人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

誰かがspamを装ってメールを送りつけようとしているとします。そこではメールアドレスを詐称して,
送り先のIPアドレスをspam databaseのものに乗っているものを選んで、毎回変更して送るとします。これを見破る方法はあるでしょうか?


●質問者: filofax
●カテゴリ:コンピュータ インターネット
✍キーワード:IPアドレス spam メール メールアドレス
○ 状態 :終了
└ 回答数 : 6/6件

▽最新の回答へ

1 ● gday
●19ポイント

逆に質問しなくてはいけないのですが、「spamを装う」というのはどういう意味でしょうか?

「見破る」というのは「送り先のIPアドレス」に送りつけられたメールが「送り先のIPアドレス」の人が受け取ったメールを見てメールアドレスを詐称していると判断する方法があるのか、という意味でしょうか?それとも「送りのIPアドレスを詐称して」という意味でしょうか?

どうもあなたの一連の質問をみていると何をしようとしているのかいまいちよく分かりませんし言葉の定義も不正確ですし、しようとしていることについて危うい印象を受けます。目的が反社会的なものであればはてなの規約違反にもなりますのであなたのしようとしていることを明らかにされた上で質問されたほうが良いと思います。


Fromアドレスの詐称自体に対してはSPFを導入すれば詐称しているのは分かります。

◎質問者からの返答

ごもっともです。もしご連絡先(空メールでも)いただければ悪意ではないことをご説明いたします。


2 ● KUROX
●19ポイント

>これを見破る方法はあるでしょうか?

見破れることもできるし、見破れないこともある。

>送り先のIPアドレスをspam database

spam databaseに乗ってるのなら、それが判断材料では?

◎質問者からの返答

それも偽造できる?


3 ● gday
●18ポイント

コメント欄が開いていないので回答で返事します。

回答2回の制限ですので私からの回答はこれで終わりになります。


>ごもっともです。もしご連絡先(空メールでも)いただければ悪意ではないことをご説明いたします。


お断りします。(空メールという表現は間違ってます)

私以外の第三者に対しても説明できなければ意味が無いですから。

◎質問者からの返答

はい、私はただの勤め人です。最近、スパムの中に、私のことをさしているのではないかというメールが来るようになりました。しばらく無視していたのですが、それでも来るので、誰かがスパムを詐称して贈ってきているのではと思うようになり、その可能性を理解したく、質問させていただきました。悪意はないことをご理解いただけたらと思います。回数制限をはずしましたので、よろしくお願いします。


4 ● kuro0680
●18ポイント

おそらく同一人物であれば、メッセージIDが似通ったものになるのではないでしょうか。

また「送り先IPアドレス」が毎回違うのであれば、毎回別のメールサーバに届くということでしょうか?

またSPAM DATABESEにあるIPアドレスとはあくまで「SPAMメールを送信しているサーバ」なので、そこにメールを送ってもあなたにメールが届くわけではありませんよ。

送り先IPアドレスがあなたのメールサーバでないのに届くということなのでしょうか。

そうだとすると相手は同一LAN内か、同じセグメント内のグローバルIPアドレスを持つメールサーバということでしょうか。

そうすれば管理者に問い合わせれば送り元は判別できそうですね。

がんばってください。

◎質問者からの返答

メッセージIDが似通ったものになるー>どのようにでしょう?

同一LAN内か、同じセグメント内のグローバルIPアドレスを持つメールサーバということでしょうか。ー>詐称できるのでは?


5 ● kuro0680
●18ポイント

回答できなかったので、こちらに記入します。

メッセージIDが似通ったものになる>というのはなぜかといいますと、おそらくヘッダ操作をしていることは間違いないと思います。それからこのいたずらが単一のツールを使っていることも予想できます。

だいたいのSPAMツールというのは、ある一定の規則にしたがってメッセージIDを生成します。それがsendmailっぽいものだったり、postfixっぽいものだったりはするかもしれませんが、大体並べてみれば同じようなものである可能性が高いのです。

ですから、同じようなものであれば「同一ツールからの送信」だとあたりをつけることができるということです。

詐称というのは送り先IP(ヘッダ中 Relay の部分)ですか? それとも送り元IP(ヘッダ中 Recieved の部分)ですか?

いずれにしても同一セグメント内のサーバからのメールであればヘッダはいくらでも偽造してメールを到達させることはできるかもしれませんが、filofaxさんの使っているサーバがそのようなリレーを許可しているのならばの話です。

質問は「送り先のIPアドレスをspam databaseのものに乗っているものを選んで、毎回変更して送る」とありますので、そもそもfilofaxさんが使っているサーバに届くこと自体が正常でないと考えます。

ですから Relay 部分がspam databaseに乗っているものでかつ、filofaxさんにメールが届くということはヘッダを不正に操作した上でメールをリレーしているということに他ならないのです。

しかしそのようなパケットが到達するということは、filofaxさんが契約しているプロバイダがよっぽどセキュリティ意識に欠けているか、同一サブネット内(セグメントといってもここではいいでしょう)かのどちらかだと考えるわけです。

おそらくしっかりとしたネットワーク環境であれば、F/Wなどでログが残っているか、メールサーバのログに残っているかだと思いますので、管理者に問い合わせてみては、ということを申し上げました。

質問の解釈に誤りがありましたらぜひご指摘下さい。

◎質問者からの返答

同じサーバー内からですか、なるほど。


1-5件表示/6件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ