« 紛らわしいスパムメールがまた来たよ | トップページ | 相反神経抑制 »

2012/05/23

スパムメールのヘッダー情報を見てみる

今回2通の「こんにちは西村です。メール届いてますか?」という西村さんからのスパムメールが届いたわけですが。
せっかくなので、メールヘッダーを調べてみることにしました。

はじめに届いたメールの送信者が「mail8@sample-h-movies.com」というアドレスで、h-moviesというふざけたドメインだったので、スパム前提で検索してみたのですが、2通目のアドレスは「nishimura@mag-mail.sakura.ne.jp」といういかにも普通にありそうなドメインだったので、2通目だけだったらかなり悩んだかも知れません。

メールヘッダーを見てみると「X-Mailer」という発信者が使用したメールソフトが「acmailer3.0」となっており、これは1通目も同じでした。
調べてみると、サーバーに設置するメルマガ配信用CGIのようです。

・acmailer│無料で使えるメール配信CGI「エーシーメーラー」
http://www.acmailer.jp/index.html

この「X-Mailer」を見れば、普通の個人メールではなくて一斉送信できるメルマガ配信メーラーからのものだとわかったんですね。
なるほど。

あと、Niftyでは「Authentication-Results」という、送信されたメールの身元を検証するためのドメイン名認証をヘッダーに付与してくれています。
(メールサーバーによっては、これがつけられないこともあるようです)

2通目の西村さんスパムメールヘッダー「Authentication-Results」には「spf=none」「sender-id=none」「dkim=none」という記述があります。
以下にその説明を。(参考:・迷惑メール対策@nifty >@niftyの取り組み

spf(Sender Policy Framework)
あらかじめDNSサーバーにメールを送信するサーバーの情報を登録しておき、受信した側が受信したメールの送信元とDNSサーバーの登録情報を照合する認証方式。
  • none SPFレコードが宣言されていない
  • neutral 送信元の認証ができたかどうか明らかにしていない
  • pass 認証に成功した
  • hardfail 認証に失敗した
  • softfail 認証に失敗したが、はっきりと認証失敗として扱ってほしくない
  • temperror 一時的な問題で認証処理を実行できなかった
  • permerror 永続的なエラーで認証処理を実行できなかった

sender-id
SPFと同様にメールの送信元とDNSサーバーの登録情報を照合する認証方式。
メールの送信元はヘッダーのResent-Sender、Resent-From、Sender、From。
(結果表示はspfと同じ)

dkim(DomainKeys Identified Mail)
送信者が送信サーバーにある秘密鍵を使ってメッセージの電子署名を付与し、受信者はDNSサーバーから送信者ドメインの公開鍵を取得し、電子署名を照合する認証方式。
  • none メールにDKIMの電子署名が付与されていない
  • neutral メールにDKIMの電子署名が付与されているが、照合処理ができなかった
  • pass メールにDKIMの電子署名が付与されており、照合が成功した
  • fail メールにDKIMの電子署名が付与されているが、照合に失敗した
  • temperror 一時的な問題で照合処理を実行できなかった
  • permerror 永続的なエラーで認証処理を実行できなかった

2通目はこのspf、sender-id、dkimのみっつともnoneだったので、これで怪しいメールかどうか判断できるかと思いましたが・・・。
うはは。
普通に届いている正常なメールでも、このみっつともnoneのメールがありました。(^^; 結局当てにならないみたい
ちなみに、1通目の西村さんスパムメールでは、spf=neutral、sender-id=neutral、dkim=none。

他にヘッダー中の「Received:」という項目をチェックしてみる、というのもあるようです。
この「Received:」は複数記述されているのですが、これを見ると経由して来たメールサーバーがわかるらしいのですが、それは送信者が使用したメールサーバーがヘッダーの下から順番に書かれているとのこと。
ですので、一番下にある「Received:」が送信者が使用したメールサーバーで、一番上にある「Received:」が自分が受け取ったメールサーバー。
なのですが、一番上以外の「Received:」は送信者が改竄可能なのだそうで、確実ではないらしいです。

とはいえ、今回2通目に来たメールヘッダー内一番下の「Received:」はこんな感じで書いてました。

Received: by mx1.sample-h-movies.com (Postfix, from userid 48)
id 3A55847CE; Tue, 22 May 2012 11:18:43 -0400 (EDT)
X-Mailer: acmailer3.0 http://www.ahref.org/

送信者の表向きメールアドレス「from」が「nishimura@mag-mail.sakura.ne.jp」にもかかわらず、実際に送信者が発信したのは「mx1.sample-h-movies.com」からで、これは「Message-Id」の「20120522151843.3A55847CE@mx1.sample-h-movies.com」とドメインが同じ。
というわけで、送信者の表向きドメイン「mag-mail.sakura.ne.jp」は偽装で、実際は「mx1.sample-h-movies.com」、と特定していい、のかな。

ひとまずこんなところ。(・・・ネットはいつでも難しい)

 


※ 05.25 追記

今朝、また同様なスパムが前回と同じふたつのメアドに届きました。
ふたつともタイトル無し本文無しの空メール。

送信者はどちらも「checkmate <nishi114@mag-mail.sakura.ne.jp>」
先日来た2通目の西村さんと同じドメインですね。
ただ、送信者名は「checkmate」さんになってます。

ヘッダーを見てみると、ふたつとも Message-Id のドメインは「@mx2.checkmate.jp」。
また、一番上流の Received: もふたつとも「by mx2.checkmate.jp (Postfix, from userid 48)」
ちなみに、X-Mailer: もまたふたつとも前回と同じ「acmailer3.0」でした。

今回は「mx2.checkmate.jp」ドメインからメルマガ送信CGI「acmailer3.0」で送信者名「checkmate」で送信した模様。

空メールで何がしたいんでしょうね?

 

|

« 紛らわしいスパムメールがまた来たよ | トップページ | 相反神経抑制 »

パソコン・インターネット」カテゴリの記事

コメント

こんにちは。
当方にも同じものが来ていました(今日)。
スパムかどうか確認したくて、送信者アドレスで
検索したら、ヒットしてたどり着きました。
とても参考になりました。ありがとうございました。

投稿: taiyaki | 2012/05/23 12:57

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/30768/54780433

この記事へのトラックバック一覧です: スパムメールのヘッダー情報を見てみる:

« 紛らわしいスパムメールがまた来たよ | トップページ | 相反神経抑制 »