スパムも数が少ないうちは、こんなのが来たと面白がっておれますが、たくさんになって、スパムの中に一つ、二つある知人からのメールを拾い出す作業が大変になってきます。特に、一時ウイルスが一日数百通もくるようなことがあって、これは叶わぬ、とメーラーで受信と同時にフィルターで振り分けるといったことになりました。
　この振り分けの方法ですが、メーラーによって、出来ること、出来ないことがあるようです。私は Macintoshのクラシック、つまり古いマシンで、Outlook Express 5.0、これ以上のバージョンはクラシックの Macでは使えませんが、これが Windows版の最新版と比べても振り分け機能が豊富になっていて重宝しています。まず、これはどのメーラーでも出来ると思いますが、左に示した今現在のフォルダの構成を見てください。familyとあるのは家族、特に親しい知人などからのメールです。今現在はアメリカのメル友 カレンからのものが入っています。infoがつくフォルダで営業とか人事部とかあるのは、それらの部署宛の問い合わせのコピーが私のところに入ってくるものです。イントラネットでメール日誌を掲載していて、今日はこんな問い合わせがありました、という具合にするためです。ただの infoとあるものが、それらに属しないもので基本的にはスパムです。振り分けのフィルターがないため、このフォルダに入るわけです。ウイルスはウイルスでフォルダを仕分けています。
　その下にずらっとあるのがスパム用です。forgedとあるのは発信元の IPアドレスとそのIPアドレスがあるべき ocn.ne.jpとかのドメインが一致しない場合で、メールのプロパティを見ると出ています。だいたいはスパムですが、これによるチェックはほとんど意味はありません。その後はおおまかには発信地別になっています。欧米系とあるのは IPアドレスから欧米発と推定されるものです。欧priceとあるのはガセ投資情報で、ある会社の株の値段が current priceとかあるものがここに入ります。欧米comは本文の中に xxxxxx.comといった URLが示されているものです。欧米netも同様です。中国系とあるのは IPアドレスから中国発信と推定されるものです。中国[-とあるのは、一時、これが非常に多かったのですが、発信元の IPアドレスが [-1218056448]とか、あり得ない数字になっているもので、その他の情報から中国らしいと見当をつけたものです。中国cnとあるのは本文のなかに xxxxxx.cnが含まれるものです。日本系とあるのは日本発であることが明らかなものです。今現在入っているのは so-net.ne.jpと大所のプロバイダから発信されたものです。内容は英語で so-net.ne.jpのユーザーがロボットに侵入されて、ロボットが発信したもののようです。
　次に右のフィルター、マッキントッシュの Outlookではルールと呼んでいますが、これを見てください。ずらっとフィルターが並んでいますが、上から順に振り分けの判定をするようになっています。familyはメールアドレスと特定の人にしか知らせないメールアドレス、Outlookではアカウントと言っていますが、そこに来たものです。営業部問い合わせとかは件名が決まり文句になっていますので、それで検出します。社内とあるのはメールアドレスが watanabesato.co.jpのドメインからのものです。マリンメールとあるのは、マリンナビというところのサービスでメールマガジンを発行しているので、そこからのメールアドレスで振り分けています。この段階で振り分けてないと、どこかスパムとして判定されることがありますので。info前というのはあとで説明します。
　ここからがスパム用のフィルタです。テストというのがあって無効にしていますが、これはある振り分けの設定が有効かテストするために設けたもので、テストのためだけに使っています。以下の記述は変更のあった都度書き換えることにします。

08/09/02更新。欧米系.comのチェックを中国系.cnの前にした関係で韓国発を欧米系.comの前に出した。

スパムチェックの前に正常メールとして処理するもの。（info前）
　知人などでたまたまスパムとして判定されるものがあります。そういう場合は、その人のメールアドレスで優先的に受信トレイなりに振り分けるわけです。この下がブラックリストとすればこれはホワイトリストということになります。family関係は最上級のホワイトリストですが。familyの場合はメールアドレスで明確に指定しています。
　いずれかのヘッダーが以下を含むもの。これらは概して日本の真面目なサイトだけど、たとえば、[122のほとんどは日本以外なのに[122.16.だけが日本という場合に指定しています。
　[122.16.、[202.17.、[202.18.(080221)、[210.20.、[211.5.(071226)、[211.9.、[211.11.、[211.15.、[211.17.、[211.19.、[222.151
　これらの数字はIPアドレスの先頭部分をとったものです。[122.16.」と指定すると[122.16.0.0]から[122.16.255.255]の 65,536の IPアドレスのすべてを指定したことになります。これが [122.16」だと、 [122.16.」のほかに [122.160.0.0」から [122.169.255.255」も含めた事になります。都合、72万896の IPアドレスを指定したことになります。

メーラーによるチェック　以下がブラックリストです。記述の順に優先度を高く先にチェックしています。
　X-mailerが The Bat!を含むもの。これが 45%を占めることが 07/12/30に分かった。しかし、これは過去5ヶ月のメールについてで、当日分につては 58通中、7通のみ。下火になっているということ。

ウイルス
　まずウイルスですが、時にほかのも入ることがあるので？をつけています。設定は下のようなことになっています。
　添付ファイルが zip復活(071009)pを含むもの。
　　これらは解除 (070920) 最近は添付ファイル形式のウイルスは極めて珍しい。
　実は上のような古典的なウイルスは激減して半年くらいは皆無に近かったのですが、代わって 07年8月からトロイの木馬が目立っています。単なる迷惑犯からパスワードなどを盗み出して金儲けに走り出したということ。
　トロイの木馬への誘導
　　件名が games(070918)、greeting(071027)、laugh(071109)、danc(071110)を含むもの。
　　本文が games(070918)、card(071027)、dancを含むもの。
　　トロイの木馬は基本的に犯人の指定する URLに誘導するもので件名、本文は何でもいいので特徴が掴みにくいのが特徴。とにかく指定の URLに行かないのが一番の対策。逆援助も最近は URL指定なので、中には逆援に見せかけたトロイの木馬もあると思われる。バイアグラの類も同じ。

韓国系 .comの前にチェックする　日本系の前にチェックすることにした。
　ヘッダーが [58.87(080821)、[61.80(080421)、[125(071214、解除080706→アジア系へ)、[125.18(080710)、[122.34,[122.4(080310)、[210.11(080419)、[218.233(080312)、[218.238(080310)、[219.25(080624)、[211.20(080410)、[221.15(080414)、[211.22(080415)、[220.7(080422)、[220.8(080427)、[222.23(080416)を含むもの。

アジア・フィリピン・グループ　日本語スパム
　ヘッダーが [117.104を含むもの。(080810)

日本系・zoot.jp経由
ヘッダーが zoot.jpを含むもの。(080819)

中国系58.2
　ヘッダーが [58.25(080405)→[58.2(080421)を含むもの。

欧米経由
　本文に.comを含むもの(071025)、
中国系 本文が.cnを含むもの(071127復活)

日本系
　解除。ヘッダーが yahoo.co.jpを含むもの。(080407)
　解除(080628)　ヘッダーが bbexcite.jpを含むもの。(080407)
　ヘッダーが ucom.ne.jpを含むもの。(080613)
　ヘッダーが interq.or.jpを含むもの。(080619)
　ヘッダーが firstserver.ne.jpを含むもの。(080703)
　解除。ヘッダーが marunouchi.tokyo.ocnを含むもの。(080408)
　本文が geocities.jpを含むもの。(080408)

　ヘッダーが以下を含むもの。　plala.or.jp(070427復活)、otegami.com(070525復活)、viplt.ne.jp(070628)、t-com.ne.jp(070801復活)、mdhfc.com(070915)、bbtec(071012)、so-net.ne.jp(071106復活、080525解除)、[59(071223)、[123.22(080126、解除080323)、[61.17(080605)、[143.90(080323)、[210.151.30(080205)、[125.170(080301)。

アジア系
[11([116を変更 071111)、[58.1(中国系から移動080212)、[58.6(080422)、[58.9.(08018)、[59.1(071007)、[60.5(080216)、[61.6(071007)、[125.1(071007)、[61.10(071120)、[61.19.([125.2から変更)、[117(080403)、[121(071121)、[122.1(071120)→[122(080517)、[123(071007)、[124(071123)、[125(080706)(071007)、[202.15(071007)、[202.176(080422)、[202.18(080221)、[203.109(080213)、[203.115(080127)、[203.9(071007)、[210.11.(080210)、[210.185(080725)、[211.17(071117)、[211.5(071226)、[218.1(071122)、[220.18(080201)、[220.9(071007)、[221.12(071120)、[221.12(071115)、[222.1(080311)、[222.25(071021)、.th(080524)

中国系スパム　現在の設定は以下
　ヘッダーが以下を含むもの。
.cn解除(071009、080903解除)、[-(071007)、[41(080226)、[58.18.(080212)、[58.2(071202→アジア系の前に080421)、[60.1(071121)、[60.2(071121)、[60.4.(080828)、[124.13(071120)、[203、[204(080606)、[210.5.(080730)、[218.24(080312)、[220.19(071118)、[221.19(080422)、[221.2(071118)、[221.4(071106)、[222.8(071007)。

欧米経由
　本文に current priceを含むもの(071208)
　本文に .ruを含むもの(080702)
　本文に.netを含むもの(071025)

欧米系
　ヘッダーが以下を含むもの
[7、[8、[9、、[12.(080521)、[14、[15、[16、[17、[24(071214)、[41(071230解除)、[53(071216)、[55(080118)、[57(080123)、[62、[64、[65、[66(080216)、[67、[68(071219)、[69(080208復活)、[129(080223)、[130(071215)、[166、[189、[190、[193、[194、[195、[196、[198、[200、[201、[206、[207、[208、[209(080321)、[212(080219復活)、.d(080407解除)、.ru、[213(080107)、[217(080207)、mindspring.net(080723)

中国系 都合で中国系は二つに分れている。
　ヘッダーが [-を含むもの(071022) 一時はこれが七割方を占めていた。今は完全に駆除されたようだ。
　フィルターを無効にして外す。フィルターの数は計算時間に影響する。

各フィルタの設定ですが、ウイルスの場合、右の図のようになっています。メッセージ本文が、とか件名がとかは左の中から選択するようになっています。

スパムをどうするか？のアクションですが、もっぱら「メッセージを移動」を使っていますが一応、左のメニューの中から選択するようになっています。フォルダの選択は右のようなメニューから選択します。新しく作ったフォルダはリストに出てこないので「フォルダの選択」で選択します。多分、Windowsでは「参照」になるのでしょう。右の方に手のマークがあるのはマウスカーソルです。美女の手ということにしています。カワイイあの子のことを思い浮かべながら操作するわけです。