匿名メールの対処法



 送信者がわからない匿名メールの対処法です。
 実際に私のアドレスに来た送信者不明のウィルスメールを例にします。


1.メールヘッダを見る。
2.送信プロバイダを見つける。
3.送信プロバイダのホームページと問い合わせメールアドレスを見つける。
4.送信プロバイダにメールを送る。
5.メールヘッダ一覧

1.メールヘッダを見る。

メールソフトでヘッダーを見てみましょう。
下は私のアドレスに実際に送られてきたメールのヘッダーです。
Return-Path: <naoel@h4.dion.ne.jp>
Delivered-To: jimita@capella.freemail.ne.jp
Received: (qmail 7864 invoked from network); 24 Mar 2002 23:17:30 +0900
Received: from unknown (HELO hfep07.dion.ne.jp) (203.181.105.73)
  by capella.freemail.ne.jp with SMTP; 24 Mar 2002 23:17:30 +0900
From: "_naoel" <;_naoel@h4.dion.ne.jp>
To: jimita@capella.freemail.ne.jp
Subject: Re:
MIME-Version: 1.0
Content-Type: multipart/related;
  type="multipart/alternative";
  boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Message-Id: <20020324141713745.ROKU@hfep07.dion.ne.jp>
Date: Sun, 24 Mar 2002 23:17:30 +0900
※Return-Path に送信者のアドレスが書かれている場合もあります。ただ、これも本当の送信者でない場合もあります。



2.送信プロバイダを見つける。

「Received:」を見ましょう。これは経由サーバです。from 送信サーバ by 受信サーバ となっています。
また下から順番に記録されます。注目するのは一番下の「Received:」です。
Received: from unknown (HELO hfep07.dion.ne.jp) (203.181.105.73)
  by capella.freemail.ne.jp with SMTP; 24 Mar 2002 23:17:30 +0900
この from の 「203.181.105.73」 が最初の送信プロバイダのアドレスです。
 ※hfep07.dion.ne.jp は信用しないほうがいいです。偽造された可能性もあります。IPアドレスのほうを注目します。



3.送信プロバイダのホームページと問い合わせメールアドレスを見つける。

上記のアドレス 「203.181.105.73」 ではどこだかわからないので、これをドメイン名検索サービスで検索しましょう。日本のものと国際のものを書いておきます。
JPNIC
 
日本ネットワークインフォメーション。
ここの「JPNIC Whois Gateway」というところにアドレスを入力して検索ボタンを押す。
InterNIC 国際ネットワークインフォメーション。
ここの「Registry Whois」というところのページで「Whois」というところにアドレス入力して検索ボタンを押す。
例の場合、JPNICで以下のように表示されます。
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     203.181.104.0-203.181.107.0
b. [ネットワーク名]             KDDI-NET
f. [組織名]                     KDDI株式会社
g. [Organization]               KDDI CORPORATION
m. [運用責任者]                 KT6191JP
n. [技術連絡担当者]             MK2322JP
p. [ネームサーバ]               dns0.dion.ne.jp/203.181.105.0
p. [ネームサーバ]               dns0.dion.ne.jp/203.181.107.0
p. [ネームサーバ]               dns10.dion.ne.jp/203.181.105.0
p. [ネームサーバ]               dns10.dion.ne.jp/203.181.107.0
p. [ネームサーバ]               dns2.dion.ne.jp/203.181.105.0
p. [ネームサーバ]               dns2.dion.ne.jp/203.181.107.0
p. [ネームサーバ]               dolphin.kddnet.ad.jp/203.181.104.0
p. [ネームサーバ]               dolphin.kddnet.ad.jp/203.181.106.0
p. [ネームサーバ]               ns1.neweb.ne.jp/203.181.105.0
p. [ネームサーバ]               ns1.neweb.ne.jp/203.181.107.0
p. [ネームサーバ]               penguin.kddnet.ad.jp/203.181.104.0
p. [ネームサーバ]               penguin.kddnet.ad.jp/203.181.106.0
y. [通知アドレス]               info@ip.kddi.com
[割当年月日]                    1998/09/01
[返却年月日]                     
[最終更新]                      2002/06/20 14:40:30 (JST)
                                jpnic_ap@dion.ne.jp

これで送信プロバイダが「KDDI株式会社」であることがわかります。
あとは Yahoo などの検索サイトでホームページを探し、問い合わせメールアドレスを探します。



4.送信プロバイダにメールを送る。

以下のようなメールを問い合わせメールアドレスに送ります。
件名
 
貴社ユーザーからのウィルスメールについて
内容  先日、私のこのメールアドレスにウィルスメールが届きました。
メッセージヘッダをチェックしたところ、貴社のユーザーのアドレス
から発信されていると判断できましたのでお知らせする次第です。
以下にそのメールのメッセージヘッダを転記します。

------------------------------------------------------------
Return-Path: <naoel@h4.dion.ne.jp>
Delivered-To: jimita@capella.freemail.ne.jp
Received: (qmail 7864 invoked from network); 24 Mar 2002 23:17:30 +0900
Received: from unknown (HELO hfep07.dion.ne.jp) (203.181.105.73)
  by capella.freemail.ne.jp with SMTP; 24 Mar 2002 23:17:30 +0900
From: "_naoel" <;_naoel@h4.dion.ne.jp>
To: jimita@capella.freemail.ne.jp
Subject: Re:
MIME-Version: 1.0
Content-Type: multipart/related;
  type="multipart/alternative";
  boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Message-Id: <20020324141713745.ROKU@hfep07.dion.ne.jp>
Date: Sun, 24 Mar 2002 23:17:30 +0900
------------------------------------------------------------

恐れ入りますがどうか送信者を特定し、ウィルス感染の警告と
ウィルスの除去方法の指導などの対策をお願いいたします。
よろしくお願いします。
このメールを送ったところ、翌日に私のところに次のメールが届きました。
お問い合わせいただきありがとうございます。
KDDIサポートセンターの***と申します。

この度は弊社会員が送信したと思われるウィルス添付メールについ
てご報告頂きありがとうございました。

ご指摘頂きました件につきましては、送信した本人もウィルスに感
染した事及びウィルス添付のメールを送信している事に気がついて
いない可能性が高いと思われます。
しかしながら、送信そのものが迷惑行為であるため、ご報告内容に
基づき調査し、当該KDDIサービス利用者に、注意喚起と行為その
ものの中止の要請を促してまいります。

お問い合わせのお手間を頂き、誠にありがとうございました。
プロバイダにとってもウィルスメールは迷惑です。ほとんどの場合数日以内で対応してくれます。
こんな感じで送信アドレスがわからないウィルスメールには対処しましょう。

※ただしメールヘッダが書き換えられている場合があります。その場合はちょっと難しいですけどね。



5.メールヘッダ一覧

メールヘッダの主なものの一覧です。頭に「X-」が付いているものはユーザー定義フィールドでメールソフトによって自由に使うことができます。
ヘッダ 意味 内容
Bcc: ブラックカーボン
コピー
カーボンコピーですが、Bccはサーバーが削除します。受信者は、Ccでは誰にコピーを送ったのかがわかりますが、Bccではわからなくなります。
Cc: カーボンコピー カーボンコピーです。メール文書のコピーの送り先です。To とは別に宛先を指定するときに使用します。
Content-Transfer-Encoding: 文書エンコード方法 文書のエンコード方法です。
  Content-TRansfer-Encoding: 7bit
   エンコードなしの通常の7bit形式メール。
  Content-TRansfer-Encoding: base64
   MIME(BASE64)でバイナリーをASCIIテキストに変換。
Content-Type: 文書タイプと
文字コードセット
メッセージ本文の種類、データのフォーマットです。種類にはtext、image、audio、video、application、multipart、messageなどがあります。text/plain は通常のテキストを表します。
  Content-Type: text/plain; charset="iso-2022-jp"
charset は文字コードです。日本の場合ほとんどはテキストで文字コードは iso-2022-jp となります。
Date: 送信日時 メールが送信された日時です。最後の「+0900」は時刻ゾーンです。時刻ゾーンとはGMT(グリニッジ標準時)を基準とする時差です。GMTを基準にして時間が進んでいるときは「+」、遅れているときは「-」で表示されます。日本の場合はGMTに対して9時間進んでいるので「+0900」となります。
Delivered-To: 宛先? qmail が書き込むものらしいです。通常は宛先になっています。
Errors-To: 返信アドレス エラー時の返信アドレスです。これがなければ From に返されます。
From: 送信者 メールの送信元のアドレスです。
Message-Id: 文書識別子 メッセージを一意に識別するためのID情報です。
MIME-Version: MIMEバージョン MIMEのバージョンです。といっても現在は Version 1.0 しかありません。
Received: 経由サーバ名 メールが配送されたルートです。経由サーバーが次々と書き込みます。
  from:どの配送システムから配送されたかを表します。
  by:どの配送システムが受け取ったかを表します。
Reply-To: 返信先 受信したメールの返信をしたときには From: に表示されているアドレス宛に送信されますが、 Reply-To でアドレスを指定すれば、そのアドレス宛に返信されるようになります。
Return-Path: 返戻先 メール送信元への返信アドレスですが、From や Reply-To のように返信のために使用するアドレスではなく、エラー時のために使われるアドレスです。
Subject: 題名 題名です。
To: 宛先 送信先のメールアドレスです。
X-Mailer: メールソフト 送信者が使用したメールソフト。
X-MSMail-Priority: 重要度 High、Normal、Low、があります。
X-Priority: 重要度 1、2、3、4、5、があります。
X-Unsent: 未送信メール Outlook 固有のものです。X-Unsent: 1 だと未送信です。