ヘッダ・本文連続SPAMの対策方法 - 秀丸メール情報交換会議室 - スレッド27249, 2006/04/21

ヘッダ・本文連続SPAMの対策方法

akira6809 さん　06/04/21 09:33

既出でしたらごめんなさい。一応「ヘッダと本文」や「X-IP:」で
検索してみたのですが、見つけられなかったので質問させてください。

最近、送られてくる SPAM で、ヘッダの X-IP:xxx.xxx.xxx.xxx の
次行に空行が挿入されていなくて、連続して本文が書かれている
SPAM が非常に多いです。

例）
> ～略～
> X-MSMail-Priority: Normal
> X-IP:116.168.172.88
> ----035365233546969
> Content-Type: text/plain;
> Content-Transfer-Encoding: base64
>
> gUCBQIFAgUCEqoFjgWSBZIFjhKqBY4FkgWSBY4SqgWOBZIFkgWOEqoFjgWSBY4SqDQqBQIFA
> gUCBQIGggUAyMJHjg2+DY4NDg2CPl5CrgqqDXoFbg1GDYoNngsWCt4FCgaANCoFAgUCBQIFA
> ～略～
※ この SPAM だと、本文が gUCBQIF... から始まるように受信されます。

このパターンの SPAM だと、内容のフィルタリングでは
振り分けられません。

受信時に内容が読めるようにする方法、もしくは効率的な
フィルタリング方法があるようでしたら教えてください。

RE:27249 ヘッダ・本文連続SPAMの対策方法

アルビレオ さん　06/04/21 10:12

ユーザーのアルビレオです。

>既出でしたらごめんなさい。一応「ヘッダと本文」や「X-IP:」で
>検索してみたのですが、見つけられなかったので質問させてください。
>
>最近、送られてくる SPAM で、ヘッダの X-IP:xxx.xxx.xxx.xxx の
>次行に空行が挿入されていなくて、連続して本文が書かれている
>SPAM が非常に多いです。

念のために一覧でそのメールを選択して、右クリックメニューから「受信解析の
やりなおし」を実行してみると直るかもしれません。(期待薄)

X-IP:というのはASAHIネット(以外にも採用例があるかも)のスパムブロッカーが
付加するヘッダみたいですね。
http://www.asahi-net.or.jp/~aa4t-nngk/spamblock.html#ipfilter
だとすれば、プロバイダに「X-IP:のあとに空行がないことがある」と相談して
みた方がいいと思います。

RE:27249 ヘッダ・本文連続SPAMの対策方法

秀まるお2 さん　06/04/21 10:58

　状況がよく分からないのでなんですが、そのメールの本文というのは、秀丸
メール上で表示した時に、

gUCBQIFAgUCEqoFjgWSBZIFjhKqBY4FkgWSBY4SqgWOBZIFkgWOEqoFjgWSBY4SqDQqBQIFA
gUCBQIGggUAyMJHjg2+DY4NDg2CPl5CrgqqDXoFbg1GDYoNngsWCt4FCgaANCoFAgUCBQIFA

　みたいなbase64エンコードの文字列がそのまま出てきてしまってるってことで
しょうか。だとしたら、仮にそれを「関連するメールを開く・ログをOutlook
Expressで開く」とした場合にも同じになるのでしょうか。

　もし同じになるのだとしたら、それはそれで秀丸メールの迷惑メールフィル
ターでの「迷惑ワード」とかで判定させるのは無理だと思います。

　Outlook Express上で正しく表示されるのであれば、秀丸メール側のデコード
処理を改良することでなんとか出来るかもしれないです。そういうことでしたら、
受信ログを僕に送って欲しいです。

　受信ログは、「ファイル・エクスポート...」で「現在メールに対応する受信
ログ/送信ログをエクスポートする」として保存したファイルを添付ファイルで
僕に送っていただければいいです。送り先は、 maruo@mitene.or.jp です。

RE:27252 ヘッダ・本文連続SPAMの対策方法

akira6809 さん　06/04/21 12:35

>　状況がよく分からないのでなんですが、そのメールの本文というのは、秀丸
>メール上で表示した時に、
>
>gUCBQIFAgUCEqoFjgWSBZIFjhKqBY4FkgWSBY4SqgWOBZIFkgWOEqoFjgWSBY4SqDQqBQIFA
>gUCBQIGggUAyMJHjg2+DY4NDg2CPl5CrgqqDXoFbg1GDYoNngsWCt4FCgaANCoFAgUCBQIFA
>
>　みたいなbase64エンコードの文字列がそのまま出てきてしまってるってことで
>しょうか。

そうです。ただ、この件は解決してしまいました。（＾＾；
最新の Ver4.63 では、本文に日本語として取り込めるようです。

秀丸メールを最新版で使っていたつもりでしたが、インストーラ仕様が
Ver4.59 よりも後では変わっているようで、使用ソフトが Ver4.59 のままでした。

インストールフォルダ
C:\xxx\TuruKame ; 本体
C:\Documents and Settings\xxxx ; データ

上記の構成でずっと使っていましたが、Ver4.59 よりも後の
インストーラで「簡単インストール」を選択すると Program Files 下に
本体がインストールされる事があるようです。一時的に新バージョンで
動作しますが PC 再起動で旧バージョンが起動してしまうため、ずっと
Ver4.59 を使っていたみたいです。
※さっき上書きしてしまったので、Ver4.59 は不正確かもしれません。

数年前に使用開始してからは、ずっと「簡単」インストールで
バージョンアップしてきました。

ただ、Ver4.63 を簡単で再インストールしても Program Files には
フォルダが作成されないので、別フォルダにインストールされてしまうのは
何か他の原因かもしれませんが。。。

設定保存でレジストリ書き出し・読込を繰り返したこともあるので
どこかでレジストリ内容がおかしくなっていたのかもしれません。

RE:27265 ヘッダ・本文連続SPAMの対策方法

秀まるお2 さん　06/04/21 13:26

　一応、昔のインストーラーと今のインストーラーのソースコードを比較してみ
たんですが、アイコンの書き換え以外はこれといった違いは無いような気がしま
す。

　参考までに、regedit.exeを起動して、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
TuruKame

　の所の

UninstallString

　がどうなってるか教えて欲しいような。（もう今現在復旧してるなら手遅れの
ような気もするけど）

RE:27268 ヘッダ・本文連続SPAMの対策方法

akira6809 さん　06/04/21 14:30

>　一応、昔のインストーラーと今のインストーラーのソースコードを比較してみ
>たんですが、アイコンの書き換え以外はこれといった違いは無いような気がしま
>す。

そうですか。じゃあ、こちらで保存レジストリを復活とかする際に
何か、まずい事をやったのかもしれませんね。

一応、レジストリを確認しました。

UninstallString="C:\xxxx\TuruKame\HideInst.exe" /r

※ xxxx は元々インストールされていたフォルダ。

他の PC で様の症状が発生した場合は、このレジストリを確認して
追記します。

RE:27270 ヘッダ・本文連続SPAMの対策方法

秀まるお2 さん　06/04/21 15:52

　一応、今現在、その

> UninstallString="C:\xxxx\TuruKame\HideInst.exe" /r

　となっていて、以降のバージョンアップインストール時に問題が出ないってこ
とであれば、やはりここのレジストリが壊れてたのが直接的な原因なのかなぁと
思いますが…。

　ただその場合でも、デスクトップやスタートメニューの「秀丸メール」のシ
ョートカットは更新される（新しいTuruKame.exeがコピーされた先のフォルダに
リンク先が書き変わる）はずですが…。何か別の方法で起動してたとかってこと
ですかね。

　仮にデスクトップ／スタートメニューの「秀丸メール」ショートカットが古い
TuruKame.exeのままになっていたってことでしたら、その辺だけ調査したいと思
いますけど。