MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

支援詐欺サイト:Grapes 調査中

今日は調査途中で時間切れです・・・。
中途半端ですが、わかったことを少々書いておきます。

「紛争解決仲裁センター 担当藤田」にメールを送ったんですが、そうすると「Grapes」というサイトから支援詐欺の迷惑メールが立て続けに送られてくるように成りました。

支援詐欺と告訴詐欺、同じ連中がやってることがこれでまたひとつハッキリしました。

ところで、送られてきた迷惑メールに返信せず、全然違うメールアドレスからメールを送ってみたんですが、連中まったく気付いていません。

メールアドレスの照合すらやってないアホどもです。

嘘だと思う方は是非適当なメールアドレスを取得の上、試してみて下さい。
いかに知能の低い詐欺師か、お分かり頂けるでしょう。

さて、「Grapes」なんですがサイトのIP/ドメインは複数存在し、タイトルが違ってたりとおかしなことになってます。

 

メールの方は、メールヘッダを見る限りではおかしな経路を通っています。
メールヘッダは偽装可能なので全ては信用できませんが・・・。
ですが、SPF認証は通っているので直前のサーバー情報は信用できると思います。

Received-SPF: pass (1eozx68.igg: domain of ********@k7mbxzync8.biz designates 45.118.43.188 as permitted sender) receiver=1eozx68.igg; client-ip=45.118.43.188; envelope-from=********@k7mbxzync8.biz;

Authentication-Results: ********  from=k7mbxzync8.biz; domainkeys=neutral (no sig); dkim=permerror (no key); header.i=@k7mbxzync8.biz

Received: from 45.118.43.188  (EHLO 1eozx68.igg) (45.118.43.188)

Received: by f44cunt.uqc (Postfix, from userid 1002)

Received: from ffd8v07.rhk1avv4 (red2kj1xq.bhfteh [10.252.19.40])
    by n0z4pr1y.s4iftxft5 (Postfix) with ESMTP

Received: from frs001.localhost (unknown [103.243.242.199])
    by f44cunt.uqc (Postfix) with ESMTP

Received: by frs001.localhost (Postfix, from userid 1002)

Received: from localhost (unknown [10.88.4.115])
    by localhost (Postfix) with ESMTP

Received: from t2GQ7.CFNbq3Ef.911 (unknown [103.224.57.35])
    by frs001.localhost (Postfix) with ESMTP



で、SPFレコードがかなり複雑なものとなってます。
このパターン、久々に見た気がします。

この情報を元にもう少し調べたいと思います。

0:k7mbxzync8.biz [IP:103.224.57.35]
  SOAレコード:
    ゾーン名:k7mbxzync8.biz [IP:103.224.57.35]
    プライマリーDNSサーバ:01.dnsv.jp [IP:157.7.32.53]

  NSレコード:(k7mbxzync8.biz)
    DNSサーバー1:01.dnsv.jp [IP:157.7.32.53]
    DNSサーバー2:02.dnsv.jp [IP:157.7.33.53]
    DNSサーバー3:03.dnsv.jp [IP:157.7.32.35]
    DNSサーバー4:04.dnsv.jp [IP:157.7.33.35]

  a機構:

  include機構:
    spf-giv.burn-oxygen.com

  ip4機構:
    103.227.8.0/24

1:spf-giv.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:61.211.236.1]

  a機構:

  include機構:
    spf-giv001.burn-oxygen.com

  ip4機構:
    103.20.73.0/24
    103.225.52.0/22
    103.44.209.0/24
    103.250.175.0/24
    137.59.235.0/24
    160.202.134.0/24
    43.231.244.0/22
    45.118.42.0/22
    59.153.204.0/22
    103.255.2.0/22

2:spf-giv001.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns1.dns.ne.jp [IP:61.211.236.1]
    DNSサーバー2:ns2.dns.ne.jp [IP:210.224.172.13]

  a機構:

  include機構:

  ip4機構:
    103.19.118.0/24
    103.6.45.0/22
    103.228.60.0/22
    103.13.143.0/24
    103.19.160.0/22
    103.30.75.0/24
    103.54.59.0/24
    103.54.88.0/22
    103.232.201.0/24
    103.243.242.0/24
    103.254.61.0/24
    203.152.208.0/25


include機構の階層構造情報
0. k7mbxzync8.biz = root
1. spf-giv.burn-oxygen.com > 0
2. spf-giv001.burn-oxygen.com > 1