怪しいメールのヘッダを解析してみました。
例の出会い系勧誘メールのその後は実に23通目。冬にもかかわらずお花畑満開です。まだ続きがありそうで結構シナリオは奥が深いなとちょっと感心。中々気合が入ってます。今までこれ程の長編シナリオにはお目にかかったことは無く、こうなるとほとんどメールマガジンみたいなモノで、意外とメールの到着を楽しみしてるエルパパでした。(^^;この手の迷惑メールはたまに来ます。中には「俺、モテモテ?」と一瞬勘違いしそうになるメールもあるのですが、メールヘッダを見ると偽装されているアドレスだったりで、ほぼ出会い系業者の勧誘メールです。メールヘッダを覗いてみると面白いことが分かります。このメール、怪しいな?と感じたらメールヘッダを見てみることをお勧めしますデス。さて1月13日の日記でアップしたメールですが、このメールヘッダについて軽く解説してみましょう。以下は届いたメールのヘッダ部分です。※hotmailのメールクライアントで表示したものをコピペ。--------------------差出人 : <natural_beauty_o@yahoo.co.jp> 返信先 : natural_beauty_o@yahoo.co.jp 送信日時 : 2005年1月10日 9:50:56 宛先 : <エルパパのメアド>件名 : Re: 通販注文書 MIME-Version: 1.0 Received: from localhost.localdomain ([222.146.107.142]) by mc1-f3.hotmail.com with Microsoft SMTPSVC(6.0.3790.211); Sun, 9 Jan 2005 16:51:17 -0800 Received: from localhost ([127.0.0.1]) by localhost.localdomain with SMTP id rad2076881 for <エルパパのメアド>; Mon, 10 Jan 2005 09:50:56 +0900 X-Message-Info: JGTYoYF78jGQH2XwDfP/OU27FllQo6QDi0VqbFSnbng= Return-Path: natural_beauty_o@yahoo.co.jp X-OriginalArrivalTime: 10 Jan 2005 00:51:17.0845 (UTC) FILETIME=[7E642050:01C4F6AE]以下本文--------------------色々と怪しげな文字が並んでますが、これを見ると偽装度合いは割りと単純ですのでサンプルとしては適切かと思います。差出人から件名までは読んで字の如くです。差出人のメアド、返信先のメアドがあります。日付、それにエルパパのメアドと続き、件名が書かれています。これだけ見ると差出人と返信先のメアドが一致していますから特に怪しい点はありません。ところが、その下に続くReceived:を見るとアレアレ?と言う状態になります。Received:は、メールがどのサーバーを経由してエルパパの元に到着したのかを表しています。ヘッダを見るとReceived:は二つありますね。Received:は下にある程送信側に近いことを表していますので、送信経路を追うときは下から上へ読みます。一番上のReceived:が最もエルパパサイドに近いということになります。Received:の基本形は Received: from 送信側 by 受信側 for 受け取りアドレスとなりますので、下の方のReceived:をこれに合わせて見てみましょう。Received: from localhost ([127.0.0.1]) by localhost.localdomain with SMTP id rad2076881 for <エルパパのメアド> Mon, 10 Jan 2005 09:50:56 +0900 分解すると 送信側は localhost ([127.0.0.1]) 受信側は localhost.localdomain with SMTP id rad2076881 受け取り <エルパパのメアド>となります。localhostさんが送った。で、localhost.localdomainサーバーがエルパパさん宛てのメールを受け取った。ということになります。localhostさんて誰? ですね。(^^;実はこのメールを送ろうとしたPCには自前のSMTPサーバー(メールの送信サーバー)が動いています。理由は、同一PCで稼動しているSMTPサーバーであれば伝送経路も自己完結してしまうので、送信者はlocalhostというデフォルト値でOKとなります。さらに言うとwith SMTP id rad2076881とありますが、メッセージIDの先頭にradが付いています。これはRadishと呼ばれるフリーのメールサーバーが送出したときの特徴で、radが付属の場合は確実にローカルのPCでRadishが稼動しています。もうこの時点で、「Re: 通販注文書」の返信メールのアドレスをうっかり間違えるなんて初歩的なミス?をするような人が、自前でメールサーバーを立ち上げてアドレスを偽装する…なんてことをする訳がありません!てなことがバレバレです。(笑)次に上の方のReceived: ですが、これでエルパパはメールを受け取っています。Received: from localhost.localdomain ([222.146.107.142]) by mc1-f3.hotmail.com with Microsoft SMTPSVC(6.0.3790.211); Sun, 9 Jan 2005 16:51:17 -0800 分解すると 送信側は localhost.localdomain ([222.146.107.142]) 受信側は mc1-f3.hotmail.com with Microsoft SMTPSVC(6.0.3790.211)となります。エルパパはhotmailを使っていますので、受け取りはMS社のメールサーバーとなっています。送信側は先ほどのlocalhost.localdomainですが、ここにはIPアドレスが表示されています。222.146.107.142がIPアドレスですので、IP検索サイトでアドレス検索してみます。すると ホスト名 p3142-ipad401marunouchi.tokyo.ocn.ne.jp ネット名 OCN 組織名 オープンコンピュータネットワークと出てきました。要するに、このお方の加入しているプロバイダはOCNということです。まとめると、 1 ローカルPCにRadishメールサーバーが稼動している。 2 このPCからエルパパ宛てにメールを送信した。 3 送信時のIPアドレスはRadishによって隠蔽され、OCNのサーバーが中継した。 4 このメールはhotmailのサーバーが受信し、エルパパに届いた。となります。メールヘッダのReturn-Path: は natural_beauty_o@yahoo.co.jp となっていますが、Received:による送信経路から判断すると、どこにもyahooなんてものは見えず、アドレスを偽装している状態が丸見えです。なんつーか、これでメール本文の内容を信じろって方が無理ってもんです。(・∀・)一般的にはメールヘッダなんてあまり見ないですが、エルパパは常時ヘッダを表示させる設定にしてますので、ぱっと見で、「あ、またradishだ!」ということで通常はごみ箱行きなんですが、これは面白いというメールはネタコレクションに加えてます!へへ。SPAMメールでお困りの方。一度メールヘッダをご覧になるとよろしいかと思います。苦情先は送信側に一番近いプロバイダになりますが「こんなのが来て困ってます」といったご相談をされてみるのも方法かと思います。エルパパは今のところ苦情を言うほど困っていないので苦笑レベルで止まってますけど…。(・∀・)■参考※1 Radish3に関してはGoogleあたりで検索すると詳しく解説しているページがあるので参照してください。本体はリンクフリーとのことなのでアドレスを載せますここ → http://homepage2.nifty.com/spw/software/radish/※2 IP検索サイトは「IP検索」のキーワードで検索エンジンで探すと出てきます。エルパパがよく使っているところはサイバーエリアリサーチ株式会社さんの検索サービスです。ここ → http://www.arearesearch.co.jp/ip-kensaku.html
出産・子育て
ファッション
美容・コスメ
健康・ダイエット
生活・インテリア
料理・食べ物
ドリンク・お酒
ペット
趣味・ゲーム
映画・TV
音楽
読書・コミック
旅行・海外情報
園芸
スポーツ
アウトドア・釣り
車・バイク
パソコン・家電
そのほか
すべてのジャンル
