RESEIVED 行の読み方とMTAOBの決め方(フォワーディングサービスを受けている場合)
メイルのヘッダーには以下のような部分があります.この部分を説明します.尚,wada5.cvがBase MTAで,ここでNNIPFが動いているものとします.
| Return-Path: <gnifreedom@dgai.com> | ||
| X-Original-To: twada@wada1.sys.wakayama-u.ac.jp | ||
| Delivered-To: twada@wada1.sys.wakayama-u.ac.jp | ||
| 6 | Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp
[133.42.248.34]) by wada5.cv (Postfix) with ESMTP id E277EE98347 for <twada@wada1.sys.wakayama-u.ac.jp>; Thu, 5 Apr 2007 10:00:34 +0900 (JST) |
wada5.cvがIPアドレスが[133.42.248.34]番のmgate.center.wakayama-u.ac.jp からメイルを受け取った.from 直後の文字列は,送信元が名乗った内容で,その直後の()の中身はwada5.cvが調べた内容.したがって,こちらを信じるべき |
| 5 | Received: from leo.ieee.org (leo.ieee.org [140.98.193.29]) by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with ESMTP id l351ACGi002273 for <twada@wada1.sys.wakayama-u.ac.jp>; Thu, 5 Apr 2007 10:10:12 +0900 |
mgate.center.wakayama-u.ac.jpが[140.98.193.29]のleo.ieee.orgからメイルを受けた.from 直後の文字列と,カッコ内の文字列が一致しているので,アドレスの偽造はない. |
| 4 | Received: from gemini4.ieee.org (gemini4.ieee.org [140.98.193.189]) by leo.ieee.org (8.12.10/8.12.10) with ESMTP id l351AAvL024329 for <twada@ieee.org>; Wed, 4 Apr 2007 21:10:10 -0400 |
leo.ieee.orgが[140.98.193.229]のgemini4.ieee.orgからメイルを受けた.アドレスの偽造なし. |
| 3 | Received: from hormel6.ieee.org (hormel6.ieee.org [140.98.193.229]) by gemini4.ieee.org (Postfix) with ESMTP id 1287A27E23 for <twada@ieee.org>; Wed, 4 Apr 2007 21:10:10 -0400 (EDT) |
gemini4.ieee.orgが,[140.98.193.229]のhormel6.ieee.orgからメイルを受けている.アドレスの偽造なし. |
| 2 | Received: from dgai.com ([213.130.104.142]) by hormel6.ieee.org with ESMTP id l336u4gV019034; Wed, 04 Apr 2007 21:10:10 -0400 (EDT) |
hormel6.ieee.orgが[213.130.104.142]からメイルを受けている.DNSの逆引きが行なえていないため,dgai.comという名前が正しいかどうかは不明 |
| 1 | Received: from team837545b597 [79.7.139.225] (port=14830 helo=team837545b597) by 8e6882d5dgai.com with ESMTP id t9DZADJE907510 for <turnera@ieee.org>; Wed, 4 Apr 2007 11:02:44 -0700 |
8e6882d5dgai.comが[79.7.139.225]からメイルを受けている.ただし,この行が正しいかどうかは不明. |
| Message-ID: <001a01c775df$9b45fb00$0069936c@team837545b597> | ||
| From: reform <gnifreedom@dgai.com> | ||
| To: turnera@ieee.org | ||
| Subject: my exception |
したがって,この場合には,
([79.7.139.225])⇒[213.130.104.142]⇒hormel6.ieee.org[140.98.193.229]⇒gemini4.ieee.org
[140.98.193.189]⇒leo.ieee.org [140.98.193.29]⇒mgate.center.wakayama-u.ac.jp
[133.42.248.34]⇒wada5.cv
という順序でメイルが流れてきたことが分かります.ただし,SPAM送信者は[213.130.104.142]ですからそれ以前の[79.7.139.225]が正しいかどうかは不明です.
このメイルはSPAMメイルですが,送信元IPの[213.130.104.142]を捕まえるためには,hormel6.ieee.orgをBoundaryファイルに入れておく必要があります.
但し,このメイルの受信者(私)はieee.orgのメイルフォワーディングサービスを使っているため,homel4, homel5, homel6,
... と複数の計算機がMTAOBになります.このため,正規表現を使い,homel[0-9].ieee.org などとBoundaryファイルに書いておきます.
直接来るSPAMのReceived行
| Return-Path: <fyjw@finman.com> | ||
| Delivered-To: twada@wada1.sys.wakayama-u.ac.jp | ||
| 3 | Received: from mgate.center.wakayama-u.ac.jp (mgate.center.wakayama-u.ac.jp
[133.42.248.34]) by wada5.cv (Postfix) with ESMTP id E0D81E98344 for <twada@wada1.sys.wakayama-u.ac.jp>; Tue, 3 Apr 2007 20:26:29 +0900 (JST) |
wada5.cvがIPアドレスが[133.42.248.34]番のmgate.center.wakayama-u.ac.jp からメイルを受け取った. |
| 2 | Received: from dsl89-213-68-229.as15444.net (dsl89-213-68-229.as15444.net
[89.213.68.229]) by mgate.center.wakayama-u.ac.jp (8.13.6/8.13.6) with SMTP id l33BZ0lH005388 for <mailer-daemon@sys.wakayama-u.ac.jp>; Tue, 3 Apr 2007 20:35:32 +0900 |
mgate.center.wakayama-u.ac.jp がdsl89-213-68-229.as15444.net [89.213.68.229]からメイルを受け取った. |
| 1 | Received: from uoge ([61.142.55.166]) by dsl89-213-68-229.as15444.net with Microsoft SMTPSVC(5.0.2195.6713); Tue, 3 Apr 2007 12:34:58 +0100 | dsl89-213-68-229.as15444.netがuoge ([61.142.55.166]) からメイルを受け取った. |
| Message-ID: <46123BE2.5050602@finman.com> | ||
| Date: Tue, 3 Apr 2007 12:34:58 +0100 | ||
| From: "Ellis F. Andrew" <fyjw@finman.com> |
この場合には,
uoge ([61.142.55.166])⇒dsl89-213-68-229.as15444.net [89.213.68.229]⇒mgate.center.wakayama-u.ac.jp
[133.42.248.34]⇒wada5.cv
という経路でメイルが来ています.
こういうケースでは,mgate.center.wakayama-u.ac.jpをBoundaryファイルに入れ,dsl89-213-68-229.as15444.net [89.213.68.229]をSPAM送信者としてとらえます.
この2つのケースだけを考えると,Boundaryファイルは
homel[0-9].ieee.org
mgate.center.wakayama-u.ac.jp
となりますが,組織内から直接Base MTAがメールを受けるケースもあるので,
homel[0-9].ieee.org
mgate.center.wakayama-u.ac.jp
wada5.cv
とするのが妥当でしょう.
2007年4月7日,21日改訂 和田俊和