| ||||||||||||||||||
|
ウイルスウイルス送信者の特定最近のウイルスは、感染者のアドレス帳から任意にFromとToを設定して 送信するので、送信者が感染者とは限りません。 感染者がReply-Toを設定していると特定ができますが、 多くはそうしていないケースが多いです。 メールはメールサーバーを経由するときにReceivedヘッダを残します。 通常、一番最後のReceived:が最初のメールサーバーになるはずです。 この情報から、感染者が加入しているプロバイダがわかります。 また、それらのメールの送信者が、同じようにその感染者のアドレス帳に 入っているものなので、交友関係でも予測できるかもしれません。 何度も同じ人から送られてくると教えてあげたくなりますよね。 ウイルスメールとエラーメール最近は、プロバイダがエラーチェックをし、感染しているかを チェックするようになりました。 で、私が運営しているメーリングリストのメンバーの 誰かがウイルスに感染しているようで、 管理人宛にウイルス付きメールが大量に送られてきます。 メーリングリストは、添付ファイルを認めない設定をしているので、 メンバーには流れていかないのですが、 管理者には送られてきます。 しかし、最近はそれだけではなく、プロバイダなどがウイルスチェックをし、 感染しているという報告メールも大量に送られてくるようになりました。 単純に送信者のメールアドレスに返送されても、 こちらが感染しているわけではないので、困った仕様です。 送信不能通知メールにウイルスメールアドレスが存在しなかったときに、 MAILER-DAEMONから「Undelivered Mail Returned to Sender」等の タイトルでメールが送られてきます。 最近のウイルスは、送信者および受信者を偽装するため、 こういうエラーは多く発生します。 そこで、プロバイダはウイルスチェックを行うのですが、 この送信不能通知メールに対応していないものがあるようで、 素通りしてしまうものもあるようです。 なぜかというと、送信不能通知メールは、元のメールを添付ファイルとして 送り返しますが、ウイルスはその二重の添付された状態の中にあることになり、 チェックがされないことがあるようです。 私は、送信不能通知メールも自動削除の対象にしました。 ただし、本当にアドレスを間違えている可能性もあるので、 送信後のエラーメールは目を通すことにしていますけど。 自分のメールアドレスを間違えて設定し、送ってしまう人って結構います。 ■今回のウイルスメールの経路予想 ウイルスに感染したAから、 送信者B、受信者Cと偽装したメールが送られたとします。 そして、受信者Cのメールアドレスが存在しなかった場合、 Cのプロバイダは、「存在していない」というメールをBに送信します。 そのとき、AもCもウイルスチェックをしていなかった場合は、 そのメールは、Bのプロバイダを通過し、Bに到着してしまう。 |
|