« 【勉強会】無線LAN WEPキーを求める | メイン | プレゼンテーション勉強会 »

【勉強会】番外 メール送信元を偽装してのメール送信

ある程度リテラシーのある方なら耳たこですが、電子メールのFromヘッダは、誰でも簡単に偽装できてしまいます。

あるとき話題になったのでメモ。

ある人のケータイメールアドレスからメールを受信すると、電話帳に登録したアドレスからであれば、その人の名前で受信箱に表示されます。でも、本当にその人からのメールとは限りません。Fromヘッダは、送信者が自由に指定できます。(たとえ他人のメールアドレスであっても)
対策としてGmailなどは、ドメインとIPアドレスが一致しないと偽装メールと判定するような仕組みがあったような気がしますが、自分が試したときはうまく機能していませんでした。
ドコモSPメールやAUのezwebメールでも、デフォルトでは機能していませんでした。

例えば、PHPで以下のようなコードを書けば、攻撃者は簡単になりすましメールの送信ができてしまいます。

PHPの場合は、mb_send_mail関数の第4引数に、FROMに指定したいメールアドレスを渡すだけ。
ついでにメール本文には、「メールアドレスが変わったから、次からは○○@○○.comにメールちょうだい」のように攻撃者のメールアドレスを書いておけば、相手とのコミュニケーションを掌握されてしまいます。

【結論】
ということで、アドレス帳に登録された知人からメールを受信したからといって、知り合いだと直ぐに信じるのは気をつけましょう! ということ。



勉強会用サンプルURL (勉強会参加者専用)
( http://pptxshare.sourceforge.jp/sendmailtest )

トラックバック

このエントリーのトラックバックURL:
http://www.ddhost.jp/mt/mt-tb.cgi/723

About

2013年05月23日 22:50に投稿されたエントリーのページです。

ひとつ前の投稿は「【勉強会】無線LAN WEPキーを求める」です。

次の投稿は「プレゼンテーション勉強会」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。