで使ってる。 バイアグラの隠語って日々増えてるのか?
最近海外からのSPAM多すぎだが、フィルタリングしにくくて困る。 >>156
どっかのブログか記事で、当て字を数えたら1000以上あったって書いてあった。
最近は掲示板もメールも海外勢がメチャクチャにしてるんだが、どうなってるんだいったい。 ホムペでメアド晒していて海外からのメールもありえなくないので、
ISO-2022-JPじゃない、時刻が+0900じゃないのような強力なフィルタは使いにくいんだけど、
こちらからメールを出す事はないので、上記の条件+Re:で始まっていたら弾いてる。 それいいね。
あいつらは“Re:”を付けてあたかもこちらからアクションを起こしたかの
ように思わせて読ませようとするから。
その「Re:」のあとの文字列もまた意味不明なんだ。
送ってねーよそんなメール、みたいな SPAMであったら嫌なRe:
Re:債権回収のお知らせ
Re:ごめんなさい
実際、英語スパムのRe:ってこれくらい意味不明だよな。 perorinko.com
が本文中にあったらゴミ箱行き。 おひさしぶりです
こんにちは
はじめまして
お時間ありますか
という単純タイトルは全てNGワード行き
>>168
>> おひさしぶりです
>> こんにちは
は、たまにあるんだよねorz
(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\.\S+\s\[\1\.\3\.\5\.\7\]\)\s+by\s+プロバイダのPOPサーバー
正規表現でRecievedがこれにマッチするもの。
(www-xxx-yyy-zzz.hoge.provider.com [www.xxx.yyy.zzz])のようなアドレスから
プロバイダのsmtpサーバーを介さずに送られてくるのはほぼ(おそらくゾンビ経由の)スパム。
(www-xxx-yyy-zzz.hoge.provider.com [zzz.yyy.xxxwww])になっている事もある。
正規表現の「プロバイダのPOPサーバー」は、自分のプロバイダのサーバーね。 ikeikegogo.net
が本文中にあったらゴミ箱行き。 記載されたドメインのレジストラを調べて
悪質系(フリビとかGMOとか)だったらリジェクトするような
そんなフィルタツールが欲しい。 とりあえず漏れは、
本文:http://[a-z][a-z][a-z][a-z].com
でyahooからの攻撃はほとんど回避できた。
危険だけど
date:X+0900
と合わせて9割以上フィルタリング出来たよ。。 seq-r.com
fdf-u.com
が本文中にあったらゴミ箱行き。 http://fox99
が本文中にあったらゴミ箱行き。 Dateに以下のいづれかがあったらゴミ箱ぽい。+0900以外ゴミ箱より甘いが誤爆歴0
0060
0120
0180
0240
0360
0420
0480
0540
0660
0720
厳密に言うとPerl正規表現で
(?:(Mon|Tue|Wed|Thu|Fri|Sat|Sun), )?(0?[1-9]|[12]\d|3[01]) (Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec) (\d{4}|\d{2}) ([01]?\d|2[0-3]):([0-5]?\d)(?::([0-5]?\d))? (UT|GMT|[ECMP][SD]T|[ZAMNY]|[+-][01]\d(?:00|15|30|45))
に引っかからないのを問答無用に捨てているだけ
#ついでにいうと日付があまりに未来になっているのもゴミ箱ぽい。 NGワードファイル(txt)作って振り分けしてる
1日50通位来るけど9割以上は弾けてる。
ワード数はもう300間近w >179
それくらい常識.
漏れの所は半年前に1200を越した.
今は正規表現のお化けになっているので、いくつあるのか数えられない :-)
ヤフーBBだけど、ここのメールでは自動的にスパム判定されて
x-bulk なんちゃらってヘッダがつくので、それをフィルタで弾くだけ。
超らくちんにスパム防止できるんだお。 >>181
X-YahooFilteredBulk: 220.176.25.116
ってのがそれか?
なにげにそういうの導入してるプロバイダはある。
でも、フィルタリングの責任とかめんどくさいからアナウンスしないんだよな。 .mankome.com
www.elog.name
o-oooo-o.com
が本文中にあったらゴミ箱行き。 info@19
19.info
がFromヘッダにあったらゴミ箱 >185
19*.info とか *19.info というスパムのFQDNは確かに多い。
現状は一応個別にルール書いているが、面倒なのでこのパターン
全てを禁止しようか考え中.
.info, .biz, .cxなどのTLDはスパム以外で見たことがないので、
こいつら全て禁止にしてやろうかと思うぐらいだ.
>>187
同じく。
"info, .biz, .cx"はSPAM以外には有り得ないので全て拒絶。
いっそのこと.jpと.com以外は拒否しようかと思う。
また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。
>199
> また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。
それは漏れの所でもやっている。一応堅気の金融・保険系でそれ
に引っかかるドメイン使っているアホ企業があったと思うが、
掲示板には不要なのでそのまんま。メールフィルタにも流用して
いるので、そこの広告が入ったメールが引っかかってしまうという
副作用はある。
>190
昨晩から”check this”に変わったw
wrote→hi it→eqse→fwd:→it's me→check this
こんな感じで一日おきに変えてきやがる。 ついに半角英数字/記号だけの題名は全てリジェクト
でも全然不便は無い >>190-191
ナカーマ!
以前は英文spamは1日平均20通くらい受け取っていたが、
最近は70通くらいになってる。
純増分はすべてこいつ。
今はGreetingsシリーズか。
日本時間昨晩10時より、adviceシリーズスタートです。
なんかもう、必死w Receivedに
\(\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
があったら拒否
これって誤爆率高いかな?
スパムでしか見たことないけど。
あともうちょいスマートな書き方があったら教えて。 ごめん、上にあったね…
([
これだけでいいのか。 >>195
Good Morningシリーズになったね 「To: が自分のアドレスではない and 自分のドメインを含む」で、
Good Morning も advice も SPAM 候補フォルダに。 「To: が自分のアドレスではない」だけじゃ駄目? >>200
良い疑問。
「退職のお知らせ」みたいに大抵 BCC で来る重要なのを
なるべく殺さないように。