X-TuruKame-SenderCountryの??の件No.01800
siniti さん 09/05/09 16:10
 
sinitiです。

最近迷惑メ−ルが増えてきて、秀丸メールの迷惑メールの判定でも
めー枠メールに判定されなくなって困っていました。
そこで、X-TuruKame-SenderCountryを判定して、自分としては
めー枠メールとして、判断したいと思っています。
しかし、今まで自分宛に届いてメールを見ていたら、
以下のように国を判定できていないものがありました。

秀丸メールのヘッダでX-TuruKame-SenderCountryの判定で、[??]
とされる国がありますが、どのように国を判定していますか?

ちなみに、以下のメールです。
From:     "AXA-Direct Japan" <xxxx@axa-direct.co.jp>
Date:     Wed, 22 Apr 2009 13:36:10 +0900
X-TuruKame-SenderCountry: ?? [171.18.8.16] (??)

そこで、このIPアドレスを「IPアドレスから国名を検索するツール」
下記のURL参照。
http://memorva.jp/tool/app/cctld_country_code_ip_checker.php

から検索すると、以下のとおりでした。
調査結果国コード EU
国名 欧州連合
検索したIPアドレス 171.18.8.16
IPアドレスの開始位置 171.16.0.0
開始位置からのIPアドレスの数 1,179,648
対象IPアドレスの先頭部分 171.18.

[ ]
RE:01800 X-TuruKame-SenderCountryの??のNo.01801
秀まるお さん 09/05/09 20:57
 
 たしかに秀丸メールの国判定だと「??」になってしまうようです。

 ちなみに秀丸メールのデータベースは何を元にしているかというと、

 http://nami.jp/ipv4bycc/

 の所に書いてある5つのIPアドレスリストです。これを全部ダウンロードして、
独自の変換プログラムを使ってIPアドレスと国の対応リストを作り、それから検
索して国を計算しています。

 僕の所にある変換結果のテーブルをテキスト形式にした物を見ると、

DE 171.17.0.0 - 171.17.255.255
?? 171.18.0.0 - 171.18.255.255
EU 171.19.0.0 - 171.19.255.255


 となっていて、たしかにそこは「??」になってしまうようです。

 僕のと同じ情報を元に作成されているfetus様の所の「EU」の所:
  http://fetus.k-hsu.net/document/network/ipv4assign/countries/eu.html

 を見ると、

171.16.0.0/16 RIPENCC 2004-04-14
171.19.0.0/16 RIPENCC 2004-04-14

 となっていて、たしかに秀丸メールと同じうに、171.19以降からがEUとなって
いるようです。

> http://memorva.jp/tool/app/cctld_country_code_ip_checker.php
> から検索すると、以下のとおりでした。

 ここのサイトに限らずですが、いくつかある国判定サイトさんはどうやって判
定しているのやら?。

 何かヒントがあったら教えて欲しい所です。
[ ]
RE:01801 X-TuruKame-SenderCountryの??のNo.01802
たまちゃん さん 09/05/09 22:28
 
普通は whois を用いると思います。それで whois で当該アドレスを調べると,RIPE
の持ちアドレスであることが分かりました。


inetnum:        171.18.0.0 - 171.18.255.255
netname:        AXA-TECH-NET1
descr:          AXA-TECH
country:        FR
status:         ASSIGNED PI
admin-c:        AC338-RIPE
tech-c:         AC338-RIPE
tech-c:         FM2010-RIPE
tech-c:         GC2531-RIPE
remarks:        +-------------------------------------------+
remarks:        |For all spamming, hacking or abuse problems|
remarks:        |please send your requests directly to :    |
remarks:        |     xxxxxxxxxxxxxxxxxx@axa-tech.com       |
remarks:        +-------------------------------------------+
mnt-by:         AS3215-PI-MNT
mnt-lower:      AS12696-MNT
mnt-domains:    RAIN-TRANSPAC
source:         RIPE # Filtered

person:       Afranio Correia
address:      AXA Technologies Services
address:      20 Ter, rue de Bezons
address:      92411 Courbevoie Cedex
address:      France
phone:        +33 1 49 05 15 71
fax-no:       +33 1 49 04 19 03
e-mail:       xxxxxxxxxxxxxxx@axa-tech.com
nic-hdl:      AC338-RIPE
source:       RIPE # Filtered

person:       Francois Moulineau
address:      AXA Technologies Services
address:      20 Ter, rue de Bezons
address:      92411 Courbevoie Cedex
address:      France
phone:        +33 1 49 05 15 74
fax-no:       +33 1 49 04 19 03
e-mail:       xxxxxxxxxxxxxxxxxx@axa-tech.com
nic-hdl:      FM2010-RIPE
mnt-by:       RAIN-TRANSPAC
source:       RIPE # Filtered

person:       Guillaume Coudray
address:      AXA Technologies Services
address:      20 Ter, rue de Bezons
address:      92411 Courbevoie Cedex
address:      France
phone:        +33 1 49 05 11 18
fax-no:       +33 1 49 04 19 03
e-mail:       xxxxxxxxxxxxxxxxx@axa-tech.com
nic-hdl:      GC2531-RIPE
mnt-by:       RAIN-TRANSPAC
source:       RIPE # Filtered

% Information related to '171.18.0.0/16AS12696'

route:        171.18.0.0/16
descr:        AXA-TECH
origin:       AS12696
remarks:      Axa technology Services
mnt-by:       RAIN-TRANSPAC
source:       RIPE # Filtered



---以下の内容はコミュニテックス会議室システムにより付加されました。
本文中のメールアドレスは伏せ字に変換されました。伏せ字にしたくない場合
はメールアドレスを""で囲んで書き込んでください。
[ ]
RE:01802 X-TuruKame-SenderCountryの??のNo.01821
秀まるお さん 09/05/11 09:32
 
 とりあえず、「??」と判定されるメールが見つかったら1つ1つwhoisコマン
ドで調べて手作業でデータベースを更新することは可能ですけども、それはかな
り大変です。

 今現在「??」扱いになってる範囲を調べたら、4600個くらいの範囲がある
ようでした。この範囲を全部whoisコマンドで自動で調査するようなプログラム
を作って自動更新させる手もあるかもしれませんけど。

 とりあえず、171.18.0.0については手作業で更新することにしつつ、時々
「??」のメールを探しては調べるということをやろうかなぁと思います。
[ ]
RE:01821 X-TuruKame-SenderCountryの??のNo.01827
siniti さん 09/05/11 22:50
 
秀まるおさん

sinitiです。

> とりあえず、「??」と判定されるメールが見つかったら1つ1つwhoisコマン
>ドで調べて手作業でデータベースを更新することは可能ですけども、それはかな
>り大変です。

それは大変なことです。

> 今現在「??」扱いになってる範囲を調べたら、4600個くらいの範囲がある

そんなにあるのですか?

>ようでした。この範囲を全部whoisコマンドで自動で調査するようなプログラム
>を作って自動更新させる手もあるかもしれませんけど。

できればそのほうがいいかも知れませんね。

> とりあえず、171.18.0.0については手作業で更新することにしつつ、時々
>「??」のメールを探しては調べるということをやろうかなぁと思います。

言いだしっぺの、私も[??]を見つけたら報告します。
ありがとうございました。
[ ]
RE:01827 X-TuruKame-SenderCountryの??のNo.01829
秀まるお さん 09/05/12 08:43
 
 実は手元の迷惑メールから「??」判定されたメールをいくつか調べてみて、ど
うも分からないIPアドレスがあったので、せっかくなので書かせていただきます
と、

 121.46.111.1

 というのがありまして、これを

   whois -h whois.apnic.net  121.46.111.1

 で調べると、121.0.0.0〜121.255.255.255までの超広い範囲で「AU」となって
しまいます。

 しかし、

    http://memorva.jp/tool/app/cctld_country_code_ip_checker.php

 の所で調べると、「CN」となります。

 たぶん後者が正解なんだと思います。

 上記の例とは逆に、whoisコマンドで探した方が正しくて、memorva.jpさんで
調べるとどこの割り当ても返ってこないという例もあるようです。

 なかなか難しいです。
[ ]
RE:01827 X-TuruKame-SenderCountryの??のNo.01929
siniti さん 09/05/26 23:43
 
秀まるおさん

sinitiです。

>>「??」のメールを探しては調べるということをやろうかなぁと思います。

>言いだしっぺの、私も[??]を見つけたら報告します。

見つかりました。(と言うか引っかかりました)
以下のとおりです。

X-TuruKame-SenderCountry: IL [62.219.121.156] (?? IL)

但し、今回は、括弧の中が「??」です。
IPアドレスからは、正確に国名を引いています。
[ ]
RE:01929 X-TuruKame-SenderCountryの??のNo.01935
秀まるお さん 09/05/27 10:07
 
 この場合はReceived:ヘッダが2つあって、1つ目が「IL」で、2つ目が
「??」ということになります。

 [62.219.121.156] と出てきたIPアドレスは、これは1つ目のReceived:ヘッダ
から取り出したIPアドレスでして、これはこれで「IL」と判定されるのは間違っ
てないと思います。

 2つ目のReceived:ヘッダに入っていたIPアドレスが何かは、X-TuruKame-
SenderCountry:ヘッダには入ってないです。なので、Received:ヘッダの内容を
全部教えていただければ、それでなぜ「??」と判定されるのか僕の方で調べられ
ます。

 ということでReceived:ヘッダ全部教えてほしいです。
[ ]
RE:01935 X-TuruKame-SenderCountryの??のNo.01939
siniti さん 09/05/27 21:01
 
秀まるお様

sinitiです。

> ということでReceived:ヘッダ全部教えてほしいです。

下記のとおりです。

From:     "Hugo Pineda" <xxxxxxxxxx@rim.com>
To:       <xxxxx@ybb.ne.jp>
Date:     Tue, 26 May 2009 00:18:49 +0200
Subject:  Gain max size
X-Apparently-To: xxxxx@ybb.ne.jp via 124.83.170.160; Tue, 26 May 2009 06:36:
34 +0900
X-YahooFilteredBulk: 62.219.121.156
X-Originating-IP: [62.219.121.156]
Received-SPF: none (bzq-219-121-156.static.bezeqint.net: domain of bzq-219-1
21-156.static.bezeqint.net does not designate permitted sender hosts)
Authentication-Results: ybbmta80.mail.tnz.yahoo.co.jp  from=rim.com; domaink
eys=neutral (no sig)
Received: from 62.219.121.156  (HELO bzq-219-121-156.static.bezeqint.net) (6
2.219.121.156)
  by ybbmta80.mail.tnz.yahoo.co.jp with SMTP; Tue, 26 May 2009 06:36:34 +0900
Received: from chax ([186.110.80.58]) by bzq-219-121-156.static.bezeqint.net
 with Microsoft SMTPSVC(6.0.3790.0); Tue, 26 May 2009 00:18:49 +0200
Message-ID: <002001c9dd7e$65912a80$ba6e503a@sales2bschax>
MIME-Version: 1.0
Content-Type: text/plain;
 format=flowed;
 charset="windows-1252";
 reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4807.1700
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4807.1700
X-TuruKame-SenderCountry: IL [62.219.121.156] (?? IL)
X-TuruKame-Filter: checking url...

Want to live healthier life? if yes, please visit http://qq.sedbacut.cn/



---以下の内容はコミュニテックス会議室システムにより付加されました。
本文中のメールアドレスは伏せ字に変換されました。伏せ字にしたくない場合
はメールアドレスを""で囲んで書き込んでください。
[ ]
RE:01939 X-TuruKame-SenderCountryの??のNo.01940
秀まるお さん 09/05/28 10:24
 
 「??」と判定されてる方のReceived:ヘッダは、「chax」というホストから
「bzq-219-121-156.static.bezeqint.net」に対してメールが転送されたことの
ヘッダのようですが、その「bzq-219-121-156.static.bezeqint.net」というの
は、いわゆるプロバイダーにダイヤルアップ接続なりADSL接続なりしたポイント
のアドレスなんだと思います。ということは、そこに接続してる「chax」はポッ
ト感染したパソコンのホスト名であって、「??」となっているのはそのパソコン
のIPアドレスだと思います。

 普通はそういうパソコンのIPアドレスは192.168.xxx.xxxとかのローカル用の
IPアドレスになるはずなんですが、何かルーターの設定ミスか何かでグローバル
用のIPアドレスを使ってしまってるのだと思います。

 ボット感染するようなパソコンだから、その辺の管理も適当なんだと思います。
ということでこういうケースはどうにもならないと思います。

 (誰かもっと詳しい人いたら教えてほしい)
[ ]