ぜんのさんに前回質問したとき明確な回答をいただけなかった、
「ウィルスがSMTPサーバーを詐称することがあるのか？」という件ですが、
Netskyの一部の亜種では、あるようですね。
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.y@mm.html
ただ、そこで現れるIPアドレスは、私の所に送ってくるものとは違うので、
ウィルスの詐称なのか、実際に感染したパソコンのIPなのかは、まだ不明ですが。

返信する

>ぜんのさんに前回質問したとき明確な回答をいただけなかった
すみません、前回のレスは答えになっていませんでしたね
わたしは可能性は有るが非常に少ないと思います。また詐称されたところで
詐称できない部分で詐称されたものかそうでないものかの判断は出来ると思います。

>「ウィルスがSMTPサーバーを詐称することがあるのか？」という件ですが、
>Netskyの一部の亜種では、あるようですね。
>http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.y@mm.html
この記事の中にSMTPサーバーを詐称すると書いていますか？
どの部分でしょうか？

返信する

回答ありがとうございます。

>わたしは可能性は有るが非常に少ないと思います。また詐称されたところで
>詐称できない部分で詐称されたものかそうでないものかの判断は出来ると思います。

ヘッダの”Received from”で出てくる下の方は、
偽装されている可能性があるなどという意見を見たことがありますが、
私はその辺こそが詐称できない部分ではないかと思いました。
一連のウィルスメールでヘッダに残っている根本の"Received from"が
いつも同じIPアドレスであったので、そう判断したのですが、
それは間違いでしょうかね？

それから、

>>「ウィルスがSMTPサーバーを詐称することがあるのか？」という件ですが、
>>Netskyの一部の亜種では、あるようですね。
>>http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.y@mm.html
>この記事の中にSMTPサーバーを詐称すると書いていますか？
>どの部分でしょうか？

これは、8番の説明から勝手に判断しました（汗）。
1)独自のSMTPサーバーを持つ
2)DNSを詐称する
という2点です。
そうすれば、送信元を偽装することになるのかなと。
大きく勘違いしているでしょうか？

返信する

>ヘッダの”Received from”で出てくる下の方は、
>偽装されている可能性があるなどという意見を見たことがありますが、

ヘッダーの下の方は発信人が自分でいくらでもつけられるので、経由していないSMTPサーバーがつけたように Received: を既につけておく事も可能であると言う事ですね、でも経由されている順に経路を見れば不自然な部分が見つかるかも知れません、私の場合は自分のネットワークでつけた Received: は確信をもって本物かどうか判定できますので皆さんとは条件が少し違いますが、経験上あまり Received: を詐称されたメールは見かけません、詐称する意味もあまりないからでしょうね。

>一連のウィルスメールでヘッダに残っている根本の"Received from"が
>いつも同じIPアドレスであったので、そう判断したのですが、
間違いではないですよ、ただ、その Received: を書き込んだのが発信者でない、他のサーバーが書いたと言う事の真偽の判定が必要ですが。

>これは、8番の説明から勝手に判断しました（汗）。
>1)独自のSMTPサーバーを持つ
標準のWindowsはSMTP機能を有しないのでリレーサーバーが必要なのですが
それでは感染させたマシンがリレーを許可されるSMTPを見つけるのにウイルス自身が苦労するので自前でSMTP機能を持つウイルスであると言う事です。
>2)DNSを詐称する
これは詐称するのではなくて、ウイルス自前のSMTPがメールの配信先を決めるのにデフォルト設定されているDNSで名前の解決が出来ない場合の予備としてリストにあげられたDNSを参照すると言う説明です。

返信する