スパムメールの送信元を研究する
木曜日, 5 月 15th, 2008
スパムメール(俗に言う迷惑メール)はメールを受信することが出来る環境が有る限り永遠に届き続ける迷惑な物です。ところでこのメールは一体どこから届いているのでしょうか?まずは実際に私のプロバイダー(ビワローブ)のメールボックスに届いたメールを参考に送信元を研究してみたいと思います。下のスクリーンショットをご覧ください。
このメールは一見すると「dokodemo_kakujitsu_aeruyo@docomo.ne.jp」から届いている様に見えます。しかし本当に「dokodemo_kakujitsu_aeruyo@docomo.ne.jp」から届いているのでしょうか?真偽を確かめるにはこのメールのソースを見れば分かります。下のスクリーンショットをご覧ください。
先ほどのスパムメールのソースで送信元を割り出すのに最も重要な部分は「Received: from docomo.ne.jp (unknown [221.212.206.219])」となっている部分です。これが送信元のメールサーバーです。疑問点、それはIPアドレスからの逆引きが出来ていないことです。DoCoMoの携帯電話から送信されたメールのソースを見ると「docomo.ne.jp (mail103.docomo.ne.jp [203.138.203.3])」のように本当のDoCoMoのメールサーバーが発信元なら逆引きが行えるにもかかわらず「unknown」になっている。DoCoMoの場合はこれで判断すれば良い。だがIPアドレスから逆引きが出来ないメールサーバーも少しはあるだろう(私の場合:sabaitiba.comを解決すると210.173.60.103となるが210.173.60.103を逆引きするとsabaitiba.comにはならない。理由は分かる人には言うまでもないので省略)
このスパムメールを送信してきたメールサーバーが使用していたIPアドレス「218.9.118.163」を「ANSI Whois Gateway」を使って一体どこが管理しているのかを調べてみた。すると「218.7.0.0 - 218.10.255.255」は中国の「CNCGROUP Heilongjiang province network」が管理していることが分かりました。
このことから分かるようにこのスパムメールは「dokodemo_kakujitsu_aeruyo@docomo.ne.jp」から届いているはずもなく挙げ句の果てには中国から送信されていることが分かりました。
最近のスパムメールも昔のスパムメールも全く進歩が無くスパムメールの中身に引っかかる人が居ること自体が異常です。ちなみに日本国内の某プロバイダーのFTTH回線を使ってスパムを送っている業者(?)が多いみたいです。もちろん国外も多いですが。
