powershellを使った解析

低価格でSectigo(Comodo)SSL証明書を販売
1年間963円(税別)~

高速攻撃でも安心、低負荷ECC(ECDSA)対応の世界No.1(30.1%)の、リブランドした Sectigo(旧Comodo) SSL証明書
ドメイン認証 Comodo positive sslが1年間963円、ワイルドカード 9,990円(ドメイン認証)、5,083円(ビジネス認証)、20,990円(EV拡張ビジネス認証)。税別価格。
https://www.noble-system.com/ssl/
ビジネス認証取得サポートあり。Comodo positive ssl 1年 10ドメイン分チケット(卸売り)なら9,259円

windows10のpowershellを使った迷惑メールの解析

  1. 不明ipアドレスから管理者を調べる
    nslookupやhostで表示されない不明ipアドレスからでも、大元の管理者や位置などが調べられます
    http://(調べたいIPアドレス).ipaddress.com
    google chromeなどのwebブラウザのアドレスに入力する
    例)
    http://40.113.200.201.ipaddress.com

  2. Thunderbird の迷惑メールを作業用フォルダにコピー
    ・日付順に表示
    ・先頭の日付のメールをクリック
    ・最後の日付のメールをshiftキーを押しながらクリック
    ・右クリックのドラッグアンドドロップでc:\spamなどの適当な作業用フォルダに迷惑メールをコピーする

  3. powershellの起動
    powershell

  4. データディレクトリに移動
    powershellcd

    powershellで、迷惑メールを入れたフォルダ(ディレクトリ)に移動
    cd c:\spam

  5. 迷惑メールのファイル表示(タイトルなど)
    PS c:\spam> Get-ChildItem *.eml

  6. 全メールの件数表示
    PS c:\spam> (Get-ChildItem *.eml).Count

  7. IPからドメイン逆引きできないサイト件数表示
    PS c:\spam> (Select-String “unknown \[" *.eml).Count

  8. SPF(センダー・ポリシー・フレームワーク)チェック
    SPFフェイル件数
    PS c:\spam> (Select-String “spf=fail" *.eml).Count

    SPF softフェイル件数
    PS c:\spam> (Select-String “spf=softfail" *.eml).Count

    SPF Neutral 件数
    PS c:\spam> (Select-String “spf=Neutral" *.eml).Count
    基本ドメイン名はあっているが、ipアドレス名を含んだ動的ipやpppアクセス用のアドレスなど通常はドメイン名として使用しない逆引き結果

    SPF 未設定 件数
    PS c:\spam> (Select-String “spf=none" *.eml).Count

    SPF 未設定 件数
    PS c:\spam> (Select-String “spf=pass" *.eml).Count
    全サイトが設定すればpassだけ受信するようにでき、迷惑メールは激減!?

  9. spamを送信するサイトとしてリストアップされている件数
    (Select-String “URL listed in the" *.eml).Count

    以降はnotepad、excelなどの表計算ソフト、unix端末(curl, sed)を使用します

  10. 送信元ipアドレスをtemp.txtに抽出
    ・Select-String “sender IP" *.eml > temp.txt

    ・Notepadでtemp.txtを開く
    「sender(ブランク)IP(ブランク)is(tab文字)」を選択してコピー(ctrl-c)
    Notepadのメニューから、編集-置換で、ダイアログを開いて、検索する文字列に、ctrl-vで貼り付け
    置換後の文字列に「:」を入力して、「すべて置換」ボタンを押す

    ・) smtp」を選択してコピー(ctrl-c)
    Notepadのメニューから、編集-置換で、ダイアログを開いて、検索する文字列に、ctrl-vで貼り付け
    置換後の文字列に「:」を入力して、「すべて置換」ボタンを押す

    これをcsvファイルとしてexcelやOpenoffice Calcに読み込むと、4桁目が全て、senderのipアドレスになる

    4桁目以外を消してipアドレスの直前の桁に「curl -s http://」を入力して、ipアドレスの直後の桁に「.ipaddress.com」を入力。
    curl -s http://192.168.0.0.ipaddress.com
    のようになるように全行にコピー

    これをコピーしてunix系の端末にexec.shなどの名前でテキストファイルにして、1行目に
    #!/bin/sh
    を追加して以下のようなスクリプトファイルにする。

    ———
    #!/bin/sh

    curl -s http://192.168.0.0.ipaddress.com
    curl -s http://192.168.0.1.ipaddress.com
    curl -s http://192.168.0.2.ipaddress.com



    curl -s http://192.168.1.9.ipaddress.com
    ———

    chmod 755 exec.sh

    として実行属性を付けて、おまじない文字

    ./exec.sh | sed '/IP Country/!d’ | sed 's/<tr><th>IP Country<\/th><td><span class=\"icon icon-flag-[a-z][a-z]\"><\/span>//’ | sed 's/<\/td><\/tr>//’ >country.txt

    これでcountry.txtの中に国名に変換されたものが入る

    country.txtをexcelなどの2シートに貼り、片側を重複を消す処理をして、それを使って
    =COUNTIF(範囲,”国名(こくめい)”)
    で出現している国名とパーセントを計算

    低価格で世界No.1シェアのSectigo(Comodo)のSSL証明書販売 ドメイン認証 1年間1,040円~

    https://www.noble-system.com/ssl/

新着記事

nsicon180129

: 役立つ情報

ISO27001対応企業が行っていること

   総務省の「情報セキュリティ対策ガイドライン」です。 基本、ISO27001 ...
nsicon180129

: IT導入補助金

IT導入支援事業者 2023 採択とITツール登録のお知らせ

 IT導入支援事業者2023に採択(連続5年)されました。 登録ITツールは以下 ...
nsicon180129

: 役立つ情報

teratermを使ってfreeBSDにアクセスするとhomeキーとendキーが使えない場合

teraterm を使って freeBSD にアクセスすると home キーと ...
フェア2023

: IT導入補助金

ものづくり岡崎フェア2023に参加します。

 私がものづくりコーディネーターをしている岡崎商工会議所、岡崎市、岡崎ものづくり ...