SPAM Database
nslookup で IPアドレス からホスト名(ドメイン名)を調べてみます。
nslookup を起動します。
>
起動したら、次の IPアドレスを入力し Enter を押します。
> 61.114.181.39
問い合わせの結果は以下の様になると思います。
> 61.114.181.39
Server: GATEWAY-01
Address: 192.168.0.10
Name: www.cyberpolice.go.jp
Address: 61.114.181.39
>
IPアドレスから逆引きを行う場合は、対象ホストやドメインが判らない場合が多いと思いますが、その場合は Name: に表示された情報が重要になります。
Name: www.cyberpolice.go.jp
Address: 61.114.181.39 は、cyberpolice.go.jp のドメインの中の www というホストに割り当てられていることが判ります。
上記の例で使用した、61.114.181.39 は「警察庁@POLICE」のWebサイトのIPアドレスです。(2009/10:現在)
実際に迷惑メールに記録されたメールヘッダの IPアドレスからホスト名をチェックしてみます。
Received:from 221.212.181.198 (EHLO so-net.ne.jp) (221.212.181.198) by ybbmta70.mail.tnz.yahoo.co.jp with SMTP; Mon, 10 Oct 2005 14:22:44 +0900
上記メールヘッダのサンプルは、SMTPサーバーの ybbmta70.mail.tnz.yahoo.co.jp が 221.212.181.198 のIPアドレスを持つホスト(又は、クライアント)からメールを受信した事を示しています。
IP-Address の情報は常に一定ではありません。従って nslookup で得られる情報は、問い合わせ時期によって異なる場合があります。
この IPアドレス 221.212.181.198 を nslookup で検証してみます。
> 221.212.181.198
問い合わせの結果は
> 221.212.181.198
Server: warpstar-41db03
Address: 192.168.0.1
*** GATEWAY-01 can't find 221.212.181.198: Non-existent domain
「 Non-existent domain 」 つまり、何処かのドメインに属したIPアドレスでは無いと結果が返って来ます。
メールヘッダに記録された EHLO (HELO) には相手が名乗ったホスト名が記録されます。このサンプルでは (EHLO so-net.ne.jp) と日本のプロバイダの so-net を名乗っていますが、逆引きの結果は、該当ドメイン無しとなります。
つまりこのメールヘッダは、so-net.ne.jp からのメールを偽装し発信された可能性が極めて高い事が確認できます。
このIPアドレス 221.212.181.198 が、実際にどの組織(団体)に割り当てられているかは、Whois情報で確認する事が可能です。次項では、その Whois情報を調べられるサイトやツールの紹介、その見方などを紹介しています。
