山田:結局お手上げということですか。

室長:いやいや,ボットネットから送られた迷惑メールも,メールのヘッダー部分に残された中継情報を見ると見分けがつくことが多いんじゃよ。

 迷惑メールは,メールのヘッダー部分の中継情報を見るとある程度判別できる(図3)。メール・ヘッダーには,メールの題名や送信元/返信先メール・アドレス以外に,経由してきたメール・サーバーや,送信時に使用されたメール・ソフトなどの情報が刻印されている。

図3●ヘッダー情報から迷惑メールを見分けるポイントはいくつかある
図3●ヘッダー情報から迷惑メールを見分けるポイントはいくつかある
第三者のパソコンから送られてくる迷惑メールはブラック・リストでは判別できない。しかしメール・ヘッダーを見れば、迷惑メールらしいことは判別できる。 [画像のクリックで拡大表示]

 ところが,迷惑メールのヘッダー情報を開いてみると,送信してきたメール・サーバーのホスト名が書かれていないことが多い。中には偽装のためにでたらめのホスト名やIPアドレスを通知してくるものもある。

IPアドレスで相手が見えてくる

 ただし,ほとんどの迷惑メールには本当の送信元の情報が含まれている。迷惑メールを受信したメール・サーバーが送信してきた相手のIPアドレスを刻印するからだ。そのIPアドレスの所有者をwhois(フーイズ)で調べたり,対応するホスト名をDNSで調べると,迷惑メールだとわかることが多い。IPアドレスに対応するサーバーのホスト名がDNSに登録されていなかったり,登録されていてもプロバイダがアクセス・ポイントに振るようなやたら長い名前だったりするのだ。

 偽装が足りずに,本来ならあるはずの情報が含まれていない迷惑メールもある。普通のメールであれば,送信側と受信側双方のメール・サーバーの情報が書かれているが,ボットから発信されていると受信側のメール・サーバーの情報しか書かれていないことが多い。

 また迷惑メールは,送信側パソコンのメール・ソフトの情報が無かったり,大量発信用のメール・ソフトの情報が刻印されていたりすることもある。最近では良くあるメール・ソフトを偽装していることも多いが,その場合でもバージョン情報の書式がおかしかったり,特徴的なヘッダーが欠けていたりする。

室長:例えば,このメールじゃ。題名は「今すぐ会いたい」じゃろ。

市谷:よくあるパターンですね。

室長:ところが,このヘッダーに書いてある送信元IPアドレスをwhoisデータベースで調べると…。

山田:中国のプロバイダが割り当てているIPアドレスみたいですね。

室長:そうじゃろう。今すぐ会いたいと言われても,ちょっと無理じゃなあ。

市谷:確かに(笑)。でも仮にメール・ヘッダーでわかるとしても,いちいちメール・ヘッダーを調べるのは現実的ではないんじゃないでしょうか。

室長:それはそうじゃ。ただ,送信元IPアドレスをチェックして,おかしなメール・サーバーから送られてくるメールは受け取らないようにすることはできるんじゃよ。

 将来はともかく,現時点では送信元IPアドレスからドメイン名を調べてチェックする「S25R」という対策がある。ほとんどのメール・サーバーは設定の追加でS25Rが使える。

即効対策はS25R

 S25Rを使うメール・サーバーは,ほかのサーバーがメールを送信するためにSMTPで接続してきたとき(図4の(1)),すぐに接続を受け付けない。送信元IPアドレスを基に,DNSサーバーにドメイン名を問い合わせる(同(2))。

図4●S25Rでパソコンから直接送られてくる迷惑メールの着信を拒否
図4●S25Rでパソコンから直接送られてくる迷惑メールの着信を拒否
SMTPの接続を受け入れる前に、相手のドメイン名をチェック。ドメイン名がついていなかったり、怪しげなドメイン名の場合、切断する。 [画像のクリックで拡大表示]

 ボットネットに感染しているパソコンのほとんどは,ブロードバンド回線やダイヤルアップ回線につながっている個人ユーザーのパソコンである。このようなパソコンのIPアドレスは,プロバイダが動的に割り当てており,ドメイン名が付いていないことが多い。付いている場合も,ドメイン名の先頭部分に「123-456」といったように二つ以上の数字列を含んでいたり,5桁以上の数字を含んでいたり,といった特徴がある。

 そこでメール・サーバーに,問い合わせた結果でドメイン名がわからなかったり,メール・サーバーらしくないドメイン名のものは,メール・サーバーからの送信でないと判断させる(同(3))。

 メール・サーバーからのメール送信でないと判断した場合,メール・サーバーはSMTP接続を拒否する(図(4))。