2006年07月27日

メールヘッダの見方(超基礎「From偽装」の確認)

Return-Path (kyojin_no_hokuro@yahoo.co.jp)
Delivered-To lsty@libra.livedoor.com
Received (qmail 66749 invoked from network); 27 Jul 2006 10:02:02 +0900

Received from unknown (HELO 5a-p07-a6.data-hotel.net) (203.131.198.80)
by 0 with SMTP; 27 Jul 2006 10:02:02 +0900

Received from 5a-p07-b3.data-hotel.net (localhost.localdomain [127.0.0.1])
by 5a-p07-a6.data-hotel.net (Postfix) with SMTP id 3149B2A8098
for (lsty@libra.livedoor.com); Thu, 27 Jul 2006 10:02:00 +0900 (JST)

Received from 218.27.55.195 (218.27.55.195)
by 5a-p07-b3.data-hotel.net (F-Secure/virusgw_smtp/220/5a-p07-b3.data-hotel.net);
Thu, 27 Jul 2006 10:01:56 +0900 (JST)

X-Virus-Status clean(F-Secure/virusgw_smtp/220/5a-p07-b3.data-hotel.net)

To (lsty@libra.livedoor.com)
From fili(kyojin_no_hokuro@yahoo.co.jp)
 メールヘッダの読み方について少し調べたんですが、どうもそっち系の人が書く説明文はわかりにくいので、基本中の基本と思われる「From偽装」の確認方法をメモ。
 「From偽装」というのは、上記のように「Yahoo!メールから送られたように見せかけて、実は違うサーバからメールを送る」ということです。

1.メールヘッダを表示
2.「Received from」と書いてある複数行の、一番最後の物を確認
3.そこに書いてあるIPアドレス又はサーバ名を検索
4.検索結果のnetnameが、Fromと同一サーバであれば偽装されていない


 上記ヘッダの場合、Fromは「yahoo.co.jp」になっていますが、Received fromに書いてあるIPアドレス「218.27.55.195」を検索してnetnameを確認すると「CNCGROUP-JL」という中国のサーバである事が分かります。本当にYahoo!メールから送られている場合、netnameは「YAHOO-NET」になるはずなので、このFromは偽装されている、ということですね。
 で「CNCGROUP-JL」でGoogle検索してみると、スパムの定番サーバである事が分かります。

追記:ただ、二つのサーバ名(ドメイン名)が一致していなければ偽装、というわけではないですね。例えば某社から楽天を通じて商品を買ったんですが、その時やりとりしたメールアドレスは「某社.co.jp」で、サーバのnetnameは「Rakuten」でした。大元のサーバのIPがReceivedの最終行じゃない場合もあるし、こういうのは、その時々で判断しないといけないですね。
posted by LSTY | Comment(0) | TrackBack(0) | web | このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック
過去ログ