■メールヘッダを読んでスパム対策

「メールのヘッダを読んでみよう」では、メールのヘッダについて説明しました。このメールヘッダをうまく読めば、スパム(迷惑メール)対策に役立てることができます。でも、ちょっとむずかしいかもしれません(^^;。

1. スパムの送信元をチェック!

メールのヘッダには、どこから送信されたのかが書いてあります。したがって、スパム(迷惑メール)の送信元をつきとめることもできます。

「From」を見ればいいのでは?と思うかもしれませんが、スパムの多くは、「From」にいいかげんなメールアドレスを入れています。また、「From」を「To」と同じにしている、つまり、受信者の名前を送信者の名前として使っているスパムもよくあります。自分から自分に変なメールがきていてびっくり!なんてことも、よくある話なんですね。

だから、「From」を見ても、スパムの送信者はわからないことのほうが多いでしょう。でも、いちばん下にある「Received」を見れば、どのプロバイダーから送信されたのか、という情報はわかります。

以下は、私あてにきたスパムのメールヘッダ。一部だけ引用しておきましょう。

Received: from emailmx.infoseek.jp (113.83.113.221.ap.yournet.ne.jp [221.113.83.113])by mail521.nifty.com with SMTP id j53M9otb004781
for <あて先のメールアドレス>; Sat, 4 Jun 2005 07:09:53 +0900

これを見て、「emailmx.infoseek.jp」が送信元のメールサーバーなんだな、と判断してはいけません。なぜなら、スパムは「from〜」の部分も偽装するから。このあとのかっこのなかに書いてある部分が、ほんとうの送信元です。

113.83.113.221.ap.yournet.ne.jp [221.113.83.113]

「yournet.ne.jp」というプロバイダーの「221.113.83.113」というIPアドレスを割り当てられたメールサーバーが送信元である、ということが、とりあえず確認できました。

2. IPアドレスから送信元のプロバイダーをつきとめる

ここまで読んできて、「IPアドレスってなに?」という人もいるでしょう。ごくごく簡単に説明しておきます。

ネットワークにつながっているコンピューター(パソコンもふくみます)は、1台1台、別々の番号を割り当てられています。この番号が「IPアドレス」。IPは、インターネットにつなぐためのしくみ「TCP/IP」(ティーシーピー・アイピー=Transmission Control Protocol/Internet Protocol)の「IP」です。

IPアドレスには、「グローバルIPアドレス」と「プライベートIPアドレス」の2種類があります。インターネット用のIPアドレスが「グローバルIPアドレス」で、職場や自宅などのLAN用のIPアドレスが「プライベートIPアドレス」です。

職場や自宅でLANを組んでインターネットにつなげている場合、それぞれのパソコンにはプライベートIPアドレスが割り当てられています。そして、インターネットにつなぐための機械(ADSLモデムやルーターなど)には、グローバルIPアドレスが割り当てられています。

LAN用のプライベートIPアドレスは、番号の範囲が決まっています。具体的には

これらの範囲のプライベートIPアドレスは、だれでも自由に使えます。下に引用したように、「Received」のいちばん下にプライベートIPアドレスがあっても、無視してください。

Received: from kick (unknown [192.168.1.11])
by imx100518.ath.cx (Postfix) with SMTP id 2C8D7295428
for <あて先のメールアドレス>; Wed, 19 Oct 2005 22:02:24 +0900 (JST)

スパムの送信元をつきとめるために必要なのは、いちばん下に書いてある「グローバルIPアドレス」ですから。

さて、グローバルIPアドレスは、プロバイダーごとに割り当てられています。つまり、プロバイダーは、ある一定範囲のIPアドレスをまとめて管理しているんですね。でもって、インターネットは便利なところで、グローバルIPアドレスから管理しているプロバイダーを検索することができます。

実際に、アメリカのネームインテリジェンス社(Name Intelligence)が運営する「Domain Tools」で、さきほどの「221.113.83.113」を検索してみましょう。いかがですか? こんな画面が表示されたんじゃないかと思います。

IPアドレスの検索結果の画像

「221.113.83.113」というIPアドレスの検索からわかるのは、

ということです。試しに、「Currently Listed」の右にある「history」というリンクをクリックしてみてください。

スパムデータベースの登録情報の画像

こんなふうに、インターネット上にあるさまざまなスパムデータベース(この場合は「SORBS」=「The Spam and Open Relay Blocking System」)にスパムの送信元として登録されている、ということがわかります(念のためにいっておくと、スパムデータベースの登録情報が100%正しいというわけではなく、まちがって登録されていることもありえます)。

それでは、ダメ押しをしておきましょう。ブラウザーのアドレス欄に「www.yournet.ne.jp」と入れて[Enter]キーを押してみてください。こんなページが表示されました。

フリービットの画像

フリービットもわかっているんでしょうねえ。自分たちの管理するメールサーバーから大量のスパムが送信されていることを。

というわけで、ここまでやってはじめて、最初に引用したスパムの送信元がきちんと確認できました。

3. スパムの送信元をつきとめたらどうするか

スパムの送信元になっているプロバイダーがわかったら、そのプロバイダーに苦情を申し立ててもいいでしょう。スパムが、同じプロバイダーからくりかえしくるようであれば、メールのヘッダをそえて(ヘッダとメール本文のとにかく全部を引用してしまうのがいいですね)、どしどし送信元のプロバイダーに苦情をいってやってください。

ただし、対応はプロバイダーによってまちまちです。すばやく対応してくれるプロバイダーもあれば、定型文の返事しかよこさないプロバイダーもあります。

それに、スパムをまきちらす業者は、複数のプロバイダーをひたすら乗り換えています。そのため、苦情を申し立てたことでスパムが止まったように思えても、また、別のプロバイダーから同じようなスパムが届く、といういたちごっこになることもあります。

ただ、なにごとも経験ですから、一度くらいは、苦情を申し立ててみることをおすすめします。より多くの人が苦情を出せば、スパムの送信元になっているプロバイダーもそれだけ深刻に考えるようになるかもしれませんから。

苦情を出すのに疲れちゃった、あるいは、苦情を出すのがめんどう、という場合は、

という方法のどちらかをとるといいでしょう。

◆プロバイダーのスパム対策サービスを利用する

プロバイダーのスパム対策サービスを利用すれば、スパムをメールソフトで受信しないですみます。

たとえばアット・ニフティでは、「迷惑メールフォルダー」「スパムメールブロック」というサービスを提供しています。

「迷惑メールフォルダー」は、シマンテックの「シマンテック・ブライトメール・アンチスパム」(Symantec Brightmail AntiSpam)という判定フィルターを使って、スパムを自動的に「迷惑メールフォルダー」にふりわける、というしくみ。このフィルターはかなり優秀で、英語のスパムはもちろん、日本語のスパムもふりわけてくれます。

迷惑メールフォルダーのなかみは、ブラウザーで確認します。下の画面のように、迷惑メールフォルダーにふりわけられたスパムは、チェックをつけていっきに削除することができます。

迷惑メールフォルダーの画像

もう1つの「スパムメールブロック」は、自分で条件を設定して、その条件にあてはまるメールの受信を拒否する、というしくみ。受信拒否条件には、メールアドレスのほか、「From:」(差出人)、「To:」(あて先)、「Subject:」(題名)などのメールヘッダを利用することができます。下の画面は、「Received:」というメールヘッダにふくまれる文字を条件にして受信を拒否する、という指定です。

スパムメールブロックの画像

スパムメールブロックは受信を拒否するしくみなので、受信拒否条件にあてはまるメールは完全に削除されます。それだけに、慎重に設定する必要がありますが、スパムにはもううんざりだ!というときには、強い味方になってくれるでしょう。

◆スパムを自動的にふりわけてくれるメールソフトを利用する

自分の使っているプロバイダーにスパム対策サービスがなければ、メールソフト側で対処するしかありません。そんなときに便利なのが、モジラ・サンダーバード(Mozilla Thunderbird)というメールソフトです。

サンダーバードには「迷惑メールフィルタ」という機能があります。この機能を有効にしておけば、受信したメールのうち、スパムと判定されたメールは自動的に「迷惑メール」というフォルダにふりわけてくれます。

サンダーバードで迷惑メールと判定されたメールの画像

最初の設定のままでも、英語のスパムはほぼ完全に判定して、ふりわけてくれます。また、日本語のスパムについては、自分で「迷惑メールマーク」をつけてやることで、判定率があがっていきます。いくらか手間はかかりますが、プロバイダーにスパム対策サービスがない場合は、「これしかない!」というくらいの一押しソフトでしょう。なお、サンダーバードの迷惑メールフィルタは、バージョン「2.0」系になって、判定精度があがっているようです(すくなくとも私の場合は)。

サンダーバードについては、「クルミノ コーボー」のコンテンツ「メールソフト乗り換え案内:サンダーバード(Thunderbird)」をどうぞ。

    *
それから最後にひとこと。

スパムには「登録を解除するにはこちらまで」などというメールアドレスがもっともらしく書いてありますが、このメールアドレスにメールを送る、なんてことは絶対にしないでください。あなたのメールアドレスが現在使われている、という情報が、スパム業者の間で出回るだけですから。

【付記】
スパムの送信元として例にあげたフリービット社は2006年1月17日、「フリービット及び提携119ISP、迷惑メール対策ロードマップを発表」というプレスリリースを発表しました。

リリースによると、フリービットはこれまで、連日約2000件のスパム申請に対応してきたとのこと。しかし、「現在の対応による理論的な限界値が見えており、フリービットの顧客であるISP、ならびに最終ユーザーだけでなく、一般のインターネットユーザーへの不利益も拡大してくる傾向にあるため」、以下のような対策を2006年2月から3月にかけて実施する、としています。

これらの対策について、簡単に説明しておきましょう。

送信ドメイン認証とは、「Sender-ID」や「Domain Keys」といったメールヘッダをつけることで、なりすましメールを排除する、という対策。送信ドメイン認証を導入すると、うそのメールアドレスを使ってメールを送ることができなくなります。フィッシング詐欺メールには有効ですね。

25番ポートブロックとは、インターネット接続に使っているプロバイダーの送信メールサーバーを経由しないメール送信を拒否する、という対策。特に、NTT東西のフレッツADSLやBフレッツを利用し、複数のプロバイダーと契約しているようなスパム業者には有効な対策です。なお、「25番ポート」というのは、インターネットにつなぐためのしくみ「TCP/IP」で、メール送信に使われる番号です。

ただ、25番ポートブロックを実施すると、複数のメールアドレスを使っているような利用者が不便になります。たとえば、インターネットにはアット・ニフティでつないでいて、メールアドレスはアット・ニフティとビッグローブを使っている、といった場合ですね。

そこで、“インターネット接続に使っているプロバイダーと送信メールサーバーのプロバイダーがちがう”利用者には、「587番ポート」でちがうプロバイダーの送信メールサーバーにアクセスしてもらう、というのがサブミッションポート587番の提供です。587番ポートでメールを送信するときには認証(SMTP認証)が必要。そのため、送信者はだれか、ということがはっきりします。

ちなみにフリービットでは、「ISPとの連携により、2、3年をかけて、最終ユーザーのメール送信を587番ポート利用に移行し、25番ポートによるメール送信を遮断することを目指します」としています。

今回フリービットが発表した対策は、どれも、多くのプロバイダーで導入しているもの。その意味では、これでようやくフリービットも世間並みのスパム対策をとるようになった、といえるでしょう。こうした対策によって、フリービット発のスパムがどれくらい減るのか、興味深いところですね。