X
フィルタリング語句を研究しよう
0001spamcop.net love ◆pxPJuh/Nps 垢版2005/04/15(金) 00:14:27ID:6Pr6V/gE
毎日毎日迷惑メールがうざい。
それじゃあ、
差出人のどれをフィルタリングしちゃおうとか
どこのプロバイダ経由だったらフィルタリングしちゃおう
等の話し合いをするスレッドです。
0116名無しさん@お腹いっぱい。垢版2006/05/01(月) 21:38:54ID:I2P73CMB0
deaiとかは?
0118名無しさん@お腹いっぱい。垢版2006/05/03(水) 00:07:44ID:3YEo8R2O0
>>114
Yahooメールだと、本文に書いてあっても振り分けられないときがある。どゆこと?
0119名無しさん@お腹いっぱい。垢版2006/05/03(水) 13:25:27ID:3j6gjBx90
正規表現で、Toに[A-Z][a-z]+\s[A-Z][a-z]+"\s<を含む。

Toに適当な名前を入れてくる海外スパムを弾く。
もちろん、この正規表現が自分のHNにマッチしないことが条件。
0125名無しさん@お腹いっぱい。垢版2006/05/15(月) 21:13:32ID:SRSBrAu20
>>118
そうそう、私もYahooで本文に「jason006」や「fourtykidf.com」を指定してるのに
すり抜けてきちゃう。
自分でテストで「jason006」って書いて送ると、ちゃんとフィルタリングされて届かないのに、
ヤツラのメールが届くのはなぜ??
0127名無しさん@お腹いっぱい。垢版2006/05/16(火) 12:32:41ID:4VzNMX+V0
ありがトン!
じゃ、これって諦めるしかないの?くやしい…。
Yahooに問い合わせたけど、トンチンカンな答しか返ってこなかった…。
0129名無しさん@お腹いっぱい。垢版2006/05/16(火) 14:38:19ID:KNhSwRcA0
>127
Yahoo! Mailに
 「base64 encoding使っているspammerが居るから、
  本文がbase64 encodeされていたらdecodeしてから
  キーワードチェック(?)してくれ」
と頼めば。対応してくれるかどうかはYahoo!次第だが。

もし駄目ならpopで読めるようにするか、他のアドレスに転送して
そこの機能で頑張るとか。自鯖に飛ばせばなんでもやりたい放題。
0130名無しさん@お腹いっぱい。垢版2006/05/16(火) 15:03:06ID:Ac8uduah0
>>127 >>129
Yahoo! JAPANは、spam本文中のYahoo!メールアドレスはちゃんと対応してくれるぞ。
でも通報前に、本当に実在するYahoo! JAPANメールアドレスか確認してね。

http://profiles.yahoo.co.jp/<; Yahoo! JAPAN ID >

通報先
mail-abuse@mail.yahoo.co.jp

以下Yahoo! JAPANメールカスタマーサービスセンターからの回答
--------------------------------------------------------------------
Yahoo!メールカスタマーサービスです。

ご連絡いただいた4件の迷惑メールについて回答いたします。

お知らせくださいました「@yahoo.co.jp」につきましては、
利用規約とYahoo!メールガイドラインに照らし、早急に調査いたします。

◇利用規約
http://www.yahoo.co.jp/docs/info/terms/index.html

◇Yahoo!メールガイドライン
http://www.yahoo.co.jp/docs/info/guidelines/mail.html

なお、調査結果など個別の回答には応じかねますので、何卒ご了承
くださいますようお願い申し上げます。

また何かお気づきの点がありましたらお知らせくださいますと幸いです。
このたびは情報をお寄せくださり誠にありがとうございました。

これからもYahoo! JAPANをよろしくお願いいたします。

***********************************
Yahoo!メールカスタマーサービス[1052]
Yahoo!メールヘルプページ
http://help.yahoo.co.jp/help/jp/mail
Yahoo!メール - 迷惑メール対策
http://antispam.yahoo.co.jp/index.html
***********************************

<以下省略>
0131名無しさん@お腹いっぱい。垢版2006/05/16(火) 15:14:01ID:4VzNMX+V0
>>129
再度ありがトン!!
一応Yahooに要望だしてみます…。

受信したくないからフィルターかけてるのに、
それをかいくぐって無理やり受信させて、効果あるんでしょうかねぇ…?
125に書いた以外のは、ほとんどフィルターにかかってゴミ箱直行だけど、
ゴミ箱見るとアダルト系の迷惑メールが最近1日100通近い。
そろそろメアド変え時なのかもしれませぬ…。
(負けたみたいでチトくやしい!)
0132125垢版2006/05/17(水) 13:16:03ID:Sobtpp2r0
Yahooに問い合わせしてみました。
問い合わせに「fourtykidf」って書いたもんで、せっかくのカスタマーからの返信が、
NGワードに引っ掛かってゴミ箱に入っててびっくりしますた…。
前に問い合わせたときは、私自身がよくわかってなくて質問したので
トンチンカンな答しか返ってこなかったんだけど、
今回は「base64 encoding使っているスパムが、フィルターすりぬけて来る」って、
具体的に申告出来たので、なんか好感触のお返事が来てます。
「調査にしばらく時間がかかるので、しばらくお待ち下さい」ってことなので
またお返事が来たら報告します!
0136名無しさん@お腹いっぱい。垢版2006/05/23(火) 09:09:40ID:x7qfPD220
真の発信元とか本文中に記載されたURLの逆引きが出来ればね。
厨国(cn)発を全て遮断すれば、たぶん9割以上弾ける。
特にcnc-noc.netが悪質。
0138名無しさん@お腹いっぱい。垢版2006/05/25(木) 15:44:46ID:u0JLCFcq0
漏れはぷららのユーザー

【無条件で透過】
信頼できる人のアドレス(ドメイン含む)
自分の本名やハンドルネーム(カタカナとひらがな)が件名に含まれるもの

【件名に以下の語句が含まれる場合シャットアウト(プロバイダのサービス)】
セフレ 完全無料 人妻 出会い系 モロ出し
あなたはいくらですか 援助交際 援交 逆援 即アポ …など

【差出人アドレスに以下の語句が含まれる場合シャットアウト(同上)】
「.ocn.jp」、「.ocn.co.jp」、「.yaho.co.jp」、「.yapoo.co.jp」
「.1ivedoor.co.jp」など(実在のドメインの改造)

【シャットアウトのための他の条件】
差出人アドレスに「@」が含まれない(なぜか差し出し人アドレスがないメールが来る。)
差出人アドレスに「.jp」「.com」「.net」「.org」「.to」が含まれない
差出人アドレスが漏れのメールアドレスと同じもの

しかし、プロバイダのサービスには、本文を調べてシャットアウトする
ものがないため、Microsoft Outlookの機能も併用している。
【件名または本文に以下の語句がある場合、完全に削除し復元できなくする】
セフレ 完全無料 人妻 出会い系 モロ出し
援助交際 援交 逆援 即アポ …など
0140名無しさん@お腹いっぱい。垢版2006/05/25(木) 16:55:04ID:XVT8/EIN0
結構高い精度で弾けるようになったんだけど
題名が文字化けした奴だけはしつこく来るなあ・・・
どうにかならん?
0141名無しさん@お腹いっぱい。垢版2006/05/25(木) 18:24:44ID:yGo0VtNx0
題名文字化けって、もしかすると慶征管理系かも。
コイツらだと直接レジストラに対してアクション起こして
ドメイン自体を潰すほうが早いかも。
>jason006スレ参照
0145名無しさん@お腹いっぱい。垢版2006/06/05(月) 13:25:36ID:cVYzBbWs0
ヘッダのDateは、日本国内なら+0900(JST)になるんだよな
だったら+0800 (PHT)とかは弾いて平気かな。
0146siki垢版2006/06/05(月) 13:33:35ID:YDe4W0Iq0
迷惑メールのヘッダテから契約先の住所を特定することできないかな?
0147名無しさん@お腹いっぱい。垢版2006/06/05(月) 15:13:52ID:bMfYJDjZ0
>>145
おれ0900をDateに含まないメールは全部はじいてる。
Dateフィールドの無いメールは通常送られてくることなんてまず無いし
外国に知り合いなんかいないし。
0800は中国だね。ここはじけばスパムの大半ははじけるんじゃないかな。
0148名無しさん@お腹いっぱい。垢版2006/06/05(月) 15:44:06ID:7+Gg0znh0
そしてspammerの時計は、対象国の時刻に合わされるようになった...という
オチなんじゃあるまいか。まぁ気が付きにくいとは思うけどね。
0149名無しさん@お腹いっぱい。垢版2006/06/05(月) 19:25:30ID:cVYzBbWs0
>>147
ありがとう。安心したよ
今日だけで-0300 -0400 -0700のスパムが着弾してるので
+0900以外は弾くことにするよ。
俺も外国に知り合いはいないので。

>>148
イタチごっこもそこまでいくともうw
0152名無しさん@お腹いっぱい。垢版2006/06/15(木) 12:08:35ID:TasZ+F400
海外を弾くのなら
charset="iso-2022-jp
が無いメールで弾けばいいんじゃねーの?


こんな感じで登録してる。

Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?EUC-KR
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?GB2312
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift-jis

Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?iso-8859
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift_jis
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?us-ascii
Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?windows-125[0-9]
0154名無しさん@お腹いっぱい。垢版2006/07/17(月) 17:22:26ID:+GmRygoe0
良いフィルタリング語句が無いか検討する時に各メールのヘッダ情報を見るのですが、
メール1通ずつ開いて確認しています。
複数のメールのヘッダ情報を一覧形式で見る事ができるツールってないんでしょうか?
google等で検索しましたが、見つけられませんでした。

こういったツールがあれば、X-MailerがAOLのものが多いな、とかフィルタリング語句が
見つけやすいのですが。また、フィルタリング語句を設定して正常なメールが届かなくならないかの
チェックもしやすいし。

誰かご存知でしたら教えてくださいm(__)m
0155名無しさん@お腹いっぱい。垢版2006/07/20(木) 21:09:31ID:uS2Q0HAe0
>>154
mbox形式にエクスポートしてメモ帳ででも見れば?

というか、そういうのは普遍的な需要も無いからツールもないと思うけど。
漏れは自分で使う分はCGI組んで使ってる。
0156名無しさん@お腹いっぱい。垢版2006/07/24(月) 09:52:11ID:UlbcOEff0
バイアグラの隠語って日々増えてるのか?
最近海外からのSPAM多すぎだが、フィルタリングしにくくて困る。
0157名無しさん@お腹いっぱい。垢版2006/07/25(火) 19:05:34ID:gfW8S5Mm0
>>156
どっかのブログか記事で、当て字を数えたら1000以上あったって書いてあった。
最近は掲示板もメールも海外勢がメチャクチャにしてるんだが、どうなってるんだいったい。
0159名無しさん@お腹いっぱい。垢版2006/07/26(水) 15:23:12ID:LPSLQok80
ホムペでメアド晒していて海外からのメールもありえなくないので、
ISO-2022-JPじゃない、時刻が+0900じゃないのような強力なフィルタは使いにくいんだけど、
こちらからメールを出す事はないので、上記の条件+Re:で始まっていたら弾いてる。
0160名無しさん@お腹いっぱい。垢版2006/07/28(金) 11:18:03ID:vKubnA9K0
それいいね。
あいつらは“Re:”を付けてあたかもこちらからアクションを起こしたかの
ように思わせて読ませようとするから。
0162名無しさん@お腹いっぱい。垢版2006/07/28(金) 18:51:36ID:ifwt7O6s0
SPAMであったら嫌なRe:

Re:債権回収のお知らせ
Re:ごめんなさい

実際、英語スパムのRe:ってこれくらい意味不明だよな。
0163名無しさん@お腹いっぱい。垢版2006/09/05(火) 15:45:46ID:09Yys7U20
Subject: 9杉5析
0164名無しさん@お腹いっぱい。垢版2006/09/24(日) 22:26:39ID:C63xghzW0
perorinko.com
が本文中にあったらゴミ箱行き。
0165名無しさん@お腹いっぱい。垢版2006/09/26(火) 23:09:05ID:KbJtZaLO0
中秋節
0168名無しさん@お腹いっぱい。垢版2006/09/28(木) 08:40:54ID:b32vceN60
おひさしぶりです
こんにちは
はじめまして
お時間ありますか

という単純タイトルは全てNGワード行き
0170名無しさん@お腹いっぱい。垢版2006/10/03(火) 09:51:24ID:96B3nRNF0
(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\.\S+\s\[\1\.\3\.\5\.\7\]\)\s+by\s+プロバイダのPOPサーバー

正規表現でRecievedがこれにマッチするもの。

(www-xxx-yyy-zzz.hoge.provider.com [www.xxx.yyy.zzz])のようなアドレスから
プロバイダのsmtpサーバーを介さずに送られてくるのはほぼ(おそらくゾンビ経由の)スパム。
(www-xxx-yyy-zzz.hoge.provider.com [zzz.yyy.xxxwww])になっている事もある。
0172名無しさん@お腹いっぱい。垢版2006/10/12(木) 02:28:26ID:EwbDsOu60
ikeikegogo.net
が本文中にあったらゴミ箱行き。
0173名無しさん@お腹いっぱい。垢版2006/10/12(木) 08:04:48ID:w/H8WnlO0
記載されたドメインのレジストラを調べて
悪質系(フリビとかGMOとか)だったらリジェクトするような
そんなフィルタツールが欲しい。
0174名無しさん@お腹いっぱい。垢版2006/10/14(土) 02:13:51ID:cHuilBmG0
とりあえず漏れは、
本文:http://[a-z][a-z][a-z][a-z].com
でyahooからの攻撃はほとんど回避できた。
危険だけど
date:X+0900
と合わせて9割以上フィルタリング出来たよ。。
0175名無しさん@お腹いっぱい。垢版2006/10/16(月) 23:08:04ID:M005WEaU0
seq-r.com
fdf-u.com
が本文中にあったらゴミ箱行き。
0178名無しさん@お腹いっぱい。垢版2006/10/22(日) 11:50:58ID:MXuPbX7o0
Dateに以下のいづれかがあったらゴミ箱ぽい。+0900以外ゴミ箱より甘いが誤爆歴0
0060
0120
0180
0240
0360
0420
0480
0540
0660
0720

厳密に言うとPerl正規表現で
(?:(Mon|Tue|Wed|Thu|Fri|Sat|Sun), )?(0?[1-9]|[12]\d|3[01]) (Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec) (\d{4}|\d{2}) ([01]?\d|2[0-3]):([0-5]?\d)(?::([0-5]?\d))? (UT|GMT|[ECMP][SD]T|[ZAMNY]|[+-][01]\d(?:00|15|30|45))
に引っかからないのを問答無用に捨てているだけ
#ついでにいうと日付があまりに未来になっているのもゴミ箱ぽい。
0179名無しさん@お腹いっぱい。垢版2006/10/22(日) 11:54:11ID:L6uEe4n30
NGワードファイル(txt)作って振り分けしてる
1日50通位来るけど9割以上は弾けてる。
ワード数はもう300間近w
0180名無しさん@お腹いっぱい。垢版2006/10/24(火) 13:47:00ID:VYUHDS8t0
>179
それくらい常識.
漏れの所は半年前に1200を越した.

今は正規表現のお化けになっているので、いくつあるのか数えられない :-)
0181名無しさん@お腹いっぱい。垢版2006/10/26(木) 13:16:07ID:f+jwHGLj0
ヤフーBBだけど、ここのメールでは自動的にスパム判定されて
x-bulk なんちゃらってヘッダがつくので、それをフィルタで弾くだけ。
超らくちんにスパム防止できるんだお。
0183名無しさん@お腹いっぱい。垢版2006/10/27(金) 23:55:36ID:DxQJ4BkO0
なにげにそういうの導入してるプロバイダはある。
でも、フィルタリングの責任とかめんどくさいからアナウンスしないんだよな。
0184名無しさん@お腹いっぱい。垢版2006/10/28(土) 19:12:23ID:w5okFgn+0
.mankome.com
www.elog.name
o-oooo-o.com

が本文中にあったらゴミ箱行き。
0186名無しさん@お腹いっぱい。垢版2006/11/30(木) 03:36:58ID:oZgiycgs0
ゴミ箱
0187名無しさん@お腹いっぱい。垢版2006/12/01(金) 17:09:21ID:Y2rLxOku0
>185
19*.info とか *19.info というスパムのFQDNは確かに多い。
現状は一応個別にルール書いているが、面倒なのでこのパターン
全てを禁止しようか考え中.

.info, .biz, .cxなどのTLDはスパム以外で見たことがないので、
こいつら全て禁止にしてやろうかと思うぐらいだ.
0188名無しさん@お腹いっぱい。垢版2006/12/01(金) 18:18:51ID:FW7TF6h30
>>187
同じく。
"info, .biz, .cx"はSPAM以外には有り得ないので全て拒絶。
いっそのこと.jpと.com以外は拒否しようかと思う。
また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。
0189名無しさん@お腹いっぱい。垢版2006/12/02(土) 03:39:05ID:l6Gp2Z1h0
>199
> また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。

それは漏れの所でもやっている。一応堅気の金融・保険系でそれ
に引っかかるドメイン使っているアホ企業があったと思うが、
掲示板には不要なのでそのまんま。メールフィルタにも流用して
いるので、そこの広告が入ったメールが引っかかってしまうという
副作用はある。
0191名無しさん@お腹いっぱい。垢版2006/12/07(木) 09:49:19ID:Fs9Hkxv50
>190
昨晩から”check this”に変わったw
wrote→hi it→eqse→fwd:→it's me→check this
こんな感じで一日おきに変えてきやがる。
0193名無しさん@お腹いっぱい。垢版2006/12/09(土) 08:00:10ID:dgdID+Mg0
>>190-191
ナカーマ!

以前は英文spamは1日平均20通くらい受け取っていたが、
最近は70通くらいになってる。
純増分はすべてこいつ。

今はGreetingsシリーズか。
0195193垢版2006/12/10(日) 10:06:06ID:loLQlqu20
日本時間昨晩10時より、adviceシリーズスタートです。

なんかもう、必死w
0196名無しさん@お腹いっぱい。垢版2006/12/10(日) 19:19:42ID:r7yOkrBR0
Receivedに
\(\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)
があったら拒否

これって誤爆率高いかな?
スパムでしか見たことないけど。
あともうちょいスマートな書き方があったら教えて。
0197196垢版2006/12/10(日) 19:39:08ID:r7yOkrBR0
ごめん、上にあったね…
([
これだけでいいのか。
0199名無しさん@お腹いっぱい。垢版2006/12/12(火) 18:20:32ID:ksgvdSHY0
「To: が自分のアドレスではない and 自分のドメインを含む」で、
Good Morning も advice も SPAM 候補フォルダに。
0206名無しさん@お腹いっぱい。垢版2006/12/14(木) 17:20:51ID:LU8vNM6W0
日本時間本日午前10時より、FINANCIAL REPORT攻撃へ移行した模様。
0208名無しさん@お腹いっぱい。垢版2006/12/15(金) 10:11:13ID:AZB3+aG40
ちなみにアレはボット送信なので、Recievedを見るOB25B的なフィルタを使えば
ほとんど突破できない。>>106から発展させていった結果がこれ。

([
[^A-Za-z]ppp[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]a?dsl[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]catv[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]cust[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]user[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+(自分のとこのメールサーバー
[^A-Za-z]ftth[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]ap[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]flets[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー
[^A-Za-z]pools?[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー

(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\S+\s\[\1\.\3\.\5\.\7\]\)\s+by\s+自分のとこのメールサーバー
(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\S+\s\[\7\.\5\.\3\.\1\]\)\s+by\s+自分のとこのメールサーバー
(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)\S+\s\[\d{1,3}\.\5\.\3\.\1\]\)\s+by\s+自分のとこのメールサーバー
0209名無しさん@お腹いっぱい。垢版2006/12/15(金) 12:57:19ID:jaZ9x7Tr0
ここでゲットした正規表現、結構お世話になってるんだけど、
あまりややこしいやつだとspam mail killerが落ちる・・・
みなさんどんなフィルタリングソフト使ってんの?
0211208垢版2006/12/15(金) 20:57:58ID:a1uHRQlU0
>>209
俺は、自作で正規検索エンジンはWindowsScriptingHostの標準のやつ。
以前いろいろ試したけど、正規検索エンジンはこれが速くておかしな挙動もなかった。

SMKなら、BRegExpは時々挙動不審だった記憶があるのでdllを互換の鬼車版に
入れ替えてみたらどうだろう。鬼車エンジンは高機能で評判もいい。

bregonig.dll
ttp://homepage3.nifty.com/k-takata/mysoft/bregonig.html
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況