- 締切済み
メールアカウントの乗っ取りについて
こんばんは。 掲題の件につき質問です。 どうやら私のメールアカウントが乗っ取られ、spamメールに対するReturned mail: see transcript for detailsがいっぱい送付されてきました。 パスワードをすぐに変更したので、それ以降は来ていません。 メールサーバーの情報をみると、送付元はいろいろなIPになっていて、実際に送信された記録があるため、成り済ましではないと思います。 自契約のメールサーバーから送信できるということは、 ●メールサーバーのIPアドレス ●ユーザーID ●パスワード がすべて相手に漏れているのではと思うのですが、下記サイトなどを見ると、 http://joes.co.jp/2014/05/21/mailaccounts/ パスワードさえわかれば送信できでしまうようなことが書いてあります。 この場合は、ユーザーIDがわかっていないので、受信したメールは見られていないと判断できると思うのですが、この点についてなにか技術的アドバイスもしくは参考サイトなどを教えていただけますでしょうか?
- withlinus
- お礼率69% (72/103)
- その他([技術者向] コンピューター)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- ok-kaneto
- ベストアンサー率39% (1798/4531)
>自契約のメールサーバーから送信できるということは、 >●メールサーバーのIPアドレス >●ユーザーID >●パスワード >がすべて相手に漏れているのではと思うのですが、 根拠があやふやですね。 ところでメールサーバといってもSMTPサーバなのかPOPサーバなのかでも変わってきますが。 (1)メールは実際に送信されたのか? そもそもメールヘッダは自由に捏造可能なのでそもそもメールがwithlinusさんのメールアドレスから実際に送信されているかどうか解らないです。 ・MailerDaemonになりすましているケース ・From/Return-Toをなりすましたメールであちこちのメールサーバに送信されれば返信は実際の送信元ではなくてなりすましたメールアドレスに戻る が考えられます。 (2)そもそもメール送信にパスワードは本質的には必要ない これはメールサーバによりますが。本来、SMTPには認証はありません。多くのメールサーバでPOPbeforeSMTPなどで認証のまね事をしているだけで、withlinusさんがお使いのメールサーバでどうか解りません。 また、メールサーバのIPアドレスが解らなくてもドメインさえわかればDNS問い合わせでメールサーバのホスト名が分かりますし、ホスト名からIPアドレスは解ります。 お使いのメールサーバの仕様がわからないので推測です。もしPOPbeforeSMTPならPOPサーバのパスワードが解っていることになりますので、メールを解読されている可能性もあります。 587ポート等を使う場合は共用ID/パスワードを使っている場合もありますが。 個人的な経験からいうと(1)の後者が多いと思います。ただ >メールサーバーの情報をみると というのはSMTPサーバのログを参照されたのですよね?SMTPサーバの仕様がわからないのでコレ以上はなんともいえません。
お礼
お礼が遅くなり申し訳ありません。 メールパスワードを変更することで対応しました。
補足
ok-kanetoさん 早速のご回答ありがとうございます。 メールサーバーはSMTP/POPとも同じです。 (1)の件 実際のメールサーバーのログを見ると、 STARTTLS=server, relay=rrcs-208-125-98-102.nys.biz.rr.com [208.125.98.102], version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES256-SHA, bits=256/256 15urna sm-mta[20003]: AUTH=server, relay=rrcs-208-125-98-102.nys.biz.rr.com [208.125.98.102], authid=【私のuserID】, mech=PLAIN, bits=0 となっているので、送信はされているのだと思います。 2) メーラーの設定をみるとPOPbeforeSMTPではないと思います。IPについてはおっしゃる通り、pop.hogehoge.comでpingを打ったら簡単に表示されました。 SMTPサーバの仕様は残念ながら私もわかりません・・・。