新年のスパムメール

自宅サーバでメールサーバを運用し,DynDNS で取得したドメイン名でメールをやり取りしている。当然ながらスパムメール・チェッカ SpamAssassin やメール振分ソフト Procmail を稼働させて,メールボックス配信時にスパムメールを取り除けている。一般に,スパムと判断されたメールは,これを /dev/null 行きにする管理者が多いのではないだろうか。/dev/null は UNIX のスペシャルファイルのひとつで,これを出力先にすると削除と同じ操作となる,言わば宇宙空間のブラックホールのようなものである。

しかし,私はスパムをブラックホール送りにしないで専用ディレクトリに入れている。もちろん,きちんとしたメールがスパムと誤判断される場合を考慮したからであるが,たまにスパムの文面をみて大笑いするためでもある。この際,FreeBSD サーバ上の GNU Emacs 環境の MUA Mew を使って閲覧する。Windows では Outlook Express などでプレビュー表示しただけで感染してしまうウィルスが知られているが,UNIX 上のテキストベースの Mew なら,いかがわしいスパムを閲覧してもウィルス感染する心配はあんまりない(だから Windows ユーザは私の真似をしてはいけない)。

私はサイトのあちこちに自分のメールアドレスを晒しているので,ロボットに収集されて,いろんなところからスパムが私のところに来る。これらスパムは,かつては英語のものが圧倒的に多かったが(ほとんどが「あなたの dick を三倍に」,「Rolex 高級時計を格安で」に類するものであった),この二週間ほどの傾向では,日本語が約 50%,中国語が約 30% である。英語のものは 10% 程度である(米国は何か対スパムの法整備をしたのか?)。ウクライナ/ロシアからも 3% 程度ある(ウクライナはアタックも多く,ならず者計算機使いが多いと私はみている)。中国語が目立つようになったけれども,やっぱり懲りない奴らは日本語を話すのが多いらしい。エロサイト,「金持ちマダムのお相手しませんか」的出会いサイト,裏ビデオ取引への勧誘がほとんどである。サーバアタックは米国,ウクライナ,中国からが多かった(ちょっと前の調査による)のだけれども。もちろん,これは「私のところに来たもの」(しかも二週間のデータ)がベースなので,スパムメール事情の全体的傾向とは判断できない。

年明け,こんなスパムが来た。「パックリおまんこ開けましておめこでしょう」。「あけおめコ」というのもあった。「あけましておめでとう,ことしもよろしく」というのを若い人たちは「あけおめことよろ」と略したりする。このスパムメール,そのなかに卑猥な言葉が隠れていることを利用していて,大笑いさせられた。このスマパー,きっと関西人に違いない。メールヘッダを確認すると,どの IP から送付されて来たかがわかる。この「あけましておめこでしょう」メールヘッダは,次のようなものだった。

From info@027ab.cdefg.info  Thu Jan  5 14:19:11 2012
Received: from 027ab.cdefg.info ([175.106.71.27])
	by beatrice.yasuda.org (8.14.4/8.14.4) with SMTP id s055R94k001229
	for isao@yasuda.homeip.net; Thu, 5 Jan 2012 14:19:10 +0900 (JST)
	(envelope-from info@027ab.cdefg.info)
Message-Id: <201201050519.s055R94k001229@beatrice.yasuda.org>
MIME-Version: 1.0
Content-Type:text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit

IP は 175.106.71.27(スパマーの IP アドレスは晒してやってもかまわない?)。人間ではなく機械が自動的にバラまいたスパムであることがわかる(当然といえば当然)。人間がパソコンから出すメールはたいていプロバイダのメールゲートを通過し,そのたびに Received: 行が追加されるので,ヘッダにはこれが必ず複数行ある。上記ヘッダには 1 行しかないので,MUA が直接私のメールサーバに接続したことがわかり,つまりスパム発送プログラムのしわざだと考えられるのである。じゃ,いったいどこが発信源か。whois コマンドで調べてみる。

% whois 175.106.71.27
...
inetnum:        175.106.64.0 - 175.106.127.255
...
person:         jung bxung wxx
address:        Gyexnggi-dx Gwxnsexn-dxng
address:        1056-XX XX  JNDINFO.CX
country:        KR
phone:          +82-31-226-XXXX
e-mail:         comnetxx@hanmir.xxx
mnt-by:         MNT-KRNIC-AP
changed:        hostmaster@nic.xr.kr
source:         KRNIC
...

内容は xxx などと少し改変し,情報量もはしょってある。発信源は韓国だったニダ。関西じゃありませんでした。このメール本文には,スパムとしては当然ながら,誘導したいエロサイト URL がしるされているが,この URL から引いた IP アドレスは米国のサイトのようである。この日本語スパマーは韓国,米国を隠れ蓑にして商売していやがったわけだ。

と,ま,時折りこのようにスパムを眺めて楽しんでいるのであります。下品なネタですみませんでした。