誰かがspamを装ってメールを送りつけようとしているとします。そこではメールアドレスを詐称して,

送り先のIPアドレスをspam databaseのものに乗っているものを選んで、毎回変更して送るとします。これを見破る方法はあるでしょうか?

回答の条件
  • 1人5回まで
  • 登録:2008/02/08 14:44:47
  • 終了:2008/02/15 14:45:02

回答(6件)

id:gday No.1

gday回答回数383ベストアンサー獲得回数712008/02/08 17:49:42

ポイント19pt

逆に質問しなくてはいけないのですが、「spamを装う」というのはどういう意味でしょうか?

「見破る」というのは「送り先のIPアドレス」に送りつけられたメールが「送り先のIPアドレス」の人が受け取ったメールを見てメールアドレスを詐称していると判断する方法があるのか、という意味でしょうか?それとも「送りのIPアドレスを詐称して」という意味でしょうか?

どうもあなたの一連の質問をみていると何をしようとしているのかいまいちよく分かりませんし言葉の定義も不正確ですし、しようとしていることについて危うい印象を受けます。目的が反社会的なものであればはてなの規約違反にもなりますのであなたのしようとしていることを明らかにされた上で質問されたほうが良いと思います。


Fromアドレスの詐称自体に対してはSPFを導入すれば詐称しているのは分かります。

id:filofax

ごもっともです。もしご連絡先(空メールでも)いただければ悪意ではないことをご説明いたします。

2008/02/08 21:17:39
id:KUROX No.2

KUROX回答回数3542ベストアンサー獲得回数1402008/02/09 02:09:50

ポイント19pt

>これを見破る方法はあるでしょうか?

見破れることもできるし、見破れないこともある。

>送り先のIPアドレスをspam database

spam databaseに乗ってるのなら、それが判断材料では?

id:filofax

それも偽造できる?

2008/02/09 04:24:12
id:gday No.3

gday回答回数383ベストアンサー獲得回数712008/02/09 08:40:23

ポイント18pt

コメント欄が開いていないので回答で返事します。

回答2回の制限ですので私からの回答はこれで終わりになります。


>ごもっともです。もしご連絡先(空メールでも)いただければ悪意ではないことをご説明いたします。


お断りします。(空メールという表現は間違ってます)

私以外の第三者に対しても説明できなければ意味が無いですから。

id:filofax

はい、私はただの勤め人です。最近、スパムの中に、私のことをさしているのではないかというメールが来るようになりました。しばらく無視していたのですが、それでも来るので、誰かがスパムを詐称して贈ってきているのではと思うようになり、その可能性を理解したく、質問させていただきました。悪意はないことをご理解いただけたらと思います。回数制限をはずしましたので、よろしくお願いします。

2008/02/09 09:05:41
id:kuro0680 No.4

kuro0680回答回数20ベストアンサー獲得回数02008/02/09 09:49:34

ポイント18pt

おそらく同一人物であれば、メッセージIDが似通ったものになるのではないでしょうか。

また「送り先IPアドレス」が毎回違うのであれば、毎回別のメールサーバに届くということでしょうか?

またSPAM DATABESEにあるIPアドレスとはあくまで「SPAMメールを送信しているサーバ」なので、そこにメールを送ってもあなたにメールが届くわけではありませんよ。

送り先IPアドレスがあなたのメールサーバでないのに届くということなのでしょうか。

そうだとすると相手は同一LAN内か、同じセグメント内のグローバルIPアドレスを持つメールサーバということでしょうか。

そうすれば管理者に問い合わせれば送り元は判別できそうですね。

がんばってください。

id:filofax

メッセージIDが似通ったものになるー>どのようにでしょう?

同一LAN内か、同じセグメント内のグローバルIPアドレスを持つメールサーバということでしょうか。ー>詐称できるのでは?

2008/02/09 10:18:47
id:kuro0680 No.5

kuro0680回答回数20ベストアンサー獲得回数02008/02/09 16:32:02

ポイント18pt

回答できなかったので、こちらに記入します。

メッセージIDが似通ったものになる>というのはなぜかといいますと、おそらくヘッダ操作をしていることは間違いないと思います。それからこのいたずらが単一のツールを使っていることも予想できます。

だいたいのSPAMツールというのは、ある一定の規則にしたがってメッセージIDを生成します。それがsendmailっぽいものだったり、postfixっぽいものだったりはするかもしれませんが、大体並べてみれば同じようなものである可能性が高いのです。

ですから、同じようなものであれば「同一ツールからの送信」だとあたりをつけることができるということです。

詐称というのは送り先IP(ヘッダ中 Relay の部分)ですか? それとも送り元IP(ヘッダ中 Recieved の部分)ですか?

いずれにしても同一セグメント内のサーバからのメールであればヘッダはいくらでも偽造してメールを到達させることはできるかもしれませんが、filofaxさんの使っているサーバがそのようなリレーを許可しているのならばの話です。

質問は「送り先のIPアドレスをspam databaseのものに乗っているものを選んで、毎回変更して送る」とありますので、そもそもfilofaxさんが使っているサーバに届くこと自体が正常でないと考えます。

ですから Relay 部分がspam databaseに乗っているものでかつ、filofaxさんにメールが届くということはヘッダを不正に操作した上でメールをリレーしているということに他ならないのです。

しかしそのようなパケットが到達するということは、filofaxさんが契約しているプロバイダがよっぽどセキュリティ意識に欠けているか、同一サブネット内(セグメントといってもここではいいでしょう)かのどちらかだと考えるわけです。

 おそらくしっかりとしたネットワーク環境であれば、F/Wなどでログが残っているか、メールサーバのログに残っているかだと思いますので、管理者に問い合わせてみては、ということを申し上げました。

 質問の解釈に誤りがありましたらぜひご指摘下さい。

id:filofax

同じサーバー内からですか、なるほど。

2008/02/09 17:09:46
id:gday No.6

gday回答回数383ベストアンサー獲得回数712008/02/11 09:16:15

ポイント18pt

>最近、スパムの中に、私のことをさしているのではないかというメールが来るようになりました。


具体的にはどのような特徴を持ったメールなのでしょうか?

ひょっとしてメールの本文にあなたの名前が書いてあるようなメールではありませんか?

最近のspamはメールアドレスから名前を類推してメール本文に差込んで送ってきたりは普通にするので気にする必要はありません。


また、過去にアンケートなどで回答した情報が流れてそれを元にメールの内容をより個人的なものにしている場合もあります。

展示会などで名刺を渡す機会が多ければそれでもspamは来ます。


問題の「spamを装ったメール」が色々なIPアドレスから送られてきているのでしたらそれは普通のspamとみなしたほうが自然です。spam業者はそれこそ工夫して色々なIPアドレスからメールを送ってきますから。


いづれにしてもあなたが懸念を持つに至ったメールの特徴を開示しないと正確なことは分かりません。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません