ある程度リテラシーのある方なら耳たこですが、電子メールのFromヘッダは、誰でも簡単に偽装できてしまいます。
あるとき話題になったのでメモ。
ある人のケータイメールアドレスからメールを受信すると、電話帳に登録したアドレスからであれば、その人の名前で受信箱に表示されます。でも、本当にその人からのメールとは限りません。Fromヘッダは、送信者が自由に指定できます。(たとえ他人のメールアドレスであっても)
対策としてGmailなどは、ドメインとIPアドレスが一致しないと偽装メールと判定するような仕組みがあったような気がしますが、自分が試したときはうまく機能していませんでした。
ドコモSPメールやAUのezwebメールでも、デフォルトでは機能していませんでした。
例えば、PHPで以下のようなコードを書けば、攻撃者は簡単になりすましメールの送信ができてしまいます。
PHPの場合は、mb_send_mail関数の第4引数に、FROMに指定したいメールアドレスを渡すだけ。
ついでにメール本文には、「メールアドレスが変わったから、次からは○○@○○.comにメールちょうだい」のように攻撃者のメールアドレスを書いておけば、相手とのコミュニケーションを掌握されてしまいます。
【結論】
ということで、アドレス帳に登録された知人からメールを受信したからといって、知り合いだと直ぐに信じるのは気をつけましょう! ということ。
勉強会用サンプルURL (勉強会参加者専用)
( http://pptxshare.sourceforge.jp/sendmailtest )