みなさん、こんばんは。

ここ数日のうちに２通の英文スパムを受け取りました。
以下、ヘッダのみ転記します。

----1通目----
Return-Path: <>
Date: Fri, 15 Nov 2002 19:36:33 +0900
From: "Sandra" <djkim＠yahoo.co.kr>
To: *********＠nifty.ne.jp
Subject: (璞・�ｾ) No, Internatinal call !! No, Q2 dial !!
Received: from a ([218.232.249.151])by ums518.nifty.ne.jp (8.9.3+3.2W/3.7W011207) with SMTP id SAA20563for <*********＠nifty.ne.jp>; Fri, 15 Nov 2002 18:41:12 +0900 (JST)
Message-ID: <20021115193633.213825416＠admin>
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-UIDL: 3dd4c145045GLUF9

----2通目----
Return-Path: carl6503c40＠bigfoot.com
Date: Sun, 17 Nov 2002 20:07:42 -0500
From: carl6503c40＠bigfoot.com
Reply-To: <carl6503c40＠bigfoot.com>
To: carl＠nifty.ne.jp
Subject: The power of the internet to make money!
Received: from bigfoot.com ([213.19.168.9])by ums511.nifty.ne.jp (8.9.3+3.2W/3.7W000628) with SMTP id AAA20388for <*********＠nifty.ne.jp>; Mon, 18 Nov 2002 00:10:12 +0900 (JST)
Message-ID: <001e00c58b1e$5141c3d4$7cb05ed2＠xmmpsi>
MiME-Version: 1.0
Content-Type: text/plain;charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Importance: Normal
X-UIDL: 3dd7b16f07D8C9KF

------------

この２通はヘッダや本文の特徴に共通性が見られないので、別スパマーと思われます。
問題はReceivedが１行のみでローカルIPしか記録されていない点です。
いままで見たことのないタイプで少々困惑しています。
どのようなときに、こんなことが起こりうるのか御意見をお聞かせください。

http://spamcop.net/w3m?action=checkblock&ip=218.232.249.151

whois -h whois.nic.or.kr. 218.232.249.151 ...

query: 218.232.249.151

# ENGLISH

KRNIC is not ISP but National Internet Registry similar with APNIC.
Please see the following end-user contacts for IP address information.

IP Address : 218.232.249.128-218.232.249.255
Network Name : HANANET-HIGHBAN-HELLGATE021
Connect ISP Name : HANANET
Connect Date : 20020327
Registration Date : 20020327

[ Organization Information ]
Orgnization ID : ORG241195
Org Name : HELLGATE
State : KYONGGI
Address : 2024 SINHEUNG DONG SUJUNG-GU SUNGNAM-SHI
Zip Code : 462-120

[ Admin Contact Information]
Name : HWANUP KIM
Org Name : HELLGATE
State : KYONGGI
Address : 2024 SINHEUNG DONG SUJUNG-GU SUNGNAM-SHI
Zip Code : 462-120
Phone : +82-31-748-5252
Fax : +82-31-748-5252
E-Mail : HELLGATE＠HANANET.NET

[ Technical Contact Information ]
Name : HWANUP KIM
Org Name : HELLGATE
State : KYONGGI
Address : 2024 SINHEUNG DONG SUJUNG-GU SUNGNAM-SHI
Zip Code : 462-120
Phone : +82-31-748-5252
Fax : +82-31-748-5252
E-Mail : HELLGATE＠HANANET.NET

--------------------------------------------------------------------------------

If the above contacts are not rechable, please see the following ISP contacts
for relevant information or network abuse complaints.

[ ISP IP Admin Contact Information ]
Name : Inyeop Seung
Phone : +82-2-106
Fax : +82-2-6266-6483
E-Mail : ip-adm＠hanaro.com

[ ISP IP Tech Contact Information ]
Name : IP Admin
Phone : +82-2-106
Fax : +82-2-6266-6483
E-Mail : ip-adm＠hanaro.com

[ ISP Network Abuse Contact Information ]
Name : Security Admin
Phone : +82-2-106
Fax : +82-2-6266-6483
E-Mail : security＠hanaro.com

http://spamcop.net/w3m?action=checkblock&ip=213.19.168.9

http://groups.google.com/groups?num=50&hl=ja&lr=&ie=Shift_JIS&q=Received%3A+bigfoot.com+213.19.168.9

whois -h whois.geektools.com 213.19.168.9 ...
Query: 213.19.168.9
Registry: whois.ripe.net
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.

inetnum: 213.19.168.0 - 213.19.171.255
netname: NISOC-IR
descr: NISOC-IR
country: nl
admin-c: BG357-RIPE
tech-c: LTHM
status: ASSIGNED PA
remarks: all abuse reports to abuse＠level3.com
mnt-by: LEVEL3-MNT
mnt-lower: LEVEL3-MNT
changed: robo-bijal＠level3.com 20020322
changed: martin.hindley＠level3.com 20020327
source: RIPE

route: 213.19.168.0/22
descr: CyberRoute block
origin: AS24602
notify: bhelbers＠cyberroute.com
mnt-by: LEVEL3-MNT
changed: martin.hindley＠level3.com 20020327
source: RIPE

role: LEVEL3 Hostmaster
address: Level (3) Communications
address: 100 Leman Street
address: London
address: E1 8EU
phone: +44-20-7864-4444
e-mail: ripehostmaster＠eu.level3.net
trouble: 24 Hour Call +44-08000-927-729
trouble: Abuse reports to abuse＠eu.level3.net
admin-c: STUD1-RIPE
admin-c: KR2087-RIPE
admin-c: DT16-RIPE
admin-c: MATT69-RIPE
admin-c: JA600-RIPE
admin-c: JT4883-RIPE
tech-c: LTEE
nic-hdl: LTHM
remarks: Peering issues to peering＠eu.level3.net
notify: ripehostmaster＠eu.level3.net
mnt-by: LEVEL3-MNT
changed: martin.hindley＠level3.com 20020708
source: RIPE

person: Bahman Gholami
address: National Iranian South Oil Company (NISOC)
phone: +98 611 4447094
e-mail: gholami.b＠nisoc.com
nic-hdl: BG357-RIPE
mnt-by: LEVEL3-MNT
changed: kenneth.roberts＠level3.com 20020322
source: RIPE

噂のLEVEL3ですね。

| 問題はReceivedが１行のみでローカルIPしか記録されていない点です。

MXを直接引いているからではありませんか。

> 問題はReceivedが１行のみでローカルIPしか記録されていない点です。

私の勘違いなら恐縮ですが、Sakurai氏が示しているとおり
IPがきちんと出ていますけれども。ローカルIPではないものが。

Received: from a ([218.232.249.151])by ums518.nifty.ne.jp (8.9.3+3.2W/3.7W011207)
with SMTP id SAA20563for <*********＠

Received: from bigfoot.com ([213.19.168.9])by ums511.nifty.ne.jp (8.9.3+3.2W/3.7W000628)
with SMTP id AAA20388for

のぶぶんですね。ヘッダ全文を

『hdpar』（スパム苦情先検索システム）
http://earth.endless.ne.jp/users/stakasa/tools/hdpar-fr.html

で解析すれば出てくる赤いIPです。
　「問題のある可能性」と出てしまいますが、
この場合にはローカルIPということではなく
それを元にGeekToolsで苦情先を調べて構いません。

> > 問題はReceivedが１行のみでローカルIPしか記録されていない点です。
>
> 私の勘違いなら恐縮ですが、Sakurai氏が示しているとおり
> IPがきちんと出ていますけれども。ローカルIPではないものが。

かなり頭をひねった結果、
「ローカルIP」== 「接続してきたホストのIPアドレス」
と理解したのですけど…

多分、"Received:"が一行しかなくて、困惑したのではないでしょうか。
（ISPなどの）SMTPサーバを使用せずに、
MXレコードを直接自分で引っ張ってきて接続すると、
"Received:"が一行だけになります。
もちろん他のやり方で同じような結果になることはあります。

ちなみに、グローバルIPアドレスの反対語は、プライベートIPアドレスです。

お騒がせしました。
いくつかの要因が重なって勘違いをしておりました。

勘違いの経緯は
1.Receivedが１行だけだったこと。
2.『hdpar』で「問題のある可能性」とでたこと。
3.手元にあったムック本の解説を読み違いしたこと。（これが一番の勘違い）

1.についてはSakurai様のコメントで、ありうることと知りました。
2.は管理人様のコメントがついていますね。
3.はムック本のクラス分けの表をプライベートIPの表と見間違えておりました。
＃前後の解説がプライベートIPに関する内容だったので・・・。
＃よく見るとプライベートIPは別表で載っており完全に早とちり。

はずかしいので・・・。　＃ｓａｇｅ

ブラックキャット＠もうねようです。

これは、パソコンに簡易SMTPソフトを住み込ませて、
住み込ませたSMTPサーバから、メールを送信しているかもしれません。

その場合、そのSMTPサーバソフトは、
DNSのMXレコードを引いてきて、直接配送
する動作をします。

http://www.fastbulkemail.com/
なんかもそうみたいです。

> > 問題はReceivedが１行のみでローカルIPしか記録されていない点です。
>
> 私の勘違いなら恐縮ですが、Sakurai氏が示しているとおり
> IPがきちんと出ていますけれども。ローカルIPではないものが。
>
> Received: from a ([218.232.249.151])by ums518.nifty.ne.jp (8.9.3+3.2W/3.7W011207)
> with SMTP id SAA20563for <*********＠
>
> Received: from bigfoot.com ([213.19.168.9])by ums511.nifty.ne.jp (8.9.3+3.2W/3.7W000628)
> with SMTP id AAA20388for
>
> のぶぶんですね。ヘッダ全文を
>
> 『hdpar』（スパム苦情先検索システム）
> http://earth.endless.ne.jp/users/stakasa/tools/hdpar-fr.html
>
> で解析すれば出てくる赤いIPです。
> 　「問題のある可能性」と出てしまいますが、
> この場合にはローカルIPということではなく
> それを元にGeekToolsで苦情先を調べて構いません。