町の按摩さん blog

今回２通の「こんにちは西村です。メール届いてますか？」という西村さんからのスパムメールが届いたわけですが。
せっかくなので、メールヘッダーを調べてみることにしました。

はじめに届いたメールの送信者が「mail8@sample-h-movies.com」というアドレスで、h-moviesというふざけたドメインだったので、スパム前提で検索してみたのですが、２通目のアドレスは「nishimura@mag-mail.sakura.ne.jp」といういかにも普通にありそうなドメインだったので、２通目だけだったらかなり悩んだかも知れません。

メールヘッダーを見てみると「X-Mailer」という発信者が使用したメールソフトが「acmailer3.0」となっており、これは１通目も同じでした。
調べてみると、サーバーに設置するメルマガ配信用CGIのようです。

・acmailer│無料で使えるメール配信CGI「エーシーメーラー」
http://www.acmailer.jp/index.html

この「X-Mailer」を見れば、普通の個人メールではなくて一斉送信できるメルマガ配信メーラーからのものだとわかったんですね。
なるほど。

あと、Niftyでは「Authentication-Results」という、送信されたメールの身元を検証するためのドメイン名認証をヘッダーに付与してくれています。
（メールサーバーによっては、これがつけられないこともあるようです）

２通目の西村さんスパムメールヘッダー「Authentication-Results」には「spf=none」「sender-id=none」「dkim=none」という記述があります。
以下にその説明を。（参考：・迷惑メール対策@nifty >@niftyの取り組み）

・spf（Sender Policy Framework）
あらかじめDNSサーバーにメールを送信するサーバーの情報を登録しておき、受信した側が受信したメールの送信元とDNSサーバーの登録情報を照合する認証方式。

• none SPFレコードが宣言されていない
• neutral 送信元の認証ができたかどうか明らかにしていない
• pass 認証に成功した
• hardfail 認証に失敗した
• softfail 認証に失敗したが、はっきりと認証失敗として扱ってほしくない
• temperror 一時的な問題で認証処理を実行できなかった
• permerror 永続的なエラーで認証処理を実行できなかった

・sender-id
SPFと同様にメールの送信元とDNSサーバーの登録情報を照合する認証方式。
メールの送信元はヘッダーのResent-Sender、Resent-From、Sender、From。
（結果表示はspfと同じ）

・dkim（DomainKeys Identified Mail）
送信者が送信サーバーにある秘密鍵を使ってメッセージの電子署名を付与し、受信者はDNSサーバーから送信者ドメインの公開鍵を取得し、電子署名を照合する認証方式。

• none メールにDKIMの電子署名が付与されていない
• neutral メールにDKIMの電子署名が付与されているが、照合処理ができなかった
• pass メールにDKIMの電子署名が付与されており、照合が成功した
• fail メールにDKIMの電子署名が付与されているが、照合に失敗した
• temperror 一時的な問題で照合処理を実行できなかった
• permerror 永続的なエラーで認証処理を実行できなかった

２通目はこのspf、sender-id、dkimのみっつともnoneだったので、これで怪しいメールかどうか判断できるかと思いましたが・・・。
うはは。
普通に届いている正常なメールでも、このみっつともnoneのメールがありました。(^^; 結局当てにならないみたい
ちなみに、１通目の西村さんスパムメールでは、spf=neutral、sender-id=neutral、dkim=none。

他にヘッダー中の「Received:」という項目をチェックしてみる、というのもあるようです。
この「Received:」は複数記述されているのですが、これを見ると経由して来たメールサーバーがわかるらしいのですが、それは送信者が使用したメールサーバーがヘッダーの下から順番に書かれているとのこと。
ですので、一番下にある「Received:」が送信者が使用したメールサーバーで、一番上にある「Received:」が自分が受け取ったメールサーバー。
なのですが、一番上以外の「Received:」は送信者が改竄可能なのだそうで、確実ではないらしいです。

とはいえ、今回２通目に来たメールヘッダー内一番下の「Received:」はこんな感じで書いてました。

Received: by mx1.sample-h-movies.com (Postfix, from userid 48)
id 3A55847CE; Tue, 22 May 2012 11:18:43 -0400 (EDT)
X-Mailer: acmailer3.0 http://www.ahref.org/

送信者の表向きメールアドレス「from」が「nishimura@mag-mail.sakura.ne.jp」にもかかわらず、実際に送信者が発信したのは「mx1.sample-h-movies.com」からで、これは「Message-Id」の「20120522151843.3A55847CE@mx1.sample-h-movies.com」とドメインが同じ。
というわけで、送信者の表向きドメイン「mag-mail.sakura.ne.jp」は偽装で、実際は「mx1.sample-h-movies.com」、と特定していい、のかな。

ひとまずこんなところ。（・・・ネットはいつでも難しい）

今朝、また同様なスパムが前回と同じふたつのメアドに届きました。
ふたつともタイトル無し本文無しの空メール。

送信者はどちらも「checkmate ＜nishi114@mag-mail.sakura.ne.jp＞」
先日来た２通目の西村さんと同じドメインですね。
ただ、送信者名は「checkmate」さんになってます。

ヘッダーを見てみると、ふたつとも Message-Id のドメインは「@mx2.checkmate.jp」。
また、一番上流の Received: もふたつとも「by mx2.checkmate.jp (Postfix, from userid 48)」
ちなみに、X-Mailer: もまたふたつとも前回と同じ「acmailer3.0」でした。

今回は「mx2.checkmate.jp」ドメインからメルマガ送信CGI「acmailer3.0」で送信者名「checkmate」で送信した模様。

空メールで何がしたいんでしょうね？