【偽装アドレスに関して】


http://q.hatena.ne.jp/1145830831
この(↑)質問の4番目の回答で紹介されている
▼Fake Mailer v1.1
http://dorl-gahm.netfirms.com/cgi-bin/door/door.cgi
の画面には以下のような表現があります。
■フェイク用オプション(相手が初心者だと引っ掛かります(^^;;)■

そこで、質問なのですが、
FROM:が偽装されていることを初心者でない上級者はどのようにして知ることができるのでしょうか?
おそらく、メールヘッダーのどこかで判断するのでしょうね。
お分りの方は教えてください。

回答の条件
  • 1人2回まで
  • 登録:2006/04/25 12:55:08
  • 終了:2006/04/25 14:32:20

回答(5件)

id:noboru No.1

noboru回答回数94ベストアンサー獲得回数02006/04/25 13:10:57

ポイント20pt

偽装されているかどうかははっきりとは分かりません。分かりませんが Received: ヘッダの下の方 (最初の方で通過したメールサーバ) のドメインとメールアドレスの @ の右側のドメインが違っている場合は偽装されているかも知れない、と推測できます。

id:mkonomi

「初心者だと引っ掛かります」とあるのは、上級者だと分かるという含みではないでしょうか?

《 Received: ヘッダの下の方》

Received: from qmail-cgi-norm-0.netfirms.com (47-mail.netfirms.com [64.34.64.47])

by rcpt-impgw.biglobe.ne.jp (kmfn/0515200406) with SMTP id k3O3KAUu009851

for <******@***.****.ne.jp>; Mon, 24 Apr 2006 12:20:12 +0900 (JST)

Received: (qmail 5895 invoked from network); 24 Apr 2006 03:20:08 -0000

Received: from unknown (10.8.8.2)by 0 with QMQP; 24 Apr 2006 03:20:08 -0000

2006/04/25 13:38:55
id:pasosavi No.2

pasosavi回答回数761ベストアンサー獲得回数282006/04/25 13:17:01

ポイント20pt

メーラー(笑:

Message-ID:

Mime-Version:


上記のオプションは制作者(管理者)さんが認めている通り、

正規のものではないので少し調べればすぐばれますね…


ただ、多くの偽装メールは私怨絡みや計画的犯行とは無縁の、

単なる商業スパムの類なので、

宛先のメルアド(宛先名)ないしは件名を見れば、

殆ど100発100中で振り分けはできますが

(メールヘッダーを精査しなければならないほどのものは殆どないはず


#それでも通過するようなものは月に1通に満たず、

 それとて文面をよく読めばすぐばれます…

 (毎日200通スパムが来ていますが

id:mkonomi

一般の偽装アドレスのメールについてお伺いしているのではなく、

「相手が初心者だと引っ掛かります」と書かれていいる

Fake Mailer v1.1で偽装されたメールを受信した場合の判別方法を知りたいのですが・・・。

試しに、同上Mailerを使用して自分の携帯のアドレスに偽装して、自分のパソコンから自分のパソコンへ送ってみました。

受信メールのヘッダーのどこで判別するのかが分かりません。

2006/04/25 13:27:47
id:ttamo No.3

たも回答回数175ベストアンサー獲得回数292006/04/25 14:16:36

ポイント20pt

基本的には noboru さんと同じなのですが、

自分のアドレスのメールサーバに至るまでの経路が Received: ヘッダに書かれていますので、「一番上」の Received: を見て判断するということです。

http://www.atmarkit.co.jp/fwin2k/win2ktips/412mailreceived/m...

二番目以降 (というか、自分のメールサーバ以前の部分) は偽装されているかもしれませんので見ません。形式としてはこんな感じです:

  • Received: from 相手サーバ by 自分サーバ ... for <自分アドレス>

ここで「相手サーバ」の部分も偽装されていることがあります。たとえば

  • Received: from 相手サーバの名前 ([192.168.0.1]) ...
  • Received: from 相手サーバの名前 (1-0-168-192.example.org [192.168.0.1]) ...

などと書いてあることがありますが、from の直後の部分は任意入力なので偽装されていることがあるのです。でもカッコの中の部分は自分のメールサーバで確認した情報ですから偽装されていません。そこで whois などを使って、192.168.0.1 が本当に相手サーバのものなのかを確認することができます。

http://antispam.stakasaki.net/tools/spamclaim-tools.html

たとえば相手が携帯のアドレスなのに whois で調べたら相手サーバが OCN だったとかいう場合には偽装ですよね。

それに、相手が example.org だとしても逆引きの名前が 1-0-168-192.example.org というようなサーバから送ってくることはまずない (普通は mail.example.org みたいな名前のサーバを使う) ので、これも偽装の可能性が高いです。

ですから一番上の Received が

  • Received: from qmail-cgi-norm-0.netfirms.com (47-mail.netfirms.com [64.34.64.47])

という場合には、相手が @netfirms.com であればおそらく大丈夫と言えます。

また、gmail などは偽装かどうかを確実に判別するための仕組みを持っています。

  • DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com; h=received:date:from:to:subject:in-reply-to:mime-version:content-type:references;...

というようなヘッダで、DNS と公開鍵の仕組みを使って検証することができるものです。

http://japan.zdnet.com/sp/feature/netsecurity1/story/0,20000...

http://antispam.yahoo.co.jp/efforts_dk.html

id:mkonomi

丁寧解説ありがとうございます。

from qmail-cgi-norm-0.netfirms.com

のようにcgiなんてあると疑っても良いのでしょうね。

2006/04/25 14:26:23
id:pasosavi No.4

pasosavi回答回数761ベストアンサー獲得回数282006/04/25 14:22:07

ポイント20pt

#再回答をお許しあれ…


受信メールヘッダーの


メーラー(笑:

Message-ID:

Mime-Version:


の部分は、フェイクさん(このサイト)の「創作」なので、

よく調べればばれるでしょうね…


よく調べれば、というのは、

正規のメールと比較すれば、ということなので、

正規のメールをどこからか探してこなければなりませんが、

逆に言えば、正規のメールと比較しなければ、

騙されてしまうかもしれない、ということかと


特に

Message-ID:<000001be6d79a08c0d24cd85@rwm22251>

みたいな事を書かれてもばればれですが…

もし仮に

Message-ID:<573****.114594061****.JavaMail.billing.ls@linkshare.ne.jp>

みたいな書き方をされてしまうと、

そのメールを持っている本人か発信元かプロバイダーでないと、

偽装であることをすぐに見抜くのは難しいでしょう…

(警察沙汰になればどちらにしてもばれますが


結論:

Fake Mailer v1.1で偽装されたメールを受信した場合の判別方法

→メーラーで判断は難しいかも。それでMessage-IDに注目する。

 000001be6d79a08c0d24cd85@rwm22251(デフォルト)は論外…

 (今時は小学生でもそんなへまはしないでしょうが…

 偽装が疑われる時は、相手先のプロバイダーに照会してみる。

 (たとえば4443****.900****@yahoo.co.jpであればYahoo!へ


#回答回数リミット…皆様へバトンタッチです…

id:rikuzai No.5

りくっち回答回数1366ベストアンサー獲得回数1412006/04/25 14:17:57

ポイント20pt

お疲れ様です。

Fake Mailer v1.1では差出人だけでなくメーラーとMessage-IDを偽装するようになっているわけですが、http://pcweb.mycom.co.jp/special/2003/spam/003.html

↑によれば

「X-Mailer:」フィールドを確認すれば、使用しているOSとメールソフトがほぼ確実にわかるので、メールに添付する圧縮ファイルの形式(WindowsならばZIP、UNIXならばgzip)を決められるからだ。

一方、ヘッダを偽装するスパムは通常の方法では送信されない。そのため、一般的なメールソフトでは必ずと言っていいほど記載される「X-Mailer:」フィールドそのものが省略されるか、いい加減な情報が記載されることが多い。

とのことなので、こうした見分け方をするだけならひっかかってしまいますよね。

なので、mkonomiさんが1の回答で提示されているヘッダーでしたら、

http://www5.ocn.ne.jp/~setocity/topics31.htm

のようにReceived From欄を見るとわかるように思います。

Fromが提示されていないので偽装メールのプロバイダはわかりませんが、

Received Fromにははっきり「qmail-cgi-norm-0.netfirms.com」とFake Mailer v1.1がおかれているnetfirms.comから送られていると出ていますよね。

また、今回のようにプロバイダ名がでていなくても、

http://w140.daa.jp/memphis/pc/mail.html

のようにIPアドレスから調べていけばフォームを利用している偽装メールは判別できるように思います。


以上ご参考まで。

id:mkonomi

皆さんありがとうございました。

大体の様子が理解できました。

2006/04/25 14:30:04

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません