qsv系のスパムメール被害 qsv03
>>2 の勝手に対策Webのページ作者って、イマイチ分かってない
気がするなあ。まあ作者に悪気はないんだろうけど。
たとえば
> Fromに「info@適当なサーバー名(その名のサーバーはまず存在しない).
> com(.net)」というメールアドレスを用いる。
メールアドレスにあるドメイン名は正式に取得したものだし、
その名前のサーバマシンも存在する。
SMTP でのアクセスは受けつけないものが多いけど。
awg.lookup.htm も今となっては登録サイトが古いので、
chronoflyer.ddo.jp を主に利用させてもらえば、問題ないよね。 tarpittingの遅延時間変更してテストしてたんですが、30秒を境にqsvスパムはぱったりと
通らなくなることがわかりました。
qsv系スパムに30秒以上のtarpittingは非常に効果的ですのでお試しください。
スパム業者ですがなにか? PART2
http://pc7.2ch.net/test/read.cgi/antispam/1142434937/
この前スレで「業者」氏はタイムアウトを30秒と答えていたので実はqsv系の業者なのかも。 質問、質問
どこかに、転送先(最終転送先)を含めて、全メールを晒しているとこあります?
>>6
> 30秒を境にqsvスパムはぱったりと通らなくなることがわかりました。
うちも tarpitting 検討中なんだけど、
ttp://www.jca.apc.org/~nezumi/techdoc/Spam-Filtering-for-MX.ja/html/smtpdelays.html
を見ると、30秒の tarpitting をすると、正当なメーラの一部 (exim を
使っていて、しかも送信者呼出し確認法を使ってるサイト) へ、メールを
送れなくなる (受けとることはできる) ってあるんだよねえ。
まあ、送れなくなったら、利用者にはエラーが返って分かるわけで、
その時点で対処すればいいって考え方もあるわけだけど、うちは利用者が
千人を越えるサイトなので、postmaster まで報告してくれないケースが
あるんじゃないかと思って悩み中。>>6
> 30秒を境にqsvスパムはぱったりと通らなくなることがわかりました。
うちも tarpitting 検討中なんだけど、
ttp://www.jca.apc.org/~nezumi/techdoc/Spam-Filtering-for-MX.ja/html/smtpdelays.html
を見ると、30秒の tarpitting をすると、正当なメーラの一部 (exim を
使っていて、しかも送信者呼出し確認法を使ってるサイト) へ、メールを
送れなくなる (受けとることはできる) ってあるんだよねえ。
まあ、送れなくなったら、利用者にはエラーが返って分かるわけで、
その時点で対処すればいいって考え方もあるわけだけど、うちは利用者が
千人を越えるサイトなので、postmaster まで報告してくれないケースが
あるんじゃないかと思って悩み中。 >>8
うちではpostfix-2.3を使ってtarpitting掛けていますが、S25Rの条件に掛かったもののみ
遅延を掛けるようにしてます。遅延の悪影響を最小限ですますことができます。
具体的にはこんな感じです。
/^unknown$/ sleep 90
/^[^\.]*[0-9][^0-9\.]+[0-9]/ sleep 90
/^[^\.]*[0-9]{5}/ sleep 90
/^([^\.]+\.)?[0-9][^\.]*\.[^\.]+\..+\.[a-z]/ sleep 90
/^[^\.]*[0-9]\.[^\.]*[0-9]-[0-9]/ sleep 90
/^[^\.]*[0-9]\.[^\.]*[0-9]\.[^\.]+\..+\./ sleep 90
/^(dhcp|dialup|ppp|adsl)[^\.]*[0-9]/ sleep 90
確かに送信者呼出し確認をするところが問題となりえますが、S25Rに引っかからないところ
ならば問題出ないので、ホワイトリストの管理もほぼしなくて大丈夫のようです。
しかし、「送信者呼び出し確認」でタイムアウトになったら拒否って無茶な気がする。
UserUnknownなら拒否するのわかるけど、タイムアウトなら通すべきじゃないのかなあ。
すまん…
qsvの業者ってここ見てるかも。もしくは例のスレの業者がやっぱりqsvかも。
もうちょっと調べてみたいとわかりませんが、qsvがタイムアウトしなくなってしまった感じです。
うちはNSブラックリストで弾いているので実害はないのですが… >>11
さらにすまん。
単にフィルタ掛ける順をNSブラックリストが先にしたもんで、それでだった orz
ということで、上の話はなしで。 うちの9歳と11歳の子供に宛てて送ってきてやがる
違法は承知の上なんだろうな
今度はIPアドレスでやってきた?
入り口 -> http://www.meguriai-max.net/?***
中身 -> http://211.18.198.178/
whois 211.18.198.178
a. [IPネットワークアドレス] 211.18.198.176/29
f. [組織名] 有限会社 エフネット
上位はDION -> KDDI。。トホホ お引越し
-222.171.22.0/24
+222.171.30.0/24 今度は、URL圧縮。
http://ttu.cc/?770 -> himitsuno-sasayaki.net[211.18.195.186 -> FNET]
ttu.cc がqsv系である可能性も否定できませんw。 >>15
確かに、トホホですね。
>>17
いろんなことをしてきますな。
最近、例外形のqsvのゴミメールがちょこちょこ来るけど、この手のやつの時だけ、中国とかじゃなくてアメリカから来てますね。
それと、DTIもDION同様、規約に違法は駄目よ、と書いておきながら、自社で違法かどうかの判断が出来ないそうです。
ビットドライブにあったqsvのサイトを通報したら、DTIに引っ越ししやがった。
トホホ。 ゴミの総本山は
Country: Japan
State: Tokyo
AWG aka youngjoo aka qline(ウルトラマックスなど)
詳細は以下で見るとわかります(鈴木修・西原しんじ・など)
URL1: ttp://www.spamhaus.org/rokso/listing.lasso?-op=cn&spammer=AWG%20aka%20youngjoo%20aka%20qline
URL: ttp://www.spamhaus.org/rokso/sbl_listings.lasso?spammer=AWG%20aka%20youngjoo%20aka%20qline&rokso_id=ROK
DTIではスパムメールそのものを黙認しててOCNの傘下から強制解約されたとあります。 From: 性生活改善委員会 <info@mfsg.co.jp@reuj.com>
Subject: ももだよ(^^;)
こんなのきてたけど・・・
関連会社? qsvなんかの特定のIPから遮断しているセッションが1日6-7万、
それ以外のspamとspamじゃない普通のセッションも6-7万・・・ IPv4アドレス枯渇に向けた提言
http://www.nic.ad.jp/ja/research/ipv4exhaustion/
なんてのが出てるんだが、qsv原因説を唱えたいな、
統計は取ってないけど。
1. Domain Name : gokinj0.net
2. Reseller : ttpia.com
3. Record Created on : 2006-02-24
4. Record Expires on : 2007-02-24
5. Record last Updated on : 2006-02-27
6. Name Servers
NS1.GOKINJ0.NET <- new!?
NS2.GOKINJ0.NET <- new!? >>21
6万??? 普通そんなに来ないだろ ISP? ASP? 1000人くらいしかユーザがいなくて、もちろんアドレスがqsvにバレてる
のはもっと少ないウチでも一日あたり1万5千通くらいまでは来ることが
あるから(ほぼ全部はじいてるけど)、4000人ユーザを抱えてれば余裕で
6万くらいは届く計算。 悪質な架空請求
増加する被害者達
これ以上の蛮行を許すワケには行かない
ならば我々が
毒 を も っ て 、 毒 を 制 す 。
架空請求撲滅スレNo8
http://ex14.2ch.net/test/read.cgi/news4vip/1144144872/l50
21:00 殲滅開始。
>>25
そうか。
うちは1万人弱だけど、そんなにはこない。qsvは多い日で1日1万程度。
from止め、ns止め、中・台・韓のアドレスブロック止め、の3パターンで殆ど弾いて
いると思っていたけど、結構弾けてないのかな。
明日チェックしよ。 >>26
nslookup gokinj0.net -> 203.181.92.26
whois 203.181.92.26
a. [IPネットワークアドレス] 203.181.92.24/29
b. [ネットワーク名] ULTRAMAX うちはqsv以外にも細々とチェックしてはじいてるからね
でもfreebitやnttpcからの迷惑メールはIPで弾く訳にもなー gokinj0.net は
Registrant : Name : yousung kim
だそうだし。
間違いないな。 >>30
OP25Bを受け側でやると考えて一つ上で切っちゃえば?
o-tokyo.nttpc.ne.jpとかosaka.ocn.ne.jpっていった単位で。
ボットネットの類をその考えでやってたらあっと言う間
/etc/mail/accessが膨れ上がったんでcbl.abuseat.org
使ったけど。
>>33
OCNがそんなようなことやるんだってね。
IP25Bだとか言って。 む、mail.qsv**.comが復活してきているのか。
http://cgi36.plala.or.jp/antispam/tool/qsv.lookup.htm
mail.qsv02.com 66.45.237.187 取得できず
mail.qsv03.com 66.45.237.187 取得できず
mail.qsv04.com 207.189.104.87 parked.snapnames.com
mail.qsv05.com 66.45.237.187 取得できず
mail.qsv06.com 207.189.104.87 parked.snapnames.com
mail.qsv07.com 207.189.104.87 parked.snapnames.com
mail.qsv08.com 66.45.237.187 取得できず
mail.qsv09.com 66.45.237.187 取得できず
mail.qsv11.com 207.189.104.87 parked.snapnames.com おまいら「IAjapan 第3回 迷惑メール対策カンファレンス」行く? なんか内容が前回とあまり変わらない感じなので、自分は今回パスです。 >>35
みたいだね。単発IPだからスパムは送ってないと思うんだけど。
しっかし、それ以外は今月に入ってから全く動きないね。
どうしたのかな? また、嵐の前の静けさか? したらばBBSを借りているとよくアダルトサイトの宣伝のスレが立つけどあれもqsv系? 久々に動きあり
+203.70.96.0/24
-210.200.17.0/24
+218.210.52.0/2 -210.200.18.0/24
なんだかたいしたことないなあ QSVは、日韓関係・日中関係悪化に一役買っているよ
エセウヨとおなじだ
222.171.52.0/23
↓
222.171.48.0/22 最近のqsvスパムで、エロゲメーカーのイリュージョンの宣伝が入るのがあるので、
勝手に入れられた偽広告じゃないかとエロゲ板の方で訊いてきたけど、
メーカー自身が宣伝依頼しても不思議でなさそうな反応ですた。
【21禁板注意】
イリュージョン(ILLUSION)総合スレッド112
idol.bbspink.com/test/read.cgi/hgame/1146055752/59-64 qsvとnttpcが全然来なくなった。まったくと逆に寂しい。
通報しまくったせいか、qsvはほぼ止まった。
毎日何通も来ていたが、4,5日に1通くらいになった。
プロバイダ側の拒否設定アドレスは8個くらいしか設定していないから、本当に来ていない。
その代わり、1292系がうっとうしい。数日で1通程度ではあるが。 qsv典型、いわゆるinfo@は激減したけど、qsvのWebサーバーを本文中に含む
変形型は来てる。
俺のところはspamの絶対数はそれほど多くないけど、今月の日本語spamの内、
今日までの着弾中、21.4%がqsvのWebサーバーを含んでいる。 今月の今日までの着弾はqsvと1292系だけで、83.9%がqsv。残りが1292系。
外国語のものとかは幸い来ていない。 昨日は、新しいアドレスリストへの送信をしていたな。 ドメインが大量に死んだようだ。。
新しいの来てる? 既にリストにあるhszi.comから宣伝先として
http://www.reoq.com/?twenty
が入ってる。reoq.comはリストに無い。 >>57
そのドメイン、俺のリストにもなかった。ちょいと調べてみたら、既出かも
知れんけど、新しいのが5つひっかかった。
http://www.ilovegal.com -> 203.67.44.136
http://www.whitero.com -> 203.67.44.130
http://www.osobadeai.com -> 203.67.44.136
http://www.yamabari.com -> 203.67.44.138
http://www.jtonic.com -> 203.67.44.138 こんなのもきた。
ttp://www.spje.com/
なんか最近の着弾メールはメールアドレスのドメインがyahoo.co.jpを騙っていたりする。
yahoo.co.ukもあったが。
アルファベットの羅列.com(net)はやめつつあるのか? >>60
>アルファベットの羅列.com(net)はやめつつあるのか?
一時期よりはだいぶ減ったけど、コンスタントに来てるよ。 生存ホスト数は最盛期の四分の一にまで減少した。
今日は一通も来てない。 今日もまた、新たなアドレス・リスト宛へ送信している。
例えば下のspamは、今しがた届いたものだけど、spammer用の囮アドレス宛てに送ってきている。
そのアドレスは、今年3月に収集されたもので、今日初めてspam送信されてきた。
Received: from *************** ([59.44.64.19])
From: 二度目の恋の予感…<fry_wheel_air_sky@yahoo.co.jp>
Subject: 浮気専用のプリペード
(本文 http://pc7.2ch.net/test/read.cgi/antispam/1145712829/396-397 と同じ)
アドレス収集には、以下のアクセスで来ていた。
> 日時:2006/03/16 23:44
> IPアドレス:220.221.1.187
> ホスト名:i220-221-1-187.s05.a013.ap.plala.or.jp
> リファラ:(なし)
> UA:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
ちなみに東京都APで光回線のようだ。 5月2日qsvアクセス
151.190.192.61.tokyo.bflets.alpha-net.ne.jp - - [02/May/2006:23:**:** +0900] "GET / HTTP/1.0" 200 ***** "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" >>64
あ、やっぱりyahoo.co.jpを使ってるな。
>>62
来てる? ほんと?
やっぱり、人によって受信状況がかなり違うんですね。
こっちはyahoo.co.jpばかりになった。件数も激減しているし。
アルファベットの羅列.com(net)バージョンは4月後半に1通来て以来今のところ0。
ただ、気になるのはyahoo.co.jpバージョンはヘッダが1292系と同じに見えるんですよ。
中国の同じプロバイダを使ってるし。
あんまり書くとqsvの話からそれるな。 ,,;;;"゙;; ← 吹き上がる誤字脱字、小学生の10倍以上はザラ!!
(( ゙゙ゞゝ
::ヽ、 ,,ノノ゙
:::::::::\,,彡"゙ o ← 慶征の送信頻度はこれくらい
:::ヽ"
:::゙、
:::::| /\ / | | ┌┴┐ ┼┼ヽヽ__ _|_ヽヽ
:::| | | \ | | / | / _|_
qsv ::| \,X_ _/ ∨ / / /\ |
::::|
:::| < オッス!おらqsv/awg!
::::::|
::::::::|
::::::::::::/ | ̄ ̄| | ̄ ̄| / ̄l
::::::::::/ / | | \/
:::::イ"゙ / |__| _/
-"゙゙::j!
゙"
プププ、qsvセコすぎ馬鹿じゃねーの? qsvを見下しているjason006
V (qsvの100倍のウザさ)
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ゙゙゙゙̄‐‐‐‐----、、、、,,,,___ ↓
::::::::::::::::::::::::::::::::::::::::::::::::::::: ゙゙゙゙゙‐‐‐‐‐----、、、、,,,,_
:::::::::::::::::::::::::::::::::::::::: ゙゙゙゙゙‐‐‐‐‐----、、、
:::::::::::::::::::::::::
::::::::::: yahoo.co.jp は受信拒否
どーせ捨てアドにしか使われてないから
よいんではない 質問をひとつ
業者のロボットを厨房ホイホイに誘い込んだらどうなるの
右翼やプロ市民や過激派のメアドを収集させてやった方が親切かな
ふと考えたのですが、【100マソ当選しました!はやく手続きして下さい!】系のメールはしっかり保存しておいて、どうせ出会いとかの登録だからちゃんと登録します。
その上で『100マソくれない。悪質な詐欺行為だ。謝罪と賠償を』って裁判に出来ないかな。
電子商なんとか法はどうだったか、公共広告機構や消費者センターに言うよりも、外国人と組んだらヤバいかなとかいろいろな事柄を、早速調べてきます。楽天懸賞の名簿横流しみたいに、多すぎて特定できないのとは違うし、こちらは前科の無い一般市民だし…
金になるかな? >>73
スパムは全然関係ないだろこれは。
この記事はかいつまんで言えば「Gyaoを制限すんなゴラ」だろ。 メアド収集ロボットもうぜーので
よそのメアド収集ロボットにqsvのメアドを食わせ
その逆もありってことにします
自分が受信させられてみろよゴルァ作戦 カウントダウン開始
Q 言 お
S い ま
V た え
は い ら
在 こ の
曰 と
な は
ん わ
だ か
な っ
た
qsv系じゃないと思うんだけど、fromがmel@sohospotss.comとかmel@sohovipzs.comとかなってる
SOHO系のスパムを送ってくるところがあるんだがここの情報ってありますか?
ここもqsvと同様にたくさんのドメインを取ってスパムを送ってくるんだが、nsがns1.talktowns.netとか
nsでのブラックリストが使えそうなんで、このスレで聞いてみました。
もっと適したスレがあったら教えてください。
>>79
その糞業者もまだいるのか・・・・
昔はenjoysohoだったけどな。 >>80
ns?.talktowns.net|ns?.tsassing.com|ns?.mtassigns.com
のNSで引っ掛けてログ吐かせると
この業者からのメールがぜんぶわかるんだが、結構いろんなドメイン使ってる。
だいたいが頭か終わりにsohoとついたドメイン名。
このNSがこの業者だけが使っているものだったら、qsv系拒否の手法と同じくブラックリストに
入れて弾こうと思うのだが、意外にこの業者の情報が少なかったので、聞いてみた次第です。 ちなみにこの業者には何か呼び名ついてますか?
なかったらsoho系とつけようかと思うのですが。 >>82
名前つけるのは賛成だけど、
「soho系」だとSOHO勧誘spamの総称と勘違いしそうだから、
もうひとひねりあると良いかも。 >>83
じゃあメールアドレスからも取って
「mel@soho系」ではどうでしょうか?
とりあえずこの業者の対策方法確立するため、NSでwarning出させて様子見ています。
NSじゃなく、heloで言ってくるサーバ名でも弾けると思います。 ついででなんですが、fromがapache@*.infoで、ドメインをlivedoorのNSに登録してて
フィリピンあたりのunknowsになる接続先から送ってくる業者いますが
あれは何系と呼ばれているのでしょうか?
>>85
> ついででなんですが、fromがapache@*.infoで、ドメインをlivedoorのNSに登録してて
> フィリピンあたりのunknowsになる接続先から送ってくる業者いますが
> あれは何系と呼ばれているのでしょうか?
http://spam.client.jp/etc/1129960807.html#R455
このあたりに出てくるやつですかね、
それなら晒しスレでは、偽qsv とか qsvモドキ とか呼ばれているようです。
http://spam.client.jp/1142604205/1142604205_03.html#R125
qsv系の XXXX.com のように XXXX.info で大量送信してきたから、そう呼ばれたんだったと思います。 >>86
あー、過去に自分の書いたレスもありました。
偽qsvよりも、livedoor系のほうがしっくりくるんだが。
クライアントで見える情報から言うなら、apache@info系とかでもいいけども。
ヘッダーに
CoremailとX-Originating-IP
を含むメールを弾いてます
本文にURLが入ってたら でも桶でつな
ウチのはベイジアンフィルタだが、
3ヶ月くらい調教したらqsvは100%防いでくれるようになった。
誤認識はアマゾヌからのメールがたまに引っかかるくらいだが、
どうせDMだからqsvと一緒に/dev/null直行でよし。 自分は、ベイジアンフィルタはどうしても誤認が恐いので
ユーザ全体に掛けるフィルタで/dev/nullはちょっと無理ですね。
あーそっか鯖缶も多いんだよね・・・
俺は宅鯖立てて自分専用のアカウント3つ程度だから気楽に直行させてるけど、
普通の鯖缶はそんな危険なことできるわけないわな。 >>93
え?どゆこと?
qsvにそんだけ広いアドレス帯提供したって事?? Fromがmel@〜.(com|net)でSOHOがらみのスパムを送ってくる業者を
qsv系と同じくNSのブラックリストで拒否するためのリストを作成しました。
NSのドメインは全て岸和田のDuke FukuiかDai Fukuiで登録されていることを確認しています。
postfixでcheck_sender_ns_accessで拒否してください。main.cfで
smtpd_recipient_restrictions = ... check_sender_ns_access hash:/etc/postfix/reject_ns
のように指定して、reject_nsの中身は下記の通りです。qsvのNSリストもここに入れて良いです。
# melsoho
ns1.busiassist.net REJECT match NS blacklist melsoho
ns2.busiassist.net REJECT match NS blacklist melsoho
ns1.busiassists.com REJECT match NS blacklist melsoho
ns2.busiassists.com REJECT match NS blacklist melsoho
ns1.dmfactory.net REJECT match NS blacklist melsoho
ns2.dmfactory.net REJECT match NS blacklist melsoho
ns1.dmfactorys.com REJECT match NS blacklist melsoho
ns2.dmfactorys.com REJECT match NS blacklist melsoho
ns1.dmfactorys.net REJECT match NS blacklist melsoho
ns2.dmfactorys.net REJECT match NS blacklist melsoho
ns1.magmagss.com REJECT match NS blacklist melsoho
ns2.magmagss.com REJECT match NS blacklist melsoho
ns1.smagmag.net REJECT match NS blacklist melsoho
ns2.smagmag.net REJECT match NS blacklist melsoho
ns1.sogobusi.com REJECT match NS blacklist melsoho
ns2.sogobusi.com REJECT match NS blacklist melsoho
ns1.talktowns.net REJECT match NS blacklist melsoho
ns2.talktowns.net REJECT match NS blacklist melsoho
ns1.tokimekis.com REJECT match NS blacklist melsoho
ns2.tokimekis.com REJECT match NS blacklist melsoho
ns1.tsassign.com REJECT match NS blacklist melsoho
ns2.tsassign.com REJECT match NS blacklist melsoho
鯖管理者じゃないのでOEのルールで防いでるんだけどもう面倒くさくて死にそうorz まだOEのルールでやってるやついるのか・・・
ルール設定じゃ追いつかないからspam mail killerとか専用ソフト使うのが今の主流なんだけどなぁ ドメイン集(既出なら、勘弁)
DNS matrix-dns.net (新?下記ドメインをwhoisしたら出てきたゾ)
URL www+
deai-allfree.net
deai-news24.net
gyakuen-news.net
otxv.com
ovwl.com
pfxd.com
qbyf.com
qduw.com
qkzw.com
tbxq.com
tguq.com
ubcz.com
ubzl.com
ucxa.com
uqpt.com
vcxl.com