- 締切済み
気味の悪いSPAM(どうやって送信していますか?)長文です
こんにちわ。お世話になります。 以下の迷惑メールが届きました。気味が悪いことに(私の理解が及ばず)、電子メールのヘッダの情報が著しく少ないのです。Message-IDの@以降がない、Return-Pathが<>である、など。 (以下、telnetでPOPサーバにアクセスした際のログを貼りました。メアド・アカウント名・サーバ名・時刻・IDを、架空のものや伏字に置き換えました。アルファベットの伏字は*、数字の伏字は#。これらの伏字とメール本文以外で、削除修正箇所はありません。) どんな環境の人が、どのような手段でこのメールを送信したのでしょうか? SPAM対策を考える上で参考にさせていただきますので、このような場所でも掲載可能な範囲でお教えください。よろしくお願いします。 telnet server.goo.ne.jpp 110 【←telnet起動、サーバに接続】 +OK Hello there. USER watashi@server.goo.ne.jpp 【←私の入力】 +OK Password required. PASS ******** 【←私の入力】 +OK logged in. RETR 56 【←私の入力】 +OK 3815 octets follow. Return-Path: <> X-Original-To: watashi@server.goo.ne.jpp Delivered-To: watashi@server.goo.ne.jpp Received: from server.goo.ne.jpp (*******.********.**.******.ne.jp [###.##.##.###]) by ***.goo.ne.jpp (Postfix) with SMTP id #***####### for <watashi@server.goo.ne.jpp>; Thu, 22 Dec 2005 20:##:## +0900 (JST) From: To: watashi@server.goo.ne.jpp Subject: =?ISO-2022-JP?B?GyRCPEI6XSROGyhCU3ViamVjdBskQiRIJE8wWyRKJGokXiQ5GyhC?= Message-ID: <#*##****#*.####@> Date: Thu, 22 Dec 2005 20:##:## +0900 (JST) 【以下メール本文。エンコードはShift-JIS】 本文は日本語 内容は、子どもに見せられない表現が多数。 . QUIT 【←私の入力】 +OK Bye-bye.
- owlcity
- お礼率97% (215/221)
- その他(メールサービス・ソフト)
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- violet430
- ベストアンサー率36% (27472/75001)
どんな環境の人が、どのような手段でこのメールを送信したのでしょうか? メールを読んだだけでは分からないです。 一つ言えるのは、このメールがgooから送られてきていると言うことですね。
お礼
ご回答ありがとうございました。 > 一つ言えるのは、このメールがgooから送られてきていると言うことですね。 ↑質問文に「架空のものや伏字に置き換えました」と明記しました通り、server.goo.ne.jppというのは架空のものです。(TLDにjppなんて存在しませんし。)gooにしたのはまずかったかもしれませんが、どこかの組織のサブドメインのメールサーバということを表現したかっただけです。 server.goo.ne.jppを たとえばserver.domain.ne.jppで読み替えてください。
補足
> どんな環境の人が、どのような手段でこのメールを送信したのでしょうか? 自力で模索した結果、上記の答えが判明しました(判明というよりは、答えの中の1つなのかもしれません)ので、この欄にご報告させていただきます。 MAILの引数を工夫し、DATAの際にはヘッダの一部も書くと、今回のヘッダと同じメールを再現できました。 なぜ本文がShift_JISなのか? それはおそらく送信者のMUAがWindows上で動作していて、エンコードの実装をしていない(あるいは実装するだけの能力がない人がMUAを作った)からだと感じました。 質問文には書いていないのですが、server.goo.ne.jppはSMTPデーモンも走っています。 送信者のMUAは直接server.goo.ne.jppと通信したものだと思われます。なのでReceivedが1行しかないのも納得できました。 以上をtelnetを使って再現できました。(まったく同じメールを自分に届けることが出来ました。)わかってしまえば気味は悪くないですが、server.goo.ne.jppはPOP before SMTPだったはず…… 今回の送信者がメールを送信したタイミングが、たまたま私がPOP認証をした直後だったのか、 あるいは私のPOPパスワードが漏洩してしまっているのか、 POP before SMTPがうまく働いていないのか、 ともかく管理者と相談してみます。 (メールの送信元IPアドレスは、私や組織とまったく関係のないものでした。外部犯かもしれませんし、内部犯が偽装しているのかもしれません。ともかく怖いですね。)