読者です 読者をやめる 読者になる 読者になる

MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

情報商材詐欺 株式会社エキスパート その2

情報商材詐欺関係の迷惑メールを送信している、「エキスパートメール」の送信サーバーのIPアドレスを公開します。

全部で2583個判明しました。
ブログに書ききれないので、ホームページの方へアップしました。

MuramatsuGroupKiller Garage : エキスパートメール 送信サーバーIPアドレスリスト


「どうやってIPを調べたのか」ですが、前回のその1で書いたSPFレコードの範囲に、以下の特徴のあるものを探しました。
(includeされていたkagoya.netのSPFレコードの範囲は調べていません)

  • そのドメインの先頭文字パターンが"[アルファベット1文字(qかs)][数字1文字]-[数字3文字]"、且つ末尾文字パターンが"-ex.jp"


但し、これはあくまで参考資料です。既に使用されていなかったり、これから情報を変えられるかもしれません。
また、一部パターンに当てはまらないものもあります。
実際にメールヘッダから使用確認が取れたのは、ほんの一部です。
ご注意ください。

しかし、このドメインには「ある共通の情報」があり、エキスパートメール用のメールサーバーである可能性は非常に高いと思います。
それに関してはまたの機会に・・・

先頭文字パターンの部分はサブドメインです。この部分を除いたドメインは全部で46個有りました。

animal-ex.jp
bat-ex.jp
buffalo-ex.jp
camel-ex.jp
cat-ex.jp
cow-ex.jp
deer-ex.jp
dog-ex.jp
donkey-ex.jp
elephant-ex.jp
fill-ex.jp
fox-ex.jp
giraffe-ex.jp
goat-ex.jp
gorilla-ex.jp
hamster-ex.jp
hippopotamus-ex.jp
horse-ex.jp
jaguar-ex.jp
koala-ex.jp
leopard-ex.jp
lion-ex.jp
mole-ex.jp
monkey-ex.jp
mouse-ex.jp
panda-ex.jp
pig-ex.jp
polarbear-ex.jp
rabbit-ex.jp
raccoon-ex.jp
rat-ex.jp
reindeer-ex.jp
rhinoceros-ex.jp
sheep-ex.jp
skunk-ex.jp
squirrel-ex.jp
tiger-ex.jp
wolf-ex.jp
zebra-ex.jp
beast-ex.jp.
brutality-ex.jp.
canyon-ex.jp.
ego-ex.jp.
lid-ex.jp.
sail-ex.jp.
stupidity-ex.jp.


それでは、実際に来ている迷惑メールの、メールヘッダ(一部抜粋)を見てみます。
差出人が斉藤和也(kazu@kazuyasaito.com)です。

 


Received-SPF: pass (s5-206.pig-ex.jp: domain of xxxxxx@claw-ex.jp designates 153.120.3.205 as permitted sender)  
  receiver=s5-206.pig-ex.jp;
  client-ip=153.120.3.205;
  envelope-from=xxxxxx@claw-ex.jp;

Authentication-Results: mta755.mail.djm.yahoo.co.jp
  from=kazuyasaito.com;
  domainkeys=neutral (no sig);
  dkim=neutral (no sig);
  header.i=@kazuyasaito.com

Received: from 153.120.3.205  (EHLO s5-206.pig-ex.jp) (153.120.3.205)
  by mta755.mail.djm.yahoo.co.jp with SMTP;

From: =?ISO-2022-JP?B?GyRCQEZGI09CTGkbKEI=?= <kazu@kazuyasaito.com>



赤文字の部分が送信サーバーの情報です。

IPアドレスが153.120.3.205、逆引きドメイン名がs5-206.pig-ex.jpです。

青文字の部分、claw-ex.jpが実際の送信メールアドレスのドメインです。
(xxxxxxの部分は、メール1通ずつに付けられたシリアルNo.の可能性があるので、伏せてあります。)

このサーバーのIPアドレス・逆引きドメイン名も、2583個のリストの中にちゃんとあります。

リストを見ていただければわかりますが、送信サーバーは、さくらインターネットの広範囲のIP帯域に不規則に点在しています。
確かに、IPアドレスを定期的に切り替えられたら、迷惑メール送信サーバーとして特定するのは難しいと思われます。

とにかく、情報商材系の迷惑メールのメールヘッダをみて、送信サーバーが2583個のリストの中にあれば、送信しているのはエキスパートメールです。
次回も、エキスパートメールを調査していきたいと思います。