spammerに真空飛び膝蹴り

その「セリオク」をググってみたが、よく分からない。
オークションの（仕組み）名称なのだろうか…？

ともあれIPアドレス [113.248.50.229] を調べると、

　> IPアドレス：　113.248.50.229
　> ホスト名：　対応するホスト名がありません。
　> IPアドレス割当国：　中国 ( cn )
　> 市外局番：　該当なし
　> 接続回線：　該当なし
　> 都道府県：　該当なし

　> Rbl.jp：　存在しません。安全です。
　> IPひろば：存在しません。安全です。

という状況。（2012/03/07　14:50 現在）
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL004.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： * 3KB
識別情報 ： 27802

Return-Path: <spam@so-net.orz.jp>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20120307062136368.MF12.817B680@nm07mtf.auone-net.jp>;
　Wed, 7 Mar 2012 06:21:36 +0900
Received: from comet11 by fmta11.auone-net.jp (au one net mail filter) with
　ESMTP id 4F0E81ACA ; Wed, 7 Mar 2012 06:21:36 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　so-net.orz.jp does not designate 113.248.50.229 as permitted sender)
　client-ip=113.248.50.229; envelope-from=<spam@so-net.orz.jp>;
　helo=210.141.108.179;
　・・・
Message-ID: <KWBQHHERUUYVFLCMRZHVAJOF@nifty.co.jp>
From: "Abe Kana" <spam@so-net.orz.jp>
Reply-To: "Yoshioka Maki" <spam@so-net.orz.jp>
To: orz@aa.dion.ne.jp
Subject: ■セリオク■ 奈美 さんから招待状が届いています。
Date: Wed, 07 Mar 2012 14:33:33 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--34044784463195958493"
X-Priority: 1
X-CS-IP: 40.22.87.15
　・・・


何も目新しい箇所も無く、ありきたりのSpamなのだが、
兎に角「セリオク」とは何だろうか…？
これだけが気になった次第。

本文（BODY部）は破棄する条件なので、何が書いてあったかは分からない。

"X-CS-IP:" やら "X-IP:" などのRFC非標準ヘッダ項目が含まれることに着目、
これを禁止リストに加える考え方もあるが、その前に確認を。
自分が必要とするまともなメールに、上記のRFC非標準ヘッダ項目が
含まれないか。

まれにでも存在するなら、素直にIPアドレスなりタイムゾーン狙いがシンプル。

件名からして全くお断りしたいSpamメールであるが、これと同一らしきものは、
若干メールヘッダを変えながら数件有った模様。
確か、"X-Mailer:" の項目値が変わっていた。

IPアドレス、[213.184.224.76] を調べるとベラルーシ ( by ) 鯖経由であり、

　> Rbl.jp ：存在しません。安全です。
　> IPひろば：ブラックリストに登録されています。

という状況。（2012/03/01　17:47 現在）

類似が複数件あったにも関わらずこのメールが心に引っ掛かったのは、
自称メールソフトが相当古いものであったからだ。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL004.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 3KB
識別情報 ： 20003864

Return-Path: <spam@yahoo.orz.jp>
　・・・
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　yahoo.orz.jp does not designate 213.184.224.76 as permitted sender)
　client-ip=213.184.224.76; envelope-from=<spam@yahoo.orz.jp>;
　helo=moipk.telecom.by;
Received: from moipk.telecom.by (moipk.telecom.by [213.184.224.76]) by
　mail-gw.auone-net.jp (au one net mail) with SMTP id 962C2350;
　Tue, 28 Feb 2012 12:15:31 +0900 (JST)
Received: from 65.74.130.3 by 213.184.224.76; Tue, 28 Feb 2012 08:06:39 +0500
From: "spam@yahoo.orz.jp" <spam@yahoo.orz.jp>
To: orz@aa.dion.ne.jp
Subject: とりあえず100万円稼ぎませんか？
Date: Tue, 28 Feb 2012 08:15:39 +0500
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
MIME-Version: 1.0
Content-Type: text/plain; charset="SHIFT_JIS"
Content-Transfer-Encoding: 7bit
Message-Id: <20120228031531.962C2350@mail-gw.auone-net.jp>
　・・・


何しろ、charset="SHIFT_JIS" という有様では全く駄目だ。
その他、"Message-Id:" 項目値も「いかにも」であり、
何処を狙った削除条件を組んでも簡単だと思う。
素直にIPアドレスで狙うのがいいと感じた。

１．差出人のアドレスが偽装されている

"Return-Path:" ，"From:" ，"Reply-To:" に示されたアドレスは同一のもの。
しかし、ハンドルは違うようだ。別人になり切れていない。

２．錯綜するタイムゾーン

+0600？ +0200？ 積み上がった "Received:" では最終的に +0900 であるが。

３．中国鯖経由

IPアドレス、[111.181.210.111] の通りであり、既に

　> Rbl.jp ：存在しません。安全です。
　> IPひろば：ブラックリストに登録されています。

という状況。（2012/02/26　16:05 現在）

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL009.TXT : TYPE-H） の条件が成立した
コメント ： ns KDDI_DION "aa.dion.ne.jp"ドメインに対する一斉攻撃
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： * 3KB
識別情報 ： 27653

Return-Path: <spam@yahoo.orz>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20120224194914445.MF11.81DE760@nm07mtf.auone-net.jp>;
　Fri, 24 Feb 2012 19:49:14 +0900
　・・・
Received-SPF: None (mail-gw.auone-net.jp: 111.181.210.111 is neither permitted
　nor denied by domain of yahoo.orz) client-ip=111.181.210.111;
envelope-from=<spam@yahoo.orz>; helo=210.141.108.179;
Received: from 210.141.108.179 (unknown [111.181.210.111]) by mail-gw.auone-net.jp
　(au one net mail) with SMTP id D0C4CA4D; Fri, 24 Feb 2012 19:49:11 +0900 (JST)
Received: from 180.10.211.20 by ; Sat, 25 Feb 2012 12:53:59 +0200
Message-ID: <KKMJJHLBBOFDPGADDVJTS@nifty.com>
From: "Hirabayashi Mai" <spam@yahoo.orz>
Reply-To: "Furuichi Orie" <spam@yahoo.orz>
To: orz@aa.dion.ne.jp
Subject: 無料で登録するだけでニンテンドーＤＳが当たる！
Date: Sat, 25 Feb 2012 16:55:59 +0600
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--515199810502860"
X-Webmail-Time: Sat, 25 Feb 2012 04:55:59 -0600
X-SPF-AUTH: None (mail-gw.auone-net.jp: 111.181.210.111 is neither permitted
　nor denied by domain of yahoo.orz) client-ip=111.181.210.111;
　envelope-from=<spam@yahoo.orz>; helo=210.141.108.179;
　domain=yahoo.orz; txt=none ; auth=none;
　・・・


しかし、細かいことを無視してもこれはいけないと思う。
まともなアドレスを名乗らないお方から、

４．無料で登録するだけでニンテンドーＤＳが当たる！

これを（例えうっかりでも）踏んでしまうお方の危機感もどうかと。

メール本文を破棄する削除条件なので、そのボディ部にどのような文言なり
URL が記載されていたのかは不明。

Spamに限らず、悪徳商法・詐欺でもそうだが、「儲かります」やら
「絶対に損はさせません」やら引っ掛かる方も如何なものかと。

さておき、香港鯖を名乗っておりSPFもその通りPassしているわけだから
IPアドレスを狙って削除する条件を考えるのが一番良いと思う。
以前は目にした "eQ-Mailer" だが、ここ一週間で復活してきたような気がする。
と言うか、香港鯖がやたらと元気だ。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
Return-Path: <f18bac84a93d74530a5aff@ya7dke2.mobi>
　・・・
Received-SPF: Pass (mail-gw.auone-net.jp: domain of ya7dke2.mobi designates
　103.29.75.133 as permitted sender) client-ip=103.29.75.133;
　envelope-from=<@ya7dke2.mobi>; helo=server73133.bbtec.com.hk;
　・・・
To: orz@aa.dion.ne.jp
Subject: 儲かる話は沢山あります。でも本当に儲かる話は少ないです。
　だから先に、シミュレーション機能で試してください。
From: 試すんです。 <info@ya7dke2.mobi>
Reply-To: 試すんです。 <info@ya7dke2.mobi>
X-Mailer: eQ-Mailer
X-Priority: 3
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-2022-jp
Message-Id: <20120207100815.E3BB6D50@server7398.bbtec.com.hk>
Date: Tue, 7 Feb 2012 19:08:15 +0900 (JST)

ISPによっては、きめ細かいSpam迎撃条件が組めるところがある。
具体的にはBIGLOBE、「受信拒否設定」機能では、特定のメールヘッダ項目と
その値で拒否条件を設定出来る。
即ち、
　メールヘッダの "X-Mailer:" 項目が "eQ-Mailer" 値なら受信拒否
を自分で設定出来る次第。

Spam Mail Killer で迎撃しなくともISP側、即ち最初の入り口で
フィルタリングできるなら、それが最善。

au one にてPCメール（Webメール）のSpam対策など、仕組みの大幅な見直しが
掛かっている模様で、上記のようなきめ細かい拒否設定が出来る事を望んでいる。

そろそろ Win XP も役目を終え、そうなれば消えるだろう Outlook Express、
どっこい Spammer には現役らしい。

　X-Mailer: Microsoft Outlook Express 5.00.2919.6700

このバージョンはいつ頃の話しだろうと思ってググってみたら、
どうやら Windows 2000 標準らしく、SPが充っていればこれよりも上がる次第。
2000 使いで、Service Pack も充てないとは不謹慎だが、
"X-Mailer:" 項目自体を詐称されているのかも知れない。


【一発目：Thu, 02 Feb 2012 23:04:27 +0200】
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
Return-Path: <spam@no-ip.ca>
　・・・
Message-ID: <YHWIODEJSVJCGJWF@vizvaz.com>
From: "◎密会HELPメール " <spam@no-ip.ca>
Reply-To: "◎密会HELPメール " <spam@no-ip.ca>
To: orz@d3.dion.ne.jp
Subject: ＸＸＸ
Date: Thu, 02 Feb 2012 23:04:27 +0200
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--28949550803416371229"
X-Priority: 3
X-MSMail-Priority: Normal


【二発目：Sun, 05 Feb 2012 03:26:44 +0100】
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
Return-Path: <spammer@mysecondarydns.com>
　・・・
Message-ID: <QGJDLQVSARCYZJJDJU@compress.to>
From: "◎密会INFOメール" <spammer@mysecondarydns.com>
Reply-To: "◎密会INFOメール" <spammer@mysecondarydns.com>
To: orz@d3.dion.ne.jp
Subject: ＸＸＸ
Date: Sun, 05 Feb 2012 03:26:44 +0100
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--5350886786984412"
X-Priority: 3
X-MSMail-Priority: Normal


"Subject:" の中身があまりにアレで、投稿規制が掛かりそうなので伏せた。
なかなかに豪快な日本語。

上記2件のメールヘッダ共に、Spam としての特徴は

1. 海外鯖経由を示すIPアドレス

2. 同、タイムゾーン

であり、ここを狙うのが汎用的な条件となる。
しかし、もうじき "X-Mailer: Microsoft Outlook Express" を
問答無用に削除しても良い時期が来る。

興味深いのはそのSubject: であるが、これはある意味有名人の「成りすまし」か。
　「-6kg減なんて当たり前!みのもんたがTVで紹介！」
…お昼の番組のことであろうか？放送は結構前に終了していたと思う。

> client-ip=111.223.195.238
>
> 【検索結果】
> IPアドレス 111.223.195.238
> ホスト名 195-238.mail-eng.com
> IPアドレス割当国 日本 ( jp )
> 市外局番 該当なし
> 接続回線 該当なし
> 都道府県 該当なし
>IPひろば検索ランキング ランキング圏外
>
> 【RBL検索】
> Rbl.jp 存在しません。安全です。
> IPひろば ブラックリストに登録されています。

メーラというか、MUAは何を使っている（事になっている）だろうか。
　「X-Mailer: eQ-Mailer」
とあるが、私には初耳である。そこで調べてみると、
　X-Mailer: eQ-Mailer spam に一致する日本語のページ

成る程、手っ取り早く此処を狙ったspam フィルタでも充分間に合うだろう。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL010.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダーの（逆引き）ドメイン名が偽装
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： 11KB
識別情報 ： 15641

Return-Path: <o_r_z099ax@f4v8ds.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20100504131957956.MF11.82C9E70@nm07mtf.auone-net.jp>;
　Tue, 4 May 2010 13:19:57 +0900
Received: from comet14 by fmta11.auone-net.jp (au one net mail filter)
　with ESMTP id CF7AC1322 ; Tue, 4 May 2010 13:19:57 +0900 (JST)
Received-SPF: Pass (mail-gw.auone-net.jp: domain of f4v8ds.com designates
　111.223.195.238 as permitted sender) client-ip=111.223.195.238;
　envelope-from=<o_r_z099ax@f4v8ds.com>; helo=195-238.mail-eng.com;
Received: from 195-238.mail-eng.com (195-238.mail-eng.com [111.223.195.238])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP id EDC7921F
　for <orz@aa.dion.ne.jp>; Tue, 4 May 2010 13:19:56 +0900 (JST)
To: orz@aa.dion.ne.jp
Subject: 「-6kg減なんて当たり前!みのもんたがTVで紹介！」
From: コレ、理由があって必ず痩せます！ <まぐ@f4v8ds.com>
Reply-To: コレ、理由があって必ず痩せます！ <まぐ@f4v8ds.com>
X-Mailer: eQ-Mailer
X-Priority: 3
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-2022-jp
Message-Id: <20100504041725.B670AE4CBBD@202-13.mail-eng.com>
Date: Tue, 4 May 2010 13:17:25 +0900 (JST)
X-SPF-AUTH: Pass (mail-gw.auone-net.jp: domain of f4v8ds.com designates
　111.223.195.238 as permitted sender) client-ip=111.223.195.238;
　envelope-from=<o_r_z099ax@f4v8ds.com>; helo=195-238.mail-eng.com;
　domain=f4v8ds.com; txt=v=spf1 ; auth=v1;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 3

今までに無い究極のサプリメントです。
『グラボノイドスーパースリム』
ぜひ、この機会をお見逃しなく！！
↓　↓　↓　↓
▼こちらをクリック▼
ttp://f4v8ds.com/m/l.php?o&r&z

〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜〜
■本メルマガは、情報商材や無料レポート、アフィリサイト
等で登録されたお客様に有益なお勧め情報を無料配信して
います。
もしお心あたりのない方は、お手数ですが以下から解除
をお願い致します。
ttp://f4v8ds.com/m/del.php?mid=o&mn=r&ad=z%40dion.ne.jp
〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜：〜〜〜

『ミラクルダイエット速報』――――――――
配信者⇒ 武田ひとみ
問合せ⇒ まぐ@f4v8ds.com
――――――――――――――――――――――

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

> ■本メルマガは、情報商材や無料レポート、アフィリサイト
> 　等で登録されたお客様に有益なお勧め情報を無料配信しています。

……いや。
当該アカウントは断じて「登録用」に使っていないわけで
実に困ったものだ。

このspammerは正々堂々と国内鯖を経由して送りつけてきた。
国内鯖は、それはそれで対応がやっかいだ。所謂「ホスティングサービス」の類で
サービス提供者は、spammerであれ誰であれ「お客様」だからというスタンス。
後は、メール配信者と当事者同士で解決してくれ。大概そのようなオチとなる。

さて、毎度お馴染みの「何処だ！spam放任ISPはどなた様だ！」と調べた次第。
> client-ip=125.53.24.143
>
> 【検索結果】
> IPアドレス 125.53.24.143
> ホスト名 s375.xrea.com
> IPアドレス割当国 日本 ( jp )
> 市外局番 該当なし
> 接続回線 該当なし
> 都道府県 該当なし
> IPひろば検索ランキング ランキング圏外
>
> 【RBL検索】
> Rbl.jp 存在しません。安全です。
> IPひろば 存在しません。安全です。

…出会い系サイトやヤミ金融、迷惑メール送信等の悪質関連サイト専門、
その筋の御用達らしいが、不詳。その会社名は耳タコであるが…。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
新着理由 ： 削除条件に該当しない
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： 5KB
識別情報 ： 14817

Return-Path: <info!@usefuloffice.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20100326070531674.MF62.82DC260@nm07mtf.auone-net.jp>;
　Fri, 26 Mar 2010 07:05:31 +0900
Received: from comet11 by fmta11.auone-net.jp (au one net mail filter)
　with ESMTP id 80FEB224 ; Fri, 26 Mar 2010 07:05:31 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 125.53.24.143 is neither permitted
　nor denied by domain of usefuloffice.com) client-ip=125.53.24.143;
　envelope-from=<info!@usefuloffice.com>; helo=s375.xrea.com;
Received: from s375.xrea.com (s375.xrea.com [125.53.24.143]) by
　mail-gw.auone-net.jp (au one net mail) with SMTP id 0F14749A
　for <orz@aa.dion.ne.jp>; Fri, 26 Mar 2010 07:05:31 +0900 (JST)
Received: (qmail 3030 invoked by uid 89); 26 Mar 2010 07:05:30 +0900
Received: from fl1-122-131-252-46.ngn.mesh.ad.jp (HELO s375.xrea.com)
　(info1@usefuloffice.com@122.131.252.46) by 192.168.52.175 with SMTP;
　26 Mar 2010 07:05:30 +0900
Received: from localhost ([127.0.0.1]) by s375.xrea.com with SMTP
　id rad347A7D for <orz@aa.dion.ne.jp>; Fri, 26 Mar 2010 07:05:14 +0900
Message-ID: <rad347A7D$1269554714$33e9ba@s375.xrea.com>
Date: Fri, 26 Mar 2010 07:05:14 +0900
Subject: 【毎月平均104万円を稼ぎ出す】日経225先物　完全自動売買プログラム！
From: ●大田です。 <info!@usefuloffice.com>
To: orz@aa.dion.ne.jp
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
X-Mailer: DM Mailer Ver.1.2.2
X-SPF-AUTH: None (mail-gw.auone-net.jp: 125.53.24.143 is neither permitted
　nor denied by domain of usefuloffice.com) client-ip=125.53.24.143;
　envelope-from=<info!@usefuloffice.com>; helo=s375.xrea.com;
　domain=usefuloffice.com; txt=none ; auth=none;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 1

「利益はゆっくり、損切りは早く」
プロのトレーダーの判断と作業を自動的に行い、
リスクコントロールと運用実績をプログラムが勝手に伸ばしてくれ、

感情に左右されず、
冷静で的確な判断をしてくれ、

あなたは取引のことを気にせず、
仕事や遊びに専念することができる
日経225自動売買プログラムは、
⇒　ttp://www.infotop.jp/click.php?aid=ui&iid=ozawa

さらに、

●自分でシステムが組める
●実収益が平均毎月１０４万円
●何十種類もの高収入参考ロジック

日経225自動売買プログラムは、
⇒　ttp://www.infotop.jp/click.php?aid=ui&iid=ozawa

●初心者の方は、参考システムをそのまま使用
●慣れている方は、どんどん自由にシステムが作成できる

●相場に合わせて最適化したい
●何種類もシステムを作ってポートフォリオを組みたい
●違う分足を使ってシステムを作成したい
●多数のシステムを、苦労しないで使いたい
●システムトレード（自動売買）を簡単にやってみたい

という方は、こちらから
⇒　ttp://www.infotop.jp/click.php?aid=ui&iid=ozawa

今だけの、特別な２つのプレゼント！

★プレゼント１：２０１０年１２月３０日までの売買サインがわかる、
魔法の寄り引けシステム

★プレゼント２：投資で勝ち組になるための思考と行動とは？
動画マニュアル（約４０分）

いますぐ確認したい人はコチラから
⇒　ttp://www.infotop.jp/click.php?aid=ui&iid=ozawa

■■■■■■■■■■■■　お礼　■■■■■■■■■■■■

突然のメールにも関わらず最後まで
お読みいただきありがとうございました。

あなたに役立つ質の高い情報をご提供させていただきますので、
今後ともよろしくお願いいたします。

■━━━━━━━━━━━━━━━━━━■
発行者：Useful Office
担当：大田
連絡先アドレス：info@usefuloff.com
■━━━━━━━━━━━━━━━━━━■

このメールがご迷惑と思われましたら今後、
メールをお送りしないようにいたしますので、
大変お手数ですが以下のURLをクリックして
いただければ、すぐに配信停止させていただきます。
ttp://www.usefuloffice.com/del/del.cgi?mail=orz@aa.dion.ne.jp

本メールは平成20年12月1日に施行されました、
特定電子メール法の改正法に準拠して配信されております。

○特定電子メールの送信等に関するガイドライン（PDF）
http://www.soumu.go.jp/joho_tsusin/d_syohi/pdf/m_mail_081114_1.pdf

○総務省ホームページ
http://www.soumu.go.jp/
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

> あなたに役立つ質の高い情報をご提供させていただきますので、
> 今後ともよろしくお願いいたします。
と主張されるので、取り敢えずは
　「X-Mailer: DM Mailer Ver.1.2.2」
辺りを「禁止リスト」に組み入れる事とした。

メールヘッダ全体に対して、若しくは"X-Mailer:" 項目値限定でも構わないが、
　##/DM Mailer Ver\.\d/
このような正規表現の記述で間に合うだろう。
馬鹿正直に自称版数の"Ver.1.2.2" を固定・決めうちする必要は無い。
大文字・小文字を区別する必要も無い。というか、しない方が良いだろう。

今後ともしつこいようであれば、この業者のIPレンジを禁止すればよい。
　125.53.24.0/24

ISPが一利用者に対して付与するメールアドレスで、
"@ne.jp" ドメインは幾ら何でもあり得ないだろう。第３ドメインが存在しない。
これではISPの名前（組織名）すら判らない。

今回、削除ログから発掘したspamは、IPアドレスを参照する限り国内鯖経由である。
英文というか、（私の脳みそでは理解出来ない）外国語本文にありがちな
海外鯖経由ではなかったと言う事だ。

では、何処だ！spam放任ISPはどなた様だ！と調べた次第。
> client-ip=210.2.227.205
>
> 【検索結果】
> IPアドレス　210.2.227.205
> ホスト名　　g210002227205.d030.icnet.ne.jp
> IPアドレス割当国 日本 ( jp )
> 市外局番　047
> 接続回線　CATV
> 都道府県　千葉県
> IPひろば検索ランキング　ランキング圏外
>
> 【RBL検索】
> Rbl.jp 存在しません。安全です。
> IPひろば ブラックリストに登録されています。

私一個人も「不正IPアドレス」を通報したが、少人数の報告で即・ブラックリストに
格上げされるとは考えにくく、相応の件数の通報があったものと愚考する。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@正規表現の
　　（/^[^7].{3,}/mi） が （Content-Transfer-Encoding:） に含まれる
コメント ： as ヘッダ<Content-Transfer-Encoding:>に危険な方式を含む
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 1KB
識別情報 ： 20000080

Return-Path: <wawewua76!@ne.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm08mtf.auone-net.jp
　id <20100304221927513.MF70.81084A0@nm08mtf.auone-net.jp>;
　Thu, 4 Mar 2010 22:19:27 +0900
Received: from comet14 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id 5B6F1954 ; Thu, 4 Mar 2010 22:19:27 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 210.2.227.205 is neither permitted
　nor denied by domain of ne.jp) client-ip=210.2.227.205;
　envelope-from=<wawewua76!@ne.jp>; helo=ne.jp;
Received: from ne.jp (g210002227205.d030.icnet.ne.jp [210.2.227.205])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP id 0A82989D
　for <orz@aa.dion.ne.jp>; Thu, 4 Mar 2010 22:19:27 +0900 (JST)
From: "Drugstore #1" <wawewua76!@ne.jp>
To: orz@aa.dion.ne.jp
Subject: *** User orz gets -80% pricing offer ***
Date: Thu, 4 Mar 2010 22:19:27 +0900
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <20100304131927.0A82989D@mail-gw.auone-net.jp>
X-SPF-AUTH: None (mail-gw.auone-net.jp: 210.2.227.205 is neither permitted
　nor denied by domain of ne.jp) client-ip=210.2.227.205;
　envelope-from=<wawewua76!@ne.jp>; helo=ne.jp; domain=ne.jp;
　txt=none ; auth=none;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 3
X-SMK-ORGSubject: *** User orz gets -80% pricing offer ***
X-SMK-ORGFrom: "Drugstore #1" <wawewua76!@ne.jp>
X-SMK-ORGTo: orz@aa.dion.ne.jp
X-SMK-POP3Engine: 0.76

Use your discount here ttp://7a.doublefill.ru/



yukuwi zepaxabyio coquiju sybai
nykejamour uwed jaejyguau izaagege
nour nisudutexy ekupuhozaq pobytyz
vuharuti wihade qitea ijijoxenuw
tutexovaw aozaydiau esepisyzer aciujodyd
xipihy ebiodiv muomo okei
iyvaowu bisum exupi orezoy
ihocysy auqyu ipakut yeufo
uuro duryjaa iexaume ykuduer
xisy iurigizee lyosyoviua uvoo
alif neisunal zimoty ubygijuhac
axujixu uywiqapi owutetywaz nerytoh
lajuxe ohatyeryco migi tiamyroc
paquxetewe gyylye iqafaio misolyu
rivonoduji akuis imocelek fojoodo
qafeob adike cyfobuky uapoby
guuy ozocytabi usisawov aihyvexyy
kimi aumy igyi eniivuv
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

Spam Mail Killer に自前で構築した「禁止リスト」としては、
あまり自信がない（実績に乏しい）条件であったので、本文強制保存にしていた。
お陰で、かの本文を見ることも出来たわけだが、…。
見たところでさっぱり訳が分からない。
ご本人様は『ドラッグ安売り♪』と主張しているのだから、
上記の全ては薬品の名前（商品名）なのだろうか…、不詳。

管轄らしきケーブルテレビ会社の abuse窓口 に対してアクションを起こすかは、
今のところ決めかねている。
２通目が着弾したら、「よいしょ」っと、重い腰を上げるかも知れない。

Microsoft社が、重要なアップデート喚起を配信するのは、まあ良い。
しかし如何にMS社とはいえ、"Outlook Express 6.00" ご愛用とは
戴けない。
騙される方も皆無と願いたいが、一応ヘッダ情報を。

> IPアドレス　216.52.214.254
> ホスト名　　216-52-214-254.lax.networksinmotion.net
> IPアドレス割当国　アメリカ合衆国 ( us )

メールヘッダ部の削除条件でヒットし、削除ログにはボディ部の記録がない。
従って、どのような本文であったかは不詳。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL008.TXT : TYPE-H） の条件が成立した
コメント ： ns KDDI_DION "aa.dion.ne.jp"ドメインに対する一斉攻撃
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： * 15KB
識別情報 ： 28072

Return-Path: <semifinalistsx48!!@reid-shipping.com>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20100203083618571.MFE0.8281DF0@nm01mtf.auone-net.jp>;
　Wed, 3 Feb 2010 08:36:18 +0900
Received: from comet12 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id 88F4B19C3 ; Wed, 3 Feb 2010 08:36:18 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 216.52.214.254 is neither permitted
　nor denied by domain of reid-shipping.com) client-ip=216.52.214.254;
　envelope-from=<semifinalistsx48!!@reid-shipping.com>;
　helo=216-52-214-254.lax.networksinmotion.net;
Received: from 216-52-214-254.lax.networksinmotion.net (unknown [216.52.214.254])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP id C950BF3F;
　Wed, 3 Feb 2010 08:36:17 +0900 (JST)
Received: from 216.52.214.254 by mail.reid-shipping.com;
　Tue, 2 Feb 2010 15:35:46 -0800
Message-ID: <000d01caa460$71ca9d00$6400a8c0@semifinalistsx48!!>
From: "Microsoft Support" <ui@aa.dion.ne.jp>
To: <ui@aa.dion.ne.jp>
Subject: Update for Microsoft Outlook / Outlook Express (KB910721)
Date: Tue, 2 Feb 2010 15:35:46 -0800
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=
　"----=_NextPart_000_0006_01CAA460.71CA9D00"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-SPF-AUTH: None (mail-gw.auone-net.jp: 216.52.214.254 is neither permitted
　nor denied by domain of reid-shipping.com) client-ip=216.52.214.254;
　envelope-from=<semifinalistsx48!!@reid-shipping.com>;
　helo=216-52-214-254.lax.networksinmotion.net; domain=reid-shipping.com;
　txt=none ; auth=none;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 3
X-SMK-ORGSubject: Update for Microsoft Outlook / Outlook Express (KB910721)
X-SMK-ORGFrom: "Microsoft Support" <ui@aa.dion.ne.jp>
X-SMK-ORGTo: <ui@aa.dion.ne.jp>
X-SMK-POP3Engine: 0.76
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

自称「清水　美奈子」さんは、信念を持てspamを送りつけている模様。
管轄ISPのabuseへ調査依頼を掛けている最中もお構いなしであった。
　「自称「清水　美奈子」さんからのspamをabuseに通報した」

前回同様、
IPアドレスは国内鯖を示すので、SMKのテンプレート「900番」シリーズを
全部ONにしていても防げない代物である。
IPアドレス [202.231.79.56] から調べてみると、（前回、[202.231.79.59]）

> IPアドレス　202.231.79.59
> ホスト名　　s59.IosakaFL3.vectant.ne.jp
> IPアドレス割当国　日本 ( jp )
> 市外局番　該当なし
> 接続回線　種別不明
> 都道府県　大阪府
成る程、かの自称「清水　美奈子」さんは逃げも隠れもしないという事だろう。
となれば、abuse担当は何をやっているか？である。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
Return-Path: <minako!@xn--v6qzon26cekj.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091202133752697.MFD3.80FAD48@nm01mtf.auone-net.jp>;
　Wed, 2 Dec 2009 13:37:52 +0900
Received: from comet12 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id AAD8CED ; Wed, 2 Dec 2009 13:37:52 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　xn--v6qzon26cekj.jp does not designate 202.231.79.56 as permitted sender)
　client-ip=202.231.79.56; envelope-from=<minako!@xn--v6qzon26cekj.jp>;
　helo=s49.IosakaFL3.vectant.ne.jp;
Received: from s49.IosakaFL3.vectant.ne.jp (s56.IosakaFL3.vectant.ne.jp
　[202.231.79.56]) by mail-gw.auone-net.jp (au one net mail) with SMTP
　id 204304E5 for <xxx@aa.dion.ne.jp>; Wed, 2 Dec 2009 13:37:52 +0900 (JST)
Received: (qmail 9313 invoked by uid 48); 2 Dec 2009 04:28:53 -0000
Date: 2 Dec 2009 04:28:53 -0000
Message-ID: <20091202042853.9312.qmail@s49.IosakaFL3.vectant.ne.jp>
From: 清水　美奈子 <minako!@xn--v6qzon26cekj.jp>
Reply-To: minako!@xn--v6qzon26cekj.jp
To: xxx@aa.dion.ne.jp
Subject: xxxさまに爆安ショップを紹介します！しかも無料プレゼントも実施中！
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Mailer: (114.48.191.18x:)
X-SPF-AUTH: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　xn--v6qzon26cekj.jp does not designate 202.231.79.56 as permitted sender)
　client-ip=202.231.79.56; envelope-from=<minako!@xn--v6qzon26cekj.jp>;
　helo=s49.IosakaFL3.vectant.ne.jp; domain=xn--v6qzon26cekj.jp;
　txt=v=spf1 ; auth=v1;
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

abuse様、かく語りき。

> ○○　○○ 様
>
> 株式会社 ヴェ○タントでございます。
>
> 　この度はご申告ありがとうございます。頂きましたご申告はabuse担当者にて
> 承りました。迷惑行為の撲滅に向け、適切に対処させて頂きます。
>
> 　弊社は他の通信事業者（以下、ISP）に弊社ネットワークを利用したサービスを
> 提供しております。このため、一部を除き弊社管轄のIPアドレスは、複数のISPが
> IPアドレスを共有する形で動的割り当てが行われています。
>
> 　従いましてご申告賜りました情報から調査を行い、弊社のネットワークを利用し
> 迷惑行為を行った発信者が他のISPと契約関係にある場合は、直接注意・警告を
> 申し立てる事はできず、しかるべき対応を取る様、強く依頼しております。
>
> ご了承賜りますようお願い致します。
>
>
>-----Original Massage-----
>
> ●ご申告年月日
> 2009-11-30
>
> ●ご申告者名
> ○○　○○
>
> ●メールアドレス
> xxx@aa.dion.ne.jp
>
> ●メールヘッダ
> ・・・・・

abuse担当者様、お調べ頂いていますよね？
ともあれ、二回目の通報を行った次第。

Spam Mail Killer の削除ログを調べていたら何げに気づいた。
IPアドレスは国内鯖を示すので、SMKのテンプレート「900番」シリーズを
全部ONにしていても防げない代物である。
IPアドレス [202.231.79.59] から調べてみると、

> IPアドレス　202.231.79.59
> ホスト名　　s59.IosakaFL3.vectant.ne.jp
> IPアドレス割当国　日本 ( jp )
> 市外局番　該当なし
> 接続回線　種別不明
> 都道府県　大阪府
成る程、久々にspammer放任主義かも知れないISP発見か？と少々ウンザリ。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL002.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 4KB
識別情報 ： 27771

Return-Path: <minako!@xn--gcr40mh8h55s.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091129155146541.MFF2.82F6A68@nm01mtf.auone-net.jp>;
　Sun, 29 Nov 2009 15:51:46 +0900
Received: from comet14 by fmta12.auone-net.jp (au one net mail filter) with ESMTP
　id 86F18BCD ; Sun, 29 Nov 2009 15:51:46 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　xn--gcr40mh8h55s.jp does not designate 202.231.79.59 as permitted sender)
　client-ip=202.231.79.59; envelope-from=<minako!@xn--gcr40mh8h55s.jp>;
　helo=s49.IosakaFL3.vectant.ne.jp;
Received: from s49.IosakaFL3.vectant.ne.jp (s59.IosakaFL3.vectant.ne.jp
　[202.231.79.59]) by mail-gw.auone-net.jp (au one net mail) with SMTP
　id 1C6E0946 for <xxx@aa.dion.ne.jp>; Sun, 29 Nov 2009 15:51:46 +0900 (JST)
Received: (qmail 11169 invoked by uid 48); 29 Nov 2009 05:20:42 -0000
Date: 29 Nov 2009 05:20:42 -0000
Message-ID: <20091129052042.11168.qmail@s49.IosakaFL3.vectant.ne.jp>
From: 清水　美奈子 <minako!@xn--gcr40mh8h55s.jp>
Reply-To: minako!@xn--gcr40mh8h55s.jp
To: xxx@aa.dion.ne.jp
Subject: xxx様 全商品が、爆安で手に入るショップを紹介します！
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Mailer: (114.48.189.1xx:)
X-SPF-AUTH: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　xn--gcr40mh8h55s.jp does not designate 202.231.79.59 as permitted sender)
　client-ip=202.231.79.59; envelope-from=<minako!@xn--gcr40mh8h55s.jp>;
　helo=s49.IosakaFL3.vectant.ne.jp; domain=xn--gcr40mh8h55s.jp;
　txt=v=spf1 ; auth=v1;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 2
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

> X-Mailer: (114.48.189.1xx:)
と記述されているが、これはあまり見かけない。

ともあれ、
SPF の項目値を素直に狙うのがストレスも溜まらず、簡単な対応策だと思う。
abuse に依頼（通報）するのはよいが、毎度ながら新たなspamを呼び込みそうで
少々ブルーである。

「全商品が、爆安で手に入るショップ」とあるが、
恐らく「激安店」よりも更に安いということを表現した言葉らしい。
安さ爆発！？

「Subject」項目にて『お目出度う！』と仰るが、被弾した方は嬉しくない。
今回は連日で２つのspamが届いた模様で、Spam Mail Killer の削除ログでは
時系列に連続して記録されていた。
IPアドレスは２通とも海外鯖経由を指し示し、SMKのテンプレート
"PLS906"番をONにすればよい。
> ARIN管轄IP経由のメールを削除　SN:20091022

SMKの削除ログを眺めていて、直ぐに目を引いたのだが、
・同一Subjectで、２件連続していた、
・しかし、削除理由は異なった
点である。
しかも、この２通の"From:" 項目と"To:" 項目の特徴が気になった次第。
何しろ、２通共に"To:" 項目値が示す「受取人」アドレスは、私のものではない。

> client-ip=162.39.67.194
> IPアドレス　　162.39.67.194
> ホスト名　　　h194.67.39.162.static.ip.windstream.net
> IPアドレス割当国　アメリカ合衆国 ( us )
--【１通目】--+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL007.TXT : TYPE-H） の条件が成立した
コメント ： ns KDDI_DION "aa.dion.ne.jp"ドメインに対する一斉攻撃
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： * 32KB

Return-Path: <spam!@rainfestival.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091106235839867.MFF2.820C120@nm01mtf.auone-net.jp>;
　Fri, 6 Nov 2009 23:58:39 +0900
Received: from comet13 by fmta11.auone-net.jp (au one net mail filter)
　with ESMTP id DF0FFFDA ; Fri, 6 Nov 2009 23:58:39 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 162.39.67.194 is neither permitted
　nor denied by domain of rainfestival.com) client-ip=162.39.67.194;
　envelope-from=<spam!@rainfestival.com>;
　helo=h194.67.39.162.static.ip.windstream.net;
Received: from h194.67.39.162.static.ip.windstream.net
　(h194.67.39.162.static.ip.windstream.net [162.39.67.194]) by mail-gw.auone-net.jp
　(au one net mail) with ESMTP id 8156BB09; Fri, 6 Nov 2009 23:58:28 +0900 (JST)
Received: from 162.39.67.194 by rainfestival.com; Fri, 6 Nov 2009 09:58:25 -0500
Message-ID: <000d01ca5ef1$977a89c0$6400a8c0@spam!>
From: "Media Service" <city-river.watanabe@abc.dion.ne.jp>
To: <city-river.watanabe@abc.dion.ne.jp>
Subject: Congratulations
Date: Fri, 6 Nov 2009 09:58:25 -0500
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=
　"----=_NextPart_000_0006_01CA5EF1.977A89C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
↑
"From:" 項目と"To:" 項目のメールアドレスが同一である。
私のドメイン名とは合致している。しかし、アカウント名(?)と言えばよいか、
＠記号よりも前（左側）部分は、私のものではない。
因みに、私は「渡辺さん」ではない。

このspamを釣り上げた「禁止リスト」は、
・"To:" 項目、または"Cc:" 項目のドメイン名は私のものと合致しており、
・かつ、アカウント名は不一致である
条件を踏まえて組んでみたもの。
　「"aa.dion.ne.jp"ドメインに対する一斉攻撃」
とのコメント文そのものの条件であった。

一方、２通目は、
> client-ip=76.8.185.9
> IPアドレス 76.8.185.9
> ホスト名 mail.acstuff.com
> IPアドレス割当国 アメリカ合衆国 ( us )
--【２通目】--+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@正規表現の （/\s-[01][^0]\d{2}/mi） が （Date:） に含まれる
コメント ： ns ヘッダ<Date:>に "-[01][^0]\d{2}"を含む
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： * 31KB

Return-Path: <spam!@rhythmgroove.com>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091107121057284.MFE2.81A4A38@nm01mtf.auone-net.jp>;
　Sat, 7 Nov 2009 12:10:57 +0900
Received: from comet11 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id 2E7351671 ; Sat, 7 Nov 2009 12:10:57 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 76.8.185.9 is neither permitted nor
　denied by domain of rhythmgroove.com) client-ip=76.8.185.9;
　envelope-from=<spam!@rhythmgroove.com>; helo=mail.acstuff.com;
Received: from mail.acstuff.com (unknown [76.8.185.9]) by mail-gw.auone-net.jp
　(au one net mail) with ESMTP id 87950992; Sat, 7 Nov 2009 12:10:53 +0900 (JST)
Received: from 76.8.185.9 by mx.rhythmgroove.com; Fri, 6 Nov 2009 22:10:45 -0500
Message-ID: <000d01ca5f57$e5a1a550$6400a8c0@spam!>
From: "Media Service" <kyoko-md@ui-ma.neweb.ne.jp>
To: <kyoko-md@ui-ma.neweb.ne.jp>
Subject: Congratulations
Date: Fri, 6 Nov 2009 22:10:45 -0500
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=
　"----=_NextPart_000_0006_01CA5F57.E5A1A550"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
↑
削除理由が１通目と異なる。
"To:" 項目値は、私のドメイン名と合致もせず、アカウント名、
トータルとしても私のメアドではない。
これを禁止リストの条件に組み入れると、メーリングリストやメルマガ受信が
やっかいなので、私は止めておいた。
MLやMM購読がごく少数であれば、「許可リスト」「禁止リスト」を
ほどよくバランス調整しながら組み込む手はある。

と言うか、".neweb.ne.jp" とは懐かしいが、現役であっただろうか？
メール基本仕様 (newebドメインの仕様)
NEWEB メール/ホームページ系サービス終了のお知らせ

当該ISPのサポート窓口に確認、
　『正当な差出人、「NEWEB」ユーザからメールが送信されることはあり得ない』
と言う事で、仮に在ったなら「差出人偽装」であるとの返答を戴く。
遠慮無く当該ドメイン名をspamフィルタに登録し弾いて構わないだろう。

> From: "Media Service"
というのが小賢しい。せめて"X-Mailer: Microsoft Outlook Express" 程度は
何とか小細工・工夫して欲しかったが、MUA 情報は本物だろうか…。

Microsoft社からの（本物の）通達で、
　X-Mailer: Microsoft Outlook Express 6.00.2900.2180
幾ら何でも、これはないだろう。

"Outlook" ユーザをターゲットとして、POP/SMTPなどの設定内容、
最終的にはサーバパスワードの収集を狙ったものだろうか？
本文が強制削除されているため、その狙うところは不詳。

警戒が必要かと思われた。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL007.TXT : TYPE-H） の条件が成立した
コメント ： ns KDDI_DION "aa.dion.ne.jp"ドメインに対する一斉攻撃
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： * 30KB
識別情報 ： 27437

Return-Path: <spam!@ravesports.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091015143533301.MFC3.831D1D0@nm01mtf.auone-net.jp>;
　Thu, 15 Oct 2009 14:35:33 +0900
Received: from comet13 by fmta11.auone-net.jp (au one net mail filter) with ESMTP
　id 56AFFD72 ; Thu, 15 Oct 2009 14:35:33 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 88.79.164.165 is neither permitted
　nor denied by domain of ravesports.com) client-ip=88.79.164.165;
　envelope-from=<spam!@ravesports.com>;
　helo=dialbs-088-079-164-165.static.arcor-ip.net;
Received: from dialbs-088-079-164-165.static.arcor-ip.net
　(dialbs-088-079-164-165.static.arcor-ip.net [88.79.164.165])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP
　id AEED09F1; Thu, 15 Oct 2009 14:35:31 +0900 (JST)
Received: from 88.79.164.165 by mx00.1and1.com; Thu, 15 Oct 2009 07:35:30 +0100
Message-ID: <000d01ca4d59$4ea477f0$6400a8c0@spam!>
From: "Support" <xxx@aa.dion.ne.jp>
To: <xxx@aa.dion.ne.jp>
Subject: Microsoft Outlook Notification for the xxx@aa.dion.ne.jp
Date: Thu, 15 Oct 2009 07:35:30 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=
　"----=_NextPart_000_0006_01CA4D59.4EA477F0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-SPF-AUTH: None (mail-gw.auone-net.jp: 88.79.164.165 is neither permitted
　nor denied by domain of ravesports.com) client-ip=88.79.164.165;
　envelope-from=<spam!@ravesports.com>;
　helo=dialbs-088-079-164-165.static.arcor-ip.net; domain=ravesports.com;
　txt=none ; auth=none;
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

　Content-Type: multipart/mixed; boundary=
であるが、一体何を付けてきたか？である。
そもそも、
　"From:" 項目のアドレス、
　"To:" 項目のアドレスが同一である。（但し、自分のアドレスでもない）

落ち着いてみれば、マルチパートに云々釣られることもないだろう。

このspammer、困りものである。
私のプライベートアドレス、ビジネスアドレスの両方に送りつけた。
どちらか一方だけなら、まだしも納得できる。

ともあれ、[124.101.51.81] から調べた結果、京都府の光回線。
以前に、このISPに問い合わせした際には、
　「ネットカフェから送信されたもので、当社としてはどうしようもない」
とつれないお言葉。今回は如何であろうか…？

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL002.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 3KB
識別情報 ： 27408

Return-Path: <ui@yahoo.co.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091012081603752.MFC1.81454C8@nm01mtf.auone-net.jp>;
　Mon, 12 Oct 2009 08:16:03 +0900
Received: from comet14 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id B0C957E2 ; Mon, 12 Oct 2009 08:16:03 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　yahoo.co.jp does not designate 124.101.51.81 as permitted sender)
　client-ip=124.101.51.81; envelope-from=<ui@yahoo.co.jp>;
　helo=yahoo.co.jp;
Received: from yahoo.co.jp (p6081-ipbffx02kyoto.kyoto.ocn.ne.jp [124.101.51.81])
　by mail-gw.auone-net.jp (au one net mail) with SMTP id 3D5D6EC8 for
　<xxx@aa.dion.ne.jp>; Mon, 12 Oct 2009 08:16:03 +0900 (JST)
To: <xxx@aa.dion.ne.jp>
From: <ui@yahoo.co.jp>
Subject: ◆マネーの猫より特別なご案内
MIME-Version: 1.0
Reply-To: <ui@yahoo.co.jp>
Date: Mon, 12 Oct 2009 08:16:31 +0900
Content-Type:text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL002.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： 3KB
識別情報 ： 11764

Return-Path: <ui@yahoo.co.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20091012023448524.MF12.81A1CC0@nm07mtf.auone-net.jp>;
　Mon, 12 Oct 2009 02:34:48 +0900
Received: from comet12 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id 77CE6546 ; Mon, 12 Oct 2009 02:34:48 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　yahoo.co.jp does not designate 124.101.51.81 as permitted sender)
　client-ip=124.101.51.81; envelope-from=<ui@yahoo.co.jp>;
　helo=yahoo.co.jp;
Received: from yahoo.co.jp (p6081-ipbffx02kyoto.kyoto.ocn.ne.jp [124.101.51.81])
　by mail-gw.auone-net.jp (au one net mail) with SMTP id D4593107 for
　<yyy@aa.dion.ne.jp>; Mon, 12 Oct 2009 02:34:47 +0900 (JST)
To: <yyy@aa.dion.ne.jp>
From: <ui@yahoo.co.jp>
Subject: ◆マネーの猫より特別なご案内
MIME-Version: 1.0
Reply-To: <ui@yahoo.co.jp>
Date: Mon, 12 Oct 2009 02:35:17 +0900
Content-Type:text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

話は飛ぶが…、
「マネーの猫」さんなる件名を拝見し、何の脈絡もなく突然連想されたシーン、
「招き猫とアヒル」、ほのぼのしてとても良い。
　http://www.manekinekoduck.jp/
これもご時世か、何とブログパーツまで用意されて居るではないか。

思わず、スクリプトをコピーし掛けたが、
絶対に私のキャラに似合うはずもなく温和しく止めにした。
「真空飛び膝蹴り」への道は険しい。

Spam Mail Killer の「禁止リスト」で対策済みであるが、
根本的にはSMKで駆逐するのではなく配信そのものを止めたい。
当該spammerが摘発されたら、これが最善である。

"Return-Path:" 項目の「combzmail.jp」値をISPのspamフィルタに登録できれば
対策は単純である。
しかし、残念ながら 「au one」なり「BIGLOBE」のspamフィルタ設定では、
そこまで対応できていない。

結果、spam差出人のアドレスなり、ドメイン名を延々とNGリストに登録し、
　「登録可能件数をオーバーしそうだが、以後どうするのか？」
等と言った、悲しい問い合わせも生ずる始末。
"From:" 値で幾ら弾こうが、spam 対策としては無力に等しい事は周知の通り。

下記、SMK 削除ログの着目箇所を赤色に装飾してみたが、
これらの特徴、条件のどれかをISPのspamフィルタに設定出来れば、
相当助かる。
SMKの削除ログを漁って、誤爆がないかを調べる手間がはぶけるからだ。

是非とも「au one」なり「BIGLOBE」さん、spamフィルタ仕様の強化を
ご検討頂きたい。

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
削除理由 ： 禁止リスト@複数要素 （FGL014.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダーにRFC非標準（推奨）フィールド／コードを含む
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 10KB
識別情報 ： 27340

Return-Path: <mmz-ui9q=aaa=aa.dion.ne.jp@magerr.combzmail.jp>
Received: from fmta12.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20091001212320248.MFF1.817BDF0@nm01mtf.auone-net.jp>;
　Thu, 1 Oct 2009 21:23:20 +0900
Received: from comet13 by fmta12.auone-net.jp (au one net mail filter)
　with ESMTP id 400C5D8F ; Thu, 1 Oct 2009 21:23:20 +0900 (JST)
Received-SPF: Pass (mail-gw.auone-net.jp: domain of magerr.combzmail.jp
　designates 210.188.215.4 as permitted sender) client-ip=210.188.215.4;
　envelope-from=<mmz-ui9q=aaa=aa.dion.ne.jp@magerr.combzmail.jp>;
　helo=r1147.ps.combzmail.jp;
Received: from r1147.ps.combzmail.jp (btb004.combzmail.jp [210.188.215.4])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP id D67CBB73 for
　<aaa@aa.dion.ne.jp>; Thu, 1 Oct 2009 21:23:19 +0900 (JST)
From: グローバル・インベストメンツ・ジャパン <info@kaigaitoushi.jp>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit
X-MagazineId: ui9q
X-uId: 121
X-Sender: CombzMailSender
X-Url: http://www.combzmail.jp/
Message-Id: <20091001122319.C5E141A618253@r1147.ps.combzmail.jp>
Date: Thu, 1 Oct 2009 21:23:19 +0900 (JST)
X-SPF-AUTH: Pass (mail-gw.auone-net.jp: domain of magerr.combzmail.jp
　designates 210.188.215.4 as permitted sender) client-ip=210.188.215.4;
　envelope-from=<mmz-ui9q=aaa=aa.dion.ne.jp@magerr.combzmail.jp>;
　helo=r1147.ps.combzmail.jp; domain=magerr.combzmail.jp; txt=v=spf1 ; auth=v1;
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

何げに、Googleエンジンで調べていたが、興味深い事を発見。

　//regssl.combzmail.jp/adddel.cgi?mode=del&magid= に一致する日本語のページ

ふむふむ。なかなかに高級な御技。

一時の解除と見せかけて、新たなspamを呼び込まないだろうか？
試してみたいような、怖いような、…微妙な情報である。
しかし、cgiに解除用のパラメータをぶつけてやる手法は説得力がある。

流石はBIGLOBE、品位として私が好印象のISPである。
abuse 窓口へ確認願の一報（フォーム送信）から、
　「会員規約に沿って厳重なる対応を行いました」
返信を受け取るまでの所要時間が約4時間であり、これは素早い。

IPアドレス[60.237.156.230]から調べた結果、
・国内鯖から配信、
・大阪府の光回線、であった。

今頃、かのspammerは次なるお引っ越しに忙しいかもしれない。

SMK「禁止リスト」に使えそうな特徴は、
　"X-Mailer: Easy DM free"
だろう。
spammer御用達の配信ツールの模様、そのような結果がヒットする。
　X-Mailer: Easy DM free spam に一致する日本語のページ

----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7
Received-SPF: Neutral (mail-gw.auone-net.jp: 60.237.156.230 is neither
　permitted nor denied by domain of gmail.com) client-ip=60.237.156.230;
　envelope-from=<fuurinkazan999@gmail.com>; helo=localhost.localdomain;
Received: from localhost.localdomain (FL9-60-237-156-230.osk.mesh.ad.jp
　[60.237.156.230]) by mail-gw.auone-net.jp (au one net mail) with ESMTP
　id A9CD55DB for <xxx@aa.dion.ne.jp>;
　Thu, 17 Sep 2009 05:16:03 +0900 (JST)
Received: from localhost ([127.0.0.1]) by localhost.localdomain with SMTP
　id rad521809E for <xxx@aa.dion.ne.jp>; Mon, 7 Sep 2009 18:23:02 +0900
X-Mailer: Easy DM free
From: 副業所得☆ゲット情報！ <fuurinkazan999@gmail.com>
Subject: 【限定】ある権利から生まれる、驚愕の金脈！超ド級王道ビジネス
　※お急ぎ下さい！！
----+----1----+----2----+----3----+----4----+----5----+----6----+--!-7

あくまでも気のせいであるが、「さ○らインターネット」から追放されて(?)
お引っ越しした「アノお方」だろうか？
自称「風林火山」なのだから、不動如山（うごかざること山の如し）
精神に則り、BIGLOBEを最後に自沈願う。

Spam Mail Killer で駆逐できているので些細なことだが、気になった。
国内のサーバから配信されている点である。これが、大多数を占める海外鯖経由であり、
　「また某国鯖経由か…。無法地帯だ（吐息）」
となれば、毎度のことなので気にならない。

しかし、IPアドレスは国内サーバを指し示し、その管轄ISPも立派な大手である。
末端の利用者は、東京都であり、光回線であることしか分からない。
で、取りあえず(?)
管轄ISPたる「（株）NTTPCコミュニケーションズ」の"abuse"窓口に
確認を依頼した。問い合わせフォーム形式であった。

ともあれ、この手の"abuse"窓口問い合わせは慎重に行わなければ恥をかく。
　「貴方の利用者に絶対相違ない！貴社はspammer放任主義か！」
などと一時の怒りに任せて、決めつけたクレームを送りつける行為は、
それ自体spammerと変わらぬ迷惑行為である。

> この度、下記に貼り付けましたメールを受信しました。
> お手数をお掛けしまして恐縮ですが、
> 貴ISPが管轄する「利用者」で相違なければ、調査対策をお願い申し上げます。

名文とは言い難いが、私が"abuse"窓口にお願いする際に用いる「テンプレート」は
このような案配。私の決めつけ・見込み違いとすればご免なさい、…
という気持ちを込めた文面の積もり。

"abuse"窓口から丁寧なメールも頂戴しており、かのspammerから
今後の配信が途絶えることを願う。

> 本件につきましては、メールアドレス等の個人情報を伏せた形で転送し、
> 本日（9月○日）に該当の2次プロバイダへ対応を依頼いたしました。

同時に、今回の行動によって新たなspamを呼び込まないことも願う。
通報によって、当該spamは停止したが、手を変え品を変えて３倍増しの
spamを被弾することも珍しくはない。


削除理由 ： 禁止リスト@複数要素 （FGL002.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダ<SPF:>値が不穏
アカウント ： DION_Private <pop.aa.dion.ne.jp>
サイズ ： * 11KB
識別情報 ： 11315

Return-Path: <spammer7@yahoo.co.jp>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm07mtf.auone-net.jp
　id <20090904234612820.MF73.8134A60@nm07mtf.auone-net.jp>;
　Fri, 4 Sep 2009 23:46:12 +0900
Received: from comet13 by fmta11.auone-net.jp (au one net mail filter)
　with ESMTP id 83B291515 ; Fri, 4 Sep 2009 23:46:12 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　yahoo.co.jp does not designate 119.245.192.27 as permitted sender)
　client-ip=119.245.192.27; envelope-from=<spammer7@yahoo.co.jp>;
　helo=F5211725F53043C;
Received: from F5211725F53043C (st0507.nas951.k-tokyo.nttpc.ne.jp
　[119.245.192.27]) by mail-gw.auone-net.jp (au one net mail) with ESMTP
　id 1464DA01 for <xxx@aa.dion.ne.jp>; Fri, 4 Sep 2009 23:46:12 +0900 (JST)
From: "インフォファンサポートセンター" <spammer7@yahoo.co.jp>
↑
此処までは「ふむふむ」と削除ログをぼんやり眺めていた。
Yahoo!の名を騙られる方も迷惑であろうが、おやっ？
ソフトバンクはなにやらメールサービスでトラブルを起こしたらしい。

[ITmedia]　ソフトバンク携帯でメール誤配信　差出人の誤表示も

このような不始末でspam被弾が倍増しようものなら、どうしてくれるのかが
非常に気になる。ユーザの責任ではないからだ。
ともあれ、差出人の名前から察すれば「何らかの情報サービス」如何ですか？
というスタンスらしい。間に合っている。

Subject: □■　え！！[申し込むだけ！]で10日以内になんと！35万円が即入金 !! ■□
To: "zzz" <xxx@aa.dion.ne.jp>
Content-Type: multipart/alternative; charset="shift_jis";
　boundary="EQMqh8RGkDlUTu7HN=_Kg8hB1BOT41gw27"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Organization: infofansaport
↑
> □■　え！！
"shift_jis" は困りものだ。
"8bit" も勘弁して欲しい。だが、何より恐ろしいのは…、
"infofansaport" って何のことだろうか。「インフォファン」は推論できる。

しかし、"saport" このスペルはかなり怪しい。
ATOK2009 に積み込んだ、オプション辞書にも総スカンされてしまった。
一太郎2009 の「辞書引き機能」でも匙を投げられた。

私も然りだが、英語圏で育っていない人の悲しい「日本語英語」なのだろう。

Date: Mon, 7 Sep 2009 23:46:07 +0900
Message-Id: <20090904144612.1464DA01@mail-gw.auone-net.jp>
X-SPF-AUTH: SoftFail (mail-gw.auone-net.jp: transitioning domain of
　yahoo.co.jp does not designate 119.245.192.27 as permitted sender)
　client-ip=119.245.192.27; envelope-from=<spammer7@yahoo.co.jp>;
　helo=F5211725F53043C; domain=yahoo.co.jp; txt=v=spf1 ; auth=v1;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 3
X-SMK-ORGSubject: =?shift_jis?B?gaCBoYFAgqaBSYFJW5BcgrWNnoLegr6Cr4FJXYLFMTCT+ojIk
+CCyYLIgvGCxoFJMzWWnIl+gqqRppP8i+AgISEggaGBoA==?=
X-SMK-ORGFrom: "=?shift_jis?B?g0ODk4N0g0iDdINAg5ODVIN8gVuDZ4Nag5ODXoFb?=" <spammer7@yahoo.co.jp>
X-SMK-ORGTo: "zzz" <xxx@aa.dion.ne.jp>
X-SMK-POP3Engine: 0.76

次回以降は、是非とも真っ当な"support" に挑戦して欲しい。
いや、仮にスペルが修正されてもspam配信はお断りする。

IPアドレス割当国 韓国 ( kr )。
auone-net のWebメールにログインし、「迷惑メール」フォルダの中身を
参照してみた。「ソース表示」機能で取得したが、auone-net からの
メッセージも差し込まれている。

駆除は簡単なのだが、auone-net 利用者の（その皆様の）
　「もしかすれば有効なメールアドレス」
が列記されているために、あまり穏やかではない。

１．"Subject:" 項目自体が存在しない。
２．"To:" 項目の値が「undisclosed-recipients:;」→ 但し、spam決めつけは危険。
　　正当なメルマガの一斉配信でもこのケースが見受けられた。
３．マルチパートで構成される。
４．IPアドレスは、海外鯖を指し示す。
５．"Message-Id:" 項目自体が存在しない「疑惑有り」。

手っ取り早い駆逐条件を Spam Mail Killer で実現するなら、上記の
１．と４．の特徴を狙うのが楽である。

１．に対しては、SMKテンプレート
　　[601 TYPE-H：Subject: が無いか空のメールを削除]
４．に対しては、同じく
　　[900 TYPE-H：韓国（.kr）経由の削除　SN:yyyymmdd] 〜
　　[910 TYPE-H：AfriNIC管轄IP経由のメールを削除　SN:yyyymmdd]
　即ち、900番台のテンプレを全てオンにすればよい。

さて、
Spam Mail Killer （SMK）の仕組みで誤解を受けやすいが、
そもそもSMKは、「高性能なメールチェッカー」である、と言う事。この事実に尽きる。
この前提が理解されないと、困った質問も飛びだしてくる。

　・クライアントにインストしたら、後は勝手にPOPサーバのspamを掃除してくれる
　・メーラで受信したら、削除されるべきspamを吸い込んでしまった？

等の勘違いは、「メールチェッカー」だという大前提を考えれば
自己解決するはず。
メールチェック間隔の設定時間、例えば10分間隔でPOPサーバにアクセスし、
削除条件にヒットするspam群を抹殺するのが、その仕組みである。

なかには、PC電源を落としていても勝手に24時間動作してくれる、
等の好都合な（…私こそ、それを望むが）期待を持たれる強者も存在した。


Return-Path: <xxxfulxxx@cn-qwfl.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by wmria02-i1.auone-net.jp
　with ESMTPid
　<20090315043755280.HPPM.27106.fmta11.auone-net.jp@wmria02-i1.auone-net.jp>
　for <xxx@aa.dion.ne.jp>; Sun, 15 Mar 2009 13:37:55 +0900
Received: from comet13
　by fmta11.auone-net.jp (au one net mail filter) with ESMTP id 1F291EBC3
　; Sun, 15 Mar 2009 13:37:55 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 123.109.28.146 is neither
　permitted nor denied by domain of cn-qwfl.com)
　client-ip=123.109.28.146; envelope-from=<xxxfulxxx@cn-qwfl.com>; helo=SFMOPLZY;
↑
SPF値が "None" を示すのは残念である。此処は狙いやすい箇所だがやむなし。

Received: from SFMOPLZY (unknown [123.109.28.146])
　by mail-gw.auone-net.jp (au one net mail) with ESMTP
　id 2A682459; Sun, 15 Mar 2009 13:37:49 +0900 (JST)
↑
このIPアドレスであれば、SMKテンプレ900番台で入れ食いであるが、
やはり流石に「ISPの迷惑メールフィルタ」は見逃さなかった事だろう。

Message-Id: <20090315043749.2A682459@mail-gw.auone-net.jp>
↑
大いにアヤシイ。
"auone-net" の技術サポートは
　「こちらが"Message-Id:" 値を勝手に挿入することはない」と断言したが、
本当に、本当だろうか…？まんま、補完されているようにしか見えないが…？
詰まり私は、オリジナルにはそもそも"Message-Id:" 項目など
存在しなかったと疑っている。

Date: Sun, 15 Mar 2009 13:37:49 +0900 (JST)
From: xxxfulxxx@cn-qwfl.com
To: undisclosed-recipients:;
X-SPF-AUTH: None (mail-gw.auone-net.jp: 123.109.28.146 is neither permitted
　nor denied by domain of cn-qwfl.com) client-ip=123.109.28.146;
　envelope-from=<xxxfulxxx@cn-qwfl.com>; helo=SFMOPLZY;
　domain=cn-qwfl.com; txt=none ; auth=none;
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=1237091875_25622.MULTIPART"
Content-Transfer-Encoding: 7bit
X-auonenet-Antispam: YES
X-auonenet-matriXscan: 4
Subject: [meiwaku]
↑
これが補完されたことは、止む無しである。迷惑フィルタのログなので。

X-SPATAGS: Wgv//0d0a1a;

------=1237091875_25622.MULTIPART
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
添付のメールはau one netの迷惑メールフィルターにて迷惑メールと
判定されました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今後、このメールの差出人からのメールは迷惑メールと判定されたくない場合
は、以下のURLをクリックし、「受信OK設定」を行ってください。

※下記の登録用URLの有効期限は2009年4月14日までとなっております。

　〜（略）〜

------=1237091875_25622.MULTIPART
Content-Type: message/rfc822
Content-Transfer-Encoding: 7bit

〜大幅に省略し〜

RCPT TO: <xyz01@aa.dion.ne.jp>

実に、60を超える「本物かも知れない」メールアドレスの列記。
これは気色悪い。

出来れば存在して欲しい件名、即ち "Subject:" 項目自体が存在しない。
IPアドレスは、割当国 アルゼンチン ( ar ) 、…まあ此処まではよい。
駆除できているので問題なし。とは、とても言い難い。

私の業務用mailboxをパンクさせられたら、これはかなり損害を被る。
僅か20秒の間に怒濤の８件とは、豪儀なものである。
ではない！
ISPのspamフィルタは、今後ともこの輩を放置しないで頂きたいが…。

実際問題、"auone-net" のWebメール ≒ spamフィルタにログインして驚いた。
この手の「毎分spamをどれだけ配信できるか？」を試験するかのような
「迷惑振り分け結果」件数が100件近いではないか。
頑張れ！auone-net！


削除理由 ： 禁止リスト@複数要素 （FGL004.TXT : TYPE-H） の条件が成立した
コメント ： ns ヘッダに《存在すべき》フィールドが欠落
アカウント ： KDDI_DION <pop.aa.dion.ne.jp>
サイズ ： 3KB
識別情報 ： 25968

Return-Path: <オイオイ@wizaz.com>
Received: from fmta11.auone-net.jp ([210.141.108.164]) by nm01mtf.auone-net.jp
　id <20090313082832511.MFE3.82A7CD8@nm01mtf.auone-net.jp>;
　Fri, 13 Mar 2009 08:28:32 +0900
Received: from comet12 by fmta11.auone-net.jp (au one net mail filter)
　with ESMTP id 695B04792 ; Fri, 13 Mar 2009 08:28:32 +0900 (JST)
Received-SPF: None (mail-gw.auone-net.jp: 186.12.165.199 is neither permitted
　nor denied by domain of wizaz.com) client-ip=186.12.165.199;
　envelope-from=<オイオイ@wizaz.com>; helo=RHFMDZD;
Received: from RHFMDZD (unknown [186.12.165.199]) by mail-gw.auone-net.jp
　(au one net mail) with ESMTP id 9B91CDBD; Fri, 13 Mar 2009 08:28:30 +0900 (JST)
Message-Id: <20090312232830.9B91CDBD@mail-gw.auone-net.jp>
Date: Fri, 13 Mar 2009 08:28:30 +0900 (JST)
From: オイオイ@wizaz.com
To: undisclosed-recipients:;
X-SPF-AUTH: None (mail-gw.auone-net.jp: 186.12.165.199 is neither permitted
　nor denied by domain of wizaz.com) client-ip=186.12.165.199;
　envelope-from=<オイオイ@wizaz.com>; helo=RHFMDZD; domain=wizaz.com;
　txt=none ; auth=none;
X-auonenet-Antispam: NO
X-auonenet-matriXscan: 3


で、怒濤の削除ログを時系列に。

１．Date: Fri, 13 Mar 2009 08:28:30 +0900 (JST)
２．Date: Fri, 13 Mar 2009 08:28:33 +0900 (JST)
３．Date: Fri, 13 Mar 2009 08:28:37 +0900 (JST)
４．Date: Fri, 13 Mar 2009 08:28:40 +0900 (JST)
５．Date: Fri, 13 Mar 2009 08:28:42 +0900 (JST)
６．Date: Fri, 13 Mar 2009 08:28:45 +0900 (JST)
７．Date: Fri, 13 Mar 2009 08:28:47 +0900 (JST)
８．Date: Fri, 13 Mar 2009 08:28:50 +0900 (JST)

当方も、四六時中 Spam Mail Killer 常時動作で迎撃しているわけでなく、
客先折衝なり睡眠の際はPCを落とす。この隙を狙われたら結構困る次第。

これは「13日の金曜日」の祟りである、等と冗談も出てこないし、
当方は強いて言えば「神道」なので丁重にお断りしたい。

本来であれば、Spam Mail Killer の禁止リストで迎撃できたspamであるが、
残念ながら時間差でメーラに吸い込んでしまった。
メールヘッダ "SPF:"項目の値が「SoftFail」なのだから一発でヒットする筈である。
但し、Spam Mail Killer （略してSMK）は、ある意味高機能なメールチェッカであり、
一定間隔でPOPサーバへ問い合わせ、禁止リストにヒットするspamは除去するが、
メーラ（UMA）が直接POP問い合わせした場合はやむを得ない。
メーラが受信しなければ、メールを見ることが出来ない。

この辺り、SMKの公式掲示板でも過去に何度か「勘違いによる問い合わせ」も
有った模様で、FAQに該当するかも知れない。

私の場合、SMKの「自動チェックの間隔」は、８分で設定してある。
SMKから「新規着信のお知らせ」が表示されても、別件の作業中であれば
直ぐさまメーラを起動できない場合も多い。
で、一段落してから作成中の資料などを保存し、ようやくメーラ起動となる。
その間、数分かも知れないし、数秒も有り得ることだ。
が、この時間差（ある意味POPアクセスの間隙）によって、不幸にしてspam着信、
かたやSMKはタイマーに従って、…結果、メーラでspamを吸い込んでしまう次第。

この仕掛けが分からずに、
　「本来SMKで駆除されるはずのspamをメーラで着信してしまったが…？」

という主旨の質問投稿に繋がる経緯のようだ。
が、仕組み的にこれはやむを得ないことであり、先人は（私も）
　　SMKが「時間差で」漏らしたspamが癪だから、
「POPFile」なり、メーラ自体が持つspamフィルタを二重で仕込むようだ。

私の場合、
　・"Shuriken 2008" → 学習型迷惑メールフィルタで対処
　・"秀丸メール 5.12" → 「POPFile」で対処
このように対処している。

秀丸メール向けのベイジアンフィルタもフリーで提供されていたが、
個人的には以前に実験した「POPFile」が性に合う。
興味をお持ちのかたは、「深海魚フィルター for 秀丸メール」を確認戴くとして、…

先の時間差・POPアクセスの僅かな間隙を縫って吸い込んだspam、
"Shuriken 2008"への学習材料を提供下さった事は有り難いが、
こちらの都合もお構いなしの、一方的な宴席お誘いは、甚だ迷惑である。
下記がメールヘッダ＋ソースのごく一部であるが、"Shuriken 2008"の場合、
メールヘッダを適当に改行し、タブインデントするため、完全なオリジナルではない。

Return-Path: <rxx9@24auto.biz>
Received: from fmta01.auone-net.jp ([210.155.124.184])
　by nm01mtf.auone-net.jp
　id <20081207105113775.MFE2.81D0388@nm01mtf.auone-net.jp>;
　Sun, 7 Dec 2008 10:51:13 +0900
Received: from mail-gw.auone-net.jp (comet.auone-net.jp [210.155.124.182])
　by fmta01.auone-net.jp (au one net mail filter) with ESMTP id EB5D92911
　; Sun, 7 Dec 2008 10:51:11 +0900 (JST)
Received-SPF: SoftFail (mail-gw.auone-net.jp: transitioning domain of 24auto.biz
　does not designate 203.183.142.132 as permitted sender)
　client-ip=203.183.142.132; envelope-from=<rxx9@24auto.biz>; helo=24auto.biz;
Received: from 24auto.biz (ns1.24auto.biz [203.183.142.132])
　by mail-gw.auone-net.jp (au one net mail) with SMTP id 974D0C0C
　for <xxx@aa.dion.ne.jp>; Sun, 7 Dec 2008 10:51:11 +0900 (JST)
Received: (qmail 5908 invoked by uid 0); 7 Dec 2008 10:51:11 +0900
Date: 7 Dec 2008 10:51:11 +0900
Message-ID: <20081207015111.5907.qmail@24auto.biz>
To: xxx@aa.dion.ne.jp
Subject: 13日に飲み会をやります
From: 鬼ブログ塾 <spam_qa@oniblog.net>
Reply-To: 鬼ブログ塾 <spam_qa@oniblog.net>
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
X-MC-url: ttps://24auto.biz/999/mail_cancel.php?cd=99/Yxx
X-SPF-AUTH: SoftFail (mail-gw.auone-net.jp: transitioning domain of 24auto.biz
　does not designate 203.183.142.132 as permitted sender)
　client-ip=203.183.142.132; envelope-from=<rxx9@24auto.biz>;
　helo=24auto.biz; domain=24auto.biz; txt=v=spf1 ; auth=v1;

此処までがメールヘッダであるが、このspamを抹殺する条件として、
ついつい「24auto.biz」を狙い撃ちしたくもなるが、それでは汎用性に欠ける。
　・Received-SPF: SoftFail
　・X-SPF-AUTH: SoftFail
この辺りを狙うとspam入れ食い状態となって心地よい。
一番良くないのは、差出人をブラックリスト登録することだが、それではspammerに
根気負けするのではないか？

さて、SMKが抹殺済みであったら読めなかった本文であるが、頭が痛い。
私は12/13 土曜日、某先生方の忘年会からお誘いを受けており欠席です。
飲み会と称して大阪まで誘おうとする、あなたとは違うんです。
（この言い回しを無理に使うと、その後の滑りと気まずさはかなりのものだ…）

> 　　　　　　　　　　　　　　魁！鬼ブログ塾
> --------------------------------------------- ttp://www.oniblog.net/
> ●このメールは、無料レポート等のお申込みをされた方に配信しております。
> 今後、このようなメールが不要な場合はいつでも解除できます。
> 解除方法はとても簡単です。最下部のＵＲＬをワンクリックするだけです。
↑
何度でも主張するが、私は申し込んでいない。
>
> まいど！なつき＠転売です。
>
> さて、今回は鬼転売ビジネス塾からのご案内です。
>
> 鬼転売ビジネス塾
> ttp://www.1seikou.biz/s02t.html
>
> 突然ですが、１２月に大阪にて
> 転売商品・最新情報交換会（飲み会）をやります（顔文字）

・・・省略し、・・・

> もちろん、私（なつき）も参加しますので、
> 私に何か聞きたいことがあれば、ドシドシ！ご質問くださいね。
↑
はい、質問があります。
　「無料レポート等のお申込みをされていない」
私に対し、何故に勝手にspamを送りつけるのですか？

> 今後、このメールの配信を希望されない場合は下記のURLに
> アクセスしてください。自動的に以後の配信を停止いたします。
> ttps://24auto.biz/999/mail_cancel.php?cd=99/Yxx
↑
お断りである。