>ヘッダの”Received from”で出てくる下の方は、
>偽装されている可能性があるなどという意見を見たことがありますが、

ヘッダーの下の方は発信人が自分でいくらでもつけられるので、経由していないSMTPサーバーがつけたように Received: を既につけておく事も可能であると言う事ですね、でも経由されている順に経路を見れば不自然な部分が見つかるかも知れません、私の場合は自分のネットワークでつけた Received: は確信をもって本物かどうか判定できますので皆さんとは条件が少し違いますが、経験上あまり Received: を詐称されたメールは見かけません、詐称する意味もあまりないからでしょうね。

>一連のウィルスメールでヘッダに残っている根本の"Received from"が
>いつも同じIPアドレスであったので、そう判断したのですが、
間違いではないですよ、ただ、その Received: を書き込んだのが発信者でない、他のサーバーが書いたと言う事の真偽の判定が必要ですが。

>これは、8番の説明から勝手に判断しました（汗）。
>1)独自のSMTPサーバーを持つ
標準のWindowsはSMTP機能を有しないのでリレーサーバーが必要なのですが
それでは感染させたマシンがリレーを許可されるSMTPを見つけるのにウイルス自身が苦労するので自前でSMTP機能を持つウイルスであると言う事です。
>2)DNSを詐称する
これは詐称するのではなくて、ウイルス自前のSMTPがメールの配信先を決めるのにデフォルト設定されているDNSで名前の解決が出来ない場合の予備としてリストにあげられたDNSを参照すると言う説明です。

返信する