No.140 2002/11/11
発信ホスト名を偽ったスパムメール

 私はこれまで、スパムメールを受けないためのいろいろな対策をとってきました。メールサーバで拒絶するという専門的な方法(第110回参照)だけでなく、一般のインターネットユーザーにもできる方法として、自分のメールアドレスをトップページに掲載しない(第113回参照)、掲示板に自分のメールアドレスを書かない(第115回参照)、アドレスの公表にmailtoリンクを使わない(第131回第132回参照)といったことです。さらに、インターネット接続サービスを切り替えて、OCNから借りていた旧ドメイン名(gabacho-unet.ocn.ne.jp)が無効になったこと(第133回第134回参照)も幸いして、今では、スパムメールを受けることが非常に少なくなりました。2002年8月末でOCNエコノミーをやめて以来、今日(2002年11月11日)までに受けたスパムメールは4通しかありません(うち2通は今日来たばかり)。

 さて、今回の本題はそのことではありません。11月3日に受けたスパムメールのヘッダを示します。赤で示したアドレスに注目してください。

Return-Path: <hszheng991@hotmail.com>
Received: from houshen-qvxx9n2.xmgwbn.com (unknown [211.161.23.247])
 by a.reto.jp (Postfix)
 with SMTP id 12F63EC44 for <webmaster@gabacho-net.jp>;
 Sun,  3 Nov 2002 10:28:35 +0900 (JST)
From: hszheng991 <hszheng991@hotmail.com>
To: webmaster@gabacho-net.jp
Subject: ?????????????????????????
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Message-Id: <20021103012836.12F63EC44@a.reto.jp>
Date: Sun,  3 Nov 2002 10:28:36 +0900 (JST)
X-UIDL: 69g!!"Q7"!%ak!!e>n"!
(文字コードはUS-ASCIIと指定されながら、書かれていたのは中国語文字のようで、サブジェクトと本文の文字は化け化けでした。代わりにサブジェクトの文字は「?」で示しました。)

 このメールは、発信元のコンピュータから、よそのメールサーバを踏み台にせずに私のメールサーバに直接送り込んできたものです。
 「houshen-qvxx9n2.xmgwbn.com」というのは、発信元のコンピュータが名乗ったホスト名です(Receivedヘッダが複数ある場合、発信元ホスト名は一番下のReceivedヘッダに記録されています)。これは、何とでも名乗ることができます。Windows組み込みのメーラーOutlook Expressの場合、Windowsの「システムのプロパティ」に設定されたコンピュータ名を名乗るようです。私の愛用のメーラーBecky!も、以前のバージョンではそうでした(これが信頼できない名前であることから、Becky!の新しいバージョンではIPアドレスを名乗るように変わっています)。
 「211.161.23.247」というのは、発信元コンピュータの本当のIPアドレスで、私のサーバが記録したものです。私のサーバがこのIPアドレスからDNS(ドメインネームシステム)によってホスト・ドメイン名を検索しようとしてできなかったので、IPアドレスの直前に「unknown」と表示されています。

 発信元のコンピュータが名乗るホスト名は何とでもできるので、よそのドメイン名に偽ることも簡単にできます。これを私の会社のドメイン名に偽ったスパムメールが流れたこともあり、今までに2回、外国から私の会社のポストマスター(メールシステム管理者)宛に苦情メールが来たことがあります。私はその都度、発信元のIPアドレスが私の会社のものでないことを説明した返信を英語で送っています。
 差出人アドレス(Fromヘッダ)に私の会社のドメインをかたったスパムメールが流れたことも何度かあり(第103回第119回参照)、2000年には私の会社に苦情メールがたくさん来たこともありますが、2001年以降には来なくなりました。差出人アドレスを真に受けてはならないということが知れわたったからでしょう。しかし、最近苦情を送ってきた人は、犯人がいるネットワークを特定するためにReceivedヘッダが手がかりになるという知識を持ちながら、発信元ホスト名は真に受けてはならないものであるということを知らなかったようです。

 それにしても、スパマーは、実在するまっとうな組織のドメイン名を発信元ホスト名にかたるなどということをなぜやるのでしょうか。差出人アドレスにまっとうなドメイン名をかたる理由は推測できます。第103回で述べたように、実在しないドメインを差出人アドレスとするメールの受信を拒絶するという防御策をすり抜けるためでしょう。しかし、発信元ホスト名に基づいて拒絶するなどという防御策は聞いたことがありません。そんな防御をしたら、まっとうなメールもことごとく拒絶されてしまうはずです。
 私の会社を逆恨みしている奴によるいやがらせとも考えられますが、スパムメールの受信者のうちごく少数の誤解した人に私の会社へ苦情を送らせて何になるというのでしょう。私の会社へのいやがらせのつもりなら、多量のメールを直接殺到させてもよさそうなものですが。もっとも、我が社のネットワークを守っている私のチームにとって、そんな攻撃など「恐るるに足らず」ですけどね。

目次 ホーム