http://q.hatena.ne.jp/1145830831
この(↑)質問の4番目の回答で紹介されている
▼Fake Mailer v1.1
http://dorl-gahm.netfirms.com/cgi-bin/door/door.cgi
の画面には以下のような表現があります。
■フェイク用オプション(相手が初心者だと引っ掛かります(^^;;)■
そこで、質問なのですが、
FROM:が偽装されていることを初心者でない上級者はどのようにして知ることができるのでしょうか?
おそらく、メールヘッダーのどこかで判断するのでしょうね。
お分りの方は教えてください。
No.1
94
0
20pt
偽装されているかどうかははっきりとは分かりません。分かりませんが Received: ヘッダの下の方 (最初の方で通過したメールサーバ) のドメインとメールアドレスの @ の右側のドメインが違っている場合は偽装されているかも知れない、と推測できます。
No.2
76128
20pt
メーラー(笑:
Message-ID:
Mime-Version:
上記のオプションは制作者(管理者)さんが認めている通り、
正規のものではないので少し調べればすぐばれますね…
ただ、多くの偽装メールは私怨絡みや計画的犯行とは無縁の、
単なる商業スパムの類なので、
宛先のメルアド(宛先名)ないしは件名を見れば、
殆ど100発100中で振り分けはできますが
(メールヘッダーを精査しなければならないほどのものは殆どないはず
#それでも通過するようなものは月に1通に満たず、
それとて文面をよく読めばすぐばれます…
(毎日200通スパムが来ていますが
一般の偽装アドレスのメールについてお伺いしているのではなく、
「相手が初心者だと引っ掛かります」と書かれていいる
Fake Mailer v1.1で偽装されたメールを受信した場合の判別方法を知りたいのですが・・・。
試しに、同上Mailerを使用して自分の携帯のアドレスに偽装して、自分のパソコンから自分のパソコンへ送ってみました。
受信メールのヘッダーのどこで判別するのかが分かりません。
No.3
17529
20pt
基本的には noboru さんと同じなのですが、
自分のアドレスのメールサーバに至るまでの経路が Received: ヘッダに書かれていますので、「一番上」の Received: を見て判断するということです。
http://www.atmarkit.co.jp/fwin2k/win2ktips/412mailreceived/m...
二番目以降 (というか、自分のメールサーバ以前の部分) は偽装されているかもしれませんので見ません。形式としてはこんな感じです:
ここで「相手サーバ」の部分も偽装されていることがあります。たとえば
などと書いてあることがありますが、from の直後の部分は任意入力なので偽装されていることがあるのです。でもカッコの中の部分は自分のメールサーバで確認した情報ですから偽装されていません。そこで whois などを使って、192.168.0.1 が本当に相手サーバのものなのかを確認することができます。
http://antispam.stakasaki.net/tools/spamclaim-tools.html
たとえば相手が携帯のアドレスなのに whois で調べたら相手サーバが OCN だったとかいう場合には偽装ですよね。
それに、相手が example.org だとしても逆引きの名前が 1-0-168-192.example.org というようなサーバから送ってくることはまずない (普通は mail.example.org みたいな名前のサーバを使う) ので、これも偽装の可能性が高いです。
ですから一番上の Received が
という場合には、相手が @netfirms.com であればおそらく大丈夫と言えます。
また、gmail などは偽装かどうかを確実に判別するための仕組みを持っています。
というようなヘッダで、DNS と公開鍵の仕組みを使って検証することができるものです。
http://japan.zdnet.com/sp/feature/netsecurity1/story/0,20000...
http://antispam.yahoo.co.jp/efforts_dk.html
丁寧解説ありがとうございます。
from qmail-cgi-norm-0.netfirms.com
のようにcgiなんてあると疑っても良いのでしょうね。
No.4
76128
20pt
#再回答をお許しあれ…
受信メールヘッダーの
メーラー(笑:
Message-ID:
Mime-Version:
の部分は、フェイクさん(このサイト)の「創作」なので、
よく調べればばれるでしょうね…
よく調べれば、というのは、
正規のメールと比較すれば、ということなので、
正規のメールをどこからか探してこなければなりませんが、
逆に言えば、正規のメールと比較しなければ、
騙されてしまうかもしれない、ということかと
特に
Message-ID:<000001be6d79a08c0d24cd85@rwm22251>
みたいな事を書かれてもばればれですが…
もし仮に
Message-ID:<573****.114594061****.JavaMail.billing.ls@linkshare.ne.jp>
みたいな書き方をされてしまうと、
そのメールを持っている本人か発信元かプロバイダーでないと、
偽装であることをすぐに見抜くのは難しいでしょう…
(警察沙汰になればどちらにしてもばれますが
結論:
Fake Mailer v1.1で偽装されたメールを受信した場合の判別方法
→メーラーで判断は難しいかも。それでMessage-IDに注目する。
000001be6d79a08c0d24cd85@rwm22251(デフォルト)は論外…
(今時は小学生でもそんなへまはしないでしょうが…
偽装が疑われる時は、相手先のプロバイダーに照会してみる。
(たとえば4443****.900****@yahoo.co.jpであればYahoo!へ
#回答回数リミット…皆様へバトンタッチです…
No.5
1366141
20pt
お疲れ様です。
Fake Mailer v1.1では差出人だけでなくメーラーとMessage-IDを偽装するようになっているわけですが、http://pcweb.mycom.co.jp/special/2003/spam/003.html
↑によれば
「X-Mailer:」フィールドを確認すれば、使用しているOSとメールソフトがほぼ確実にわかるので、メールに添付する圧縮ファイルの形式(WindowsならばZIP、UNIXならばgzip)を決められるからだ。
一方、ヘッダを偽装するスパムは通常の方法では送信されない。そのため、一般的なメールソフトでは必ずと言っていいほど記載される「X-Mailer:」フィールドそのものが省略されるか、いい加減な情報が記載されることが多い。
とのことなので、こうした見分け方をするだけならひっかかってしまいますよね。
なので、mkonomiさんが1の回答で提示されているヘッダーでしたら、
http://www5.ocn.ne.jp/~setocity/topics31.htm
のようにReceived From欄を見るとわかるように思います。
Fromが提示されていないので偽装メールのプロバイダはわかりませんが、
Received Fromにははっきり「qmail-cgi-norm-0.netfirms.com」とFake Mailer v1.1がおかれているnetfirms.comから送られていると出ていますよね。
また、今回のようにプロバイダ名がでていなくても、
http://w140.daa.jp/memphis/pc/mail.html
のようにIPアドレスから調べていけばフォームを利用している偽装メールは判別できるように思います。
以上ご参考まで。
皆さんありがとうございました。
大体の様子が理解できました。
295
177
「初心者だと引っ掛かります」とあるのは、上級者だと分かるという含みではないでしょうか?
《 Received: ヘッダの下の方》
Received: from qmail-cgi-norm-0.netfirms.com (47-mail.netfirms.com [64.34.64.47])
by rcpt-impgw.biglobe.ne.jp (kmfn/0515200406) with SMTP id k3O3KAUu009851
for <******@***.****.ne.jp>; Mon, 24 Apr 2006 12:20:12 +0900 (JST)
Received: (qmail 5895 invoked from network); 24 Apr 2006 03:20:08 -0000
Received: from unknown (10.8.8.2)by 0 with QMQP; 24 Apr 2006 03:20:08 -0000