ウイルス

最近のウイルスは、感染者のアドレス帳から任意にFromとToを設定して送信するので、送信者が感染者とは限りません。

感染者がReply-Toを設定していると特定ができますが、多くはそうしていないケースが多いです。

メールはメールサーバーを経由するときにReceivedヘッダを残します。通常、一番最後のReceived:が最初のメールサーバーになるはずです。この情報から、感染者が加入しているプロバイダがわかります。

また、それらのメールの送信者が、同じようにその感染者のアドレス帳に入っているものなので、交友関係でも予測できるかもしれません。

何度も同じ人から送られてくると教えてあげたくなりますよね。

最近は、プロバイダがエラーチェックをし、感染しているかをチェックするようになりました。

で、私が運営しているメーリングリストのメンバーの誰かがウイルスに感染しているようで、管理人宛にウイルス付きメールが大量に送られてきます。

メーリングリストは、添付ファイルを認めない設定をしているので、メンバーには流れていかないのですが、管理者には送られてきます。

しかし、最近はそれだけではなく、プロバイダなどがウイルスチェックをし、感染しているという報告メールも大量に送られてくるようになりました。

単純に送信者のメールアドレスに返送されても、こちらが感染しているわけではないので、困った仕様です。

メールアドレスが存在しなかったときに、 MAILER-DAEMONから「Undelivered Mail Returned to Sender」等のタイトルでメールが送られてきます。

最近のウイルスは、送信者および受信者を偽装するため、こういうエラーは多く発生します。

そこで、プロバイダはウイルスチェックを行うのですが、この送信不能通知メールに対応していないものがあるようで、素通りしてしまうものもあるようです。

なぜかというと、送信不能通知メールは、元のメールを添付ファイルとして送り返しますが、ウイルスはその二重の添付された状態の中にあることになり、チェックがされないことがあるようです。

私は、送信不能通知メールも自動削除の対象にしました。ただし、本当にアドレスを間違えている可能性もあるので、送信後のエラーメールは目を通すことにしていますけど。

自分のメールアドレスを間違えて設定し、送ってしまう人って結構います。

■今回のウイルスメールの経路予想

ウイルスに感染したAから、送信者B、受信者Cと偽装したメールが送られたとします。

そして、受信者Cのメールアドレスが存在しなかった場合、 Cのプロバイダは、「存在していない」というメールをBに送信します。

そのとき、AもCもウイルスチェックをしていなかった場合は、そのメールは、Bのプロバイダを通過し、Bに到着してしまう。