フィルタリング語句を研究しよう
毎日毎日迷惑メールがうざい。 それじゃあ、 差出人のどれをフィルタリングしちゃおうとか どこのプロバイダ経由だったらフィルタリングしちゃおう 等の話し合いをするスレッドです。 ([222.171. がヘッダーにあったらゴミ箱。 >>114 Yahooメールだと、本文に書いてあっても振り分けられないときがある。どゆこと? 正規表現で、Toに[A-Z][a-z]+\s[A-Z][a-z]+"\s<を含む。 Toに適当な名前を入れてくる海外スパムを弾く。 もちろん、この正規表現が自分のHNにマッチしないことが条件。 love-woman889889_gogo-server114_freesystem01_freefree-lovelove.tv ヘッダで弾く文字列候補 X-IP: X-Message-Info: Content-Transfer-Encoding: base64 とりあえず sns naviはサーバーで着信拒否にした。 >>118 そうそう、私もYahooで本文に「jason006」や「fourtykidf.com」を指定してるのに すり抜けてきちゃう。 自分でテストで「jason006」って書いて送ると、ちゃんとフィルタリングされて届かないのに、 ヤツラのメールが届くのはなぜ?? >125 つ[Content-Transfer-Encoding: base64] ありがトン! じゃ、これって諦めるしかないの?くやしい…。 Yahooに問い合わせたけど、トンチンカンな答しか返ってこなかった…。 jason006は死んだしfourtykidfも時間の問題 >127 Yahoo! Mailに 「base64 encoding使っているspammerが居るから、 本文がbase64 encodeされていたらdecodeしてから キーワードチェック(?)してくれ」 と頼めば。対応してくれるかどうかはYahoo!次第だが。 もし駄目ならpopで読めるようにするか、他のアドレスに転送して そこの機能で頑張るとか。自鯖に飛ばせばなんでもやりたい放題。 >>127 >>129 Yahoo! JAPANは、spam本文中のYahoo!メールアドレスはちゃんと対応してくれるぞ。 でも通報前に、本当に実在するYahoo! JAPANメールアドレスか確認してね。 http://profiles.yahoo.co.jp/< ; Yahoo! JAPAN ID > 通報先 mail-abuse@mail.yahoo.co.jp 以下Yahoo! JAPANメールカスタマーサービスセンターからの回答 -------------------------------------------------------------------- Yahoo!メールカスタマーサービスです。 ご連絡いただいた4件の迷惑メールについて回答いたします。 お知らせくださいました「@yahoo.co.jp」につきましては、 利用規約とYahoo!メールガイドラインに照らし、早急に調査いたします。 ◇利用規約 http://www.yahoo.co.jp/docs/info/terms/index.html ◇Yahoo!メールガイドライン http://www.yahoo.co.jp/docs/info/guidelines/mail.html なお、調査結果など個別の回答には応じかねますので、何卒ご了承 くださいますようお願い申し上げます。 また何かお気づきの点がありましたらお知らせくださいますと幸いです。 このたびは情報をお寄せくださり誠にありがとうございました。 これからもYahoo! JAPANをよろしくお願いいたします。 *********************************** Yahoo!メールカスタマーサービス[1052] Yahoo!メールヘルプページ http://help.yahoo.co.jp/help/jp/mail Yahoo!メール - 迷惑メール対策 http://antispam.yahoo.co.jp/index.html *********************************** <以下省略> >>129 再度ありがトン!! 一応Yahooに要望だしてみます…。 受信したくないからフィルターかけてるのに、 それをかいくぐって無理やり受信させて、効果あるんでしょうかねぇ…? 125に書いた以外のは、ほとんどフィルターにかかってゴミ箱直行だけど、 ゴミ箱見るとアダルト系の迷惑メールが最近1日100通近い。 そろそろメアド変え時なのかもしれませぬ…。 (負けたみたいでチトくやしい!) Yahooに問い合わせしてみました。 問い合わせに「fourtykidf」って書いたもんで、せっかくのカスタマーからの返信が、 NGワードに引っ掛かってゴミ箱に入っててびっくりしますた…。 前に問い合わせたときは、私自身がよくわかってなくて質問したので トンチンカンな答しか返ってこなかったんだけど、 今回は「base64 encoding使っているスパムが、フィルターすりぬけて来る」って、 具体的に申告出来たので、なんか好感触のお返事が来てます。 「調査にしばらく時間がかかるので、しばらくお待ち下さい」ってことなので またお返事が来たら報告します! sonpeterson.com が本文中にあったらゴミ箱行き。 sodersttroms.com が本文中にあったらゴミ箱行き。 真の発信元とか本文中に記載されたURLの逆引きが出来ればね。 厨国(cn)発を全て遮断すれば、たぶん9割以上弾ける。 特にcnc-noc.netが悪質。 漏れはぷららのユーザー 【無条件で透過】 信頼できる人のアドレス(ドメイン含む) 自分の本名やハンドルネーム(カタカナとひらがな)が件名に含まれるもの 【件名に以下の語句が含まれる場合シャットアウト(プロバイダのサービス)】 セフレ 完全無料 人妻 出会い系 モロ出し あなたはいくらですか 援助交際 援交 逆援 即アポ …など 【差出人アドレスに以下の語句が含まれる場合シャットアウト(同上)】 「.ocn.jp」、「.ocn.co.jp」、「.yaho.co.jp」、「.yapoo.co.jp」 「.1ivedoor.co.jp」など(実在のドメインの改造) 【シャットアウトのための他の条件】 差出人アドレスに「@」が含まれない(なぜか差し出し人アドレスがないメールが来る。) 差出人アドレスに「.jp」「.com」「.net」「.org」「.to」が含まれない 差出人アドレスが漏れのメールアドレスと同じもの しかし、プロバイダのサービスには、本文を調べてシャットアウトする ものがないため、Microsoft Outlookの機能も併用している。 【件名または本文に以下の語句がある場合、完全に削除し復元できなくする】 セフレ 完全無料 人妻 出会い系 モロ出し 援助交際 援交 逆援 即アポ …など 結構高い精度で弾けるようになったんだけど 題名が文字化けした奴だけはしつこく来るなあ・・・ どうにかならん? 題名文字化けって、もしかすると慶征管理系かも。 コイツらだと直接レジストラに対してアクション起こして ドメイン自体を潰すほうが早いかも。 >jason006スレ参照 Outlook Expressのメッセージルールの内容って外部へ書き出しできないのかね? ヘッダのDateは、日本国内なら+0900(JST)になるんだよな だったら+0800 (PHT)とかは弾いて平気かな。 迷惑メールのヘッダテから契約先の住所を特定することできないかな? >>145 おれ0900をDateに含まないメールは全部はじいてる。 Dateフィールドの無いメールは通常送られてくることなんてまず無いし 外国に知り合いなんかいないし。 0800は中国だね。ここはじけばスパムの大半ははじけるんじゃないかな。 そしてspammerの時計は、対象国の時刻に合わされるようになった...という オチなんじゃあるまいか。まぁ気が付きにくいとは思うけどね。 >>147 ありがとう。安心したよ 今日だけで-0300 -0400 -0700のスパムが着弾してるので +0900以外は弾くことにするよ。 俺も外国に知り合いはいないので。 >>148 イタチごっこもそこまでいくともうw >>105 の系統がいっぱい来てた。 全て自動削除されたので出所不明だけど、自分のメアドもばらまかれるのが腹立つ。 >>149 Amazon.co.jpからのメールは-0700で来るので、利用してるなら要注意よ。 海外を弾くのなら charset="iso-2022-jp が無いメールで弾けばいいんじゃねーの? こんな感じで登録してる。 Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?EUC-KR Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?GB2312 Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift-jis Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?iso-8859 Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?shift_jis Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?us-ascii Content-Type:[\s]*text\/.+?;[\s]*charset=[^a-zA-Z]?windows-125[0-9] X-MailerがAOLでWindows USなら間違いなくスパム 良いフィルタリング語句が無いか検討する時に各メールのヘッダ情報を見るのですが、 メール1通ずつ開いて確認しています。 複数のメールのヘッダ情報を一覧形式で見る事ができるツールってないんでしょうか? google等で検索しましたが、見つけられませんでした。 こういったツールがあれば、X-MailerがAOLのものが多いな、とかフィルタリング語句が 見つけやすいのですが。また、フィルタリング語句を設定して正常なメールが届かなくならないかの チェックもしやすいし。 誰かご存知でしたら教えてくださいm(__)m >>154 mbox形式にエクスポートしてメモ帳ででも見れば? というか、そういうのは普遍的な需要も無いからツールもないと思うけど。 漏れは自分で使う分はCGI組んで使ってる。 バイアグラの隠語って日々増えてるのか? 最近海外からのSPAM多すぎだが、フィルタリングしにくくて困る。 >>156 どっかのブログか記事で、当て字を数えたら1000以上あったって書いてあった。 最近は掲示板もメールも海外勢がメチャクチャにしてるんだが、どうなってるんだいったい。 ホムペでメアド晒していて海外からのメールもありえなくないので、 ISO-2022-JPじゃない、時刻が+0900じゃないのような強力なフィルタは使いにくいんだけど、 こちらからメールを出す事はないので、上記の条件+Re:で始まっていたら弾いてる。 それいいね。 あいつらは“Re:”を付けてあたかもこちらからアクションを起こしたかの ように思わせて読ませようとするから。 その「Re:」のあとの文字列もまた意味不明なんだ。 送ってねーよそんなメール、みたいな SPAMであったら嫌なRe: Re:債権回収のお知らせ Re:ごめんなさい 実際、英語スパムのRe:ってこれくらい意味不明だよな。 perorinko.com が本文中にあったらゴミ箱行き。 おひさしぶりです こんにちは はじめまして お時間ありますか という単純タイトルは全てNGワード行き >>168 >> おひさしぶりです >> こんにちは は、たまにあるんだよねorz (\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\.\S+\s\[\1\.\3\.\5\.\7\]\)\s+by\s+プロバイダのPOPサーバー 正規表現でRecievedがこれにマッチするもの。 (www-xxx-yyy-zzz.hoge.provider.com [www.xxx.yyy.zzz])のようなアドレスから プロバイダのsmtpサーバーを介さずに送られてくるのはほぼ(おそらくゾンビ経由の)スパム。 (www-xxx-yyy-zzz.hoge.provider.com [zzz.yyy.xxxwww])になっている事もある。 正規表現の「プロバイダのPOPサーバー」は、自分のプロバイダのサーバーね。 ikeikegogo.net が本文中にあったらゴミ箱行き。 記載されたドメインのレジストラを調べて 悪質系(フリビとかGMOとか)だったらリジェクトするような そんなフィルタツールが欲しい。 とりあえず漏れは、 本文:http:// [a-z][a-z][a-z][a-z].com でyahooからの攻撃はほとんど回避できた。 危険だけど date:X+0900 と合わせて9割以上フィルタリング出来たよ。。 seq-r.com fdf-u.com が本文中にあったらゴミ箱行き。 http://fox99 が本文中にあったらゴミ箱行き。 Dateに以下のいづれかがあったらゴミ箱ぽい。+0900以外ゴミ箱より甘いが誤爆歴0 0060 0120 0180 0240 0360 0420 0480 0540 0660 0720 厳密に言うとPerl正規表現で (?:(Mon|Tue|Wed|Thu|Fri|Sat|Sun), )?(0?[1-9]|[12]\d|3[01]) (Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec) (\d{4}|\d{2}) ([01]?\d|2[0-3]):([0-5]?\d)(?::([0-5]?\d))? (UT|GMT|[ECMP][SD]T|[ZAMNY]|[+-][01]\d(?:00|15|30|45)) に引っかからないのを問答無用に捨てているだけ #ついでにいうと日付があまりに未来になっているのもゴミ箱ぽい。 NGワードファイル(txt)作って振り分けしてる 1日50通位来るけど9割以上は弾けてる。 ワード数はもう300間近w >179 それくらい常識. 漏れの所は半年前に1200を越した. 今は正規表現のお化けになっているので、いくつあるのか数えられない :-) ヤフーBBだけど、ここのメールでは自動的にスパム判定されて x-bulk なんちゃらってヘッダがつくので、それをフィルタで弾くだけ。 超らくちんにスパム防止できるんだお。 >>181 X-YahooFilteredBulk: 220.176.25.116 ってのがそれか? なにげにそういうの導入してるプロバイダはある。 でも、フィルタリングの責任とかめんどくさいからアナウンスしないんだよな。 .mankome.com www.elog.name o-oooo-o.com が本文中にあったらゴミ箱行き。 info@19 19.info がFromヘッダにあったらゴミ箱 >185 19*.info とか *19.info というスパムのFQDNは確かに多い。 現状は一応個別にルール書いているが、面倒なのでこのパターン 全てを禁止しようか考え中. .info, .biz, .cxなどのTLDはスパム以外で見たことがないので、 こいつら全て禁止にしてやろうかと思うぐらいだ. >>187 同じく。 "info, .biz, .cx"はSPAM以外には有り得ないので全て拒絶。 いっそのこと.jpと.com以外は拒否しようかと思う。 また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。 >199 > また今までの被弾実績から"数字.TLD"はほぼSPAMと断定し拒絶。 それは漏れの所でもやっている。一応堅気の金融・保険系でそれ に引っかかるドメイン使っているアホ企業があったと思うが、 掲示板には不要なのでそのまんま。メールフィルタにも流用して いるので、そこの広告が入ったメールが引っかかってしまうという 副作用はある。 >190 昨晩から”check this”に変わったw wrote→hi it→eqse→fwd:→it's me→check this こんな感じで一日おきに変えてきやがる。 ついに半角英数字/記号だけの題名は全てリジェクト でも全然不便は無い >>190-191 ナカーマ! 以前は英文spamは1日平均20通くらい受け取っていたが、 最近は70通くらいになってる。 純増分はすべてこいつ。 今はGreetingsシリーズか。 日本時間昨晩10時より、adviceシリーズスタートです。 なんかもう、必死w Receivedに \(\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\) があったら拒否 これって誤爆率高いかな? スパムでしか見たことないけど。 あともうちょいスマートな書き方があったら教えて。 ごめん、上にあったね… ([ これだけでいいのか。 >>195 Good Morningシリーズになったね 「To: が自分のアドレスではない and 自分のドメインを含む」で、 Good Morning も advice も SPAM 候補フォルダに。 「To: が自分のアドレスではない」だけじゃ駄目? >>200 良い疑問。 「退職のお知らせ」みたいに大抵 BCC で来る重要なのを なるべく殺さないように。 レスdです。BCCの為ですか。スッカリ失念してました、、、orz >202 Bccもそうだが、メーリングリストがあるだろ。 >>199 このシリーズってどんどんタイトル変わるから焼け石に水なんだよね っつかグッドモーニングうぜえええ、 日本時間本日午前10時より、FINANCIAL REPORT攻撃へ移行した模様。 あれは数の鬱陶しさでは過去最悪クラスのスパムだな。 英語でなければとっくにスレが立ってる。 ちなみにアレはボット送信なので、Recievedを見るOB25B的なフィルタを使えば ほとんど突破できない。>>106 から発展させていった結果がこれ。 ([ [^A-Za-z]ppp[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]a?dsl[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]catv[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]cust[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]user[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+(自分のとこのメールサーバー [^A-Za-z]ftth[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]ap[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]flets[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー [^A-Za-z]pools?[^A-Za-z]\S*\s\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\)\s+by\s+自分のとこのメールサーバー (\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\S+\s\[\1\.\3\.\5\.\7\]\)\s+by\s+自分のとこのメールサーバー (\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})\S+\s\[\7\.\5\.\3\.\1\]\)\s+by\s+自分のとこのメールサーバー (\d{1,3})(\.|-)(\d{1,3})(\.|-)(\d{1,3})(\.|-)\S+\s\[\d{1,3}\.\5\.\3\.\1\]\)\s+by\s+自分のとこのメールサーバー ここでゲットした正規表現、結構お世話になってるんだけど、 あまりややこしいやつだとspam mail killerが落ちる・・・ みなさんどんなフィルタリングソフト使ってんの? >>209 俺は、自作で正規検索エンジンはWindowsScriptingHostの標準のやつ。 以前いろいろ試したけど、正規検索エンジンはこれが速くておかしな挙動もなかった。 SMKなら、BRegExpは時々挙動不審だった記憶があるのでdllを互換の鬼車版に 入れ替えてみたらどうだろう。鬼車エンジンは高機能で評判もいい。 bregonig.dll ttp://homepage3.nifty.com/k-takata/mysoft/bregonig.html >>210 Wild Brush Energyはおすすめ銘柄だよ! 知人・親類等、登録済みアドレスではない。 本文に自分の姓・名・ニックネーム・出身校名・会社名…が含まれない。 本文にURLが記載されている。 この条件を満たしたら、全部自動で捨てている。 Received: from unknown (192.168.1. これで国内スパムの大半が駆除できる。 これが八割以上>Received: from unknown (192.168.1.202) >214 よく気が付いたね. その代わり自宅鯖や貧弱な企業のMTAからメールを受け取れなく なる可能性が高いという欠点はあるんだけどね。 名前シリーズ、It'sシリーズ、Alertシリーズときて、 現在はInsider Informationシリーズ…… Do not miss this chance!じゃねーよ、くそ毛等。 インサイダー情報をspamでばらまくド馬鹿がどこの世界にいるんだよハゲ毛等 read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる