スパムメールのヘッダー情報を見てみる
今回2通の「こんにちは西村です。メール届いてますか?」という西村さんからのスパムメールが届いたわけですが。
せっかくなので、メールヘッダーを調べてみることにしました。
はじめに届いたメールの送信者が「mail8@sample-h-movies.com」というアドレスで、h-moviesというふざけたドメインだったので、スパム前提で検索してみたのですが、2通目のアドレスは「nishimura@mag-mail.sakura.ne.jp」といういかにも普通にありそうなドメインだったので、2通目だけだったらかなり悩んだかも知れません。
メールヘッダーを見てみると「X-Mailer」という発信者が使用したメールソフトが「acmailer3.0」となっており、これは1通目も同じでした。
調べてみると、サーバーに設置するメルマガ配信用CGIのようです。
・acmailer│無料で使えるメール配信CGI「エーシーメーラー」
http://www.acmailer.jp/index.html
この「X-Mailer」を見れば、普通の個人メールではなくて一斉送信できるメルマガ配信メーラーからのものだとわかったんですね。
なるほど。
あと、Niftyでは「Authentication-Results」という、送信されたメールの身元を検証するためのドメイン名認証をヘッダーに付与してくれています。
(メールサーバーによっては、これがつけられないこともあるようです)
2通目の西村さんスパムメールヘッダー「Authentication-Results」には「spf=none」「sender-id=none」「dkim=none」という記述があります。
以下にその説明を。(参考:・迷惑メール対策@nifty >@niftyの取り組み)
・spf(Sender Policy Framework)
あらかじめDNSサーバーにメールを送信するサーバーの情報を登録しておき、受信した側が受信したメールの送信元とDNSサーバーの登録情報を照合する認証方式。
- none SPFレコードが宣言されていない
- neutral 送信元の認証ができたかどうか明らかにしていない
- pass 認証に成功した
- hardfail 認証に失敗した
- softfail 認証に失敗したが、はっきりと認証失敗として扱ってほしくない
- temperror 一時的な問題で認証処理を実行できなかった
- permerror 永続的なエラーで認証処理を実行できなかった
・sender-id
SPFと同様にメールの送信元とDNSサーバーの登録情報を照合する認証方式。
メールの送信元はヘッダーのResent-Sender、Resent-From、Sender、From。
(結果表示はspfと同じ)
・dkim(DomainKeys Identified Mail)
送信者が送信サーバーにある秘密鍵を使ってメッセージの電子署名を付与し、受信者はDNSサーバーから送信者ドメインの公開鍵を取得し、電子署名を照合する認証方式。
- none メールにDKIMの電子署名が付与されていない
- neutral メールにDKIMの電子署名が付与されているが、照合処理ができなかった
- pass メールにDKIMの電子署名が付与されており、照合が成功した
- fail メールにDKIMの電子署名が付与されているが、照合に失敗した
- temperror 一時的な問題で照合処理を実行できなかった
- permerror 永続的なエラーで認証処理を実行できなかった
2通目はこのspf、sender-id、dkimのみっつともnoneだったので、これで怪しいメールかどうか判断できるかと思いましたが・・・。
うはは。
普通に届いている正常なメールでも、このみっつともnoneのメールがありました。(^^; 結局当てにならないみたい
ちなみに、1通目の西村さんスパムメールでは、spf=neutral、sender-id=neutral、dkim=none。
他にヘッダー中の「Received:」という項目をチェックしてみる、というのもあるようです。
この「Received:」は複数記述されているのですが、これを見ると経由して来たメールサーバーがわかるらしいのですが、それは送信者が使用したメールサーバーがヘッダーの下から順番に書かれているとのこと。
ですので、一番下にある「Received:」が送信者が使用したメールサーバーで、一番上にある「Received:」が自分が受け取ったメールサーバー。
なのですが、一番上以外の「Received:」は送信者が改竄可能なのだそうで、確実ではないらしいです。
とはいえ、今回2通目に来たメールヘッダー内一番下の「Received:」はこんな感じで書いてました。
Received: by mx1.sample-h-movies.com (Postfix, from userid 48)
id 3A55847CE; Tue, 22 May 2012 11:18:43 -0400 (EDT)
X-Mailer: acmailer3.0 http://www.ahref.org/
送信者の表向きメールアドレス「from」が「nishimura@mag-mail.sakura.ne.jp」にもかかわらず、実際に送信者が発信したのは「mx1.sample-h-movies.com」からで、これは「Message-Id」の「20120522151843.3A55847CE@mx1.sample-h-movies.com」とドメインが同じ。
というわけで、送信者の表向きドメイン「mag-mail.sakura.ne.jp」は偽装で、実際は「mx1.sample-h-movies.com」、と特定していい、のかな。
ひとまずこんなところ。(・・・ネットはいつでも難しい)
※ 05.25 追記
今朝、また同様なスパムが前回と同じふたつのメアドに届きました。
ふたつともタイトル無し本文無しの空メール。
送信者はどちらも「checkmate <nishi114@mag-mail.sakura.ne.jp>」
先日来た2通目の西村さんと同じドメインですね。
ただ、送信者名は「checkmate」さんになってます。
ヘッダーを見てみると、ふたつとも Message-Id のドメインは「@mx2.checkmate.jp」。
また、一番上流の Received: もふたつとも「by mx2.checkmate.jp (Postfix, from userid 48)」
ちなみに、X-Mailer: もまたふたつとも前回と同じ「acmailer3.0」でした。
今回は「mx2.checkmate.jp」ドメインからメルマガ送信CGI「acmailer3.0」で送信者名「checkmate」で送信した模様。
空メールで何がしたいんでしょうね?
| 固定リンク
「パソコン・インターネット」カテゴリの記事
- 友だちがKindle版小説を出版したよ(2016.10.04)
- やっとスマホ専用ページが完成(2016.04.22)
- Kindle無料キャンペーンの結果(2016.04.16)
- 「簡単!本格的!電子書籍の作り方」Kindle版無料キャンペーン(2016.04.08)
- 素人がAmazonで電子書籍を売るには(2016.04.08)
コメント
こんにちは。
当方にも同じものが来ていました(今日)。
スパムかどうか確認したくて、送信者アドレスで
検索したら、ヒットしてたどり着きました。
とても参考になりました。ありがとうございました。
投稿: taiyaki | 2012/05/23 12:57