ID-code:AQrtjooLFTM

　はじめまして。少し前から(主に)英文のスパム・メールが増え、苦慮して居た折、検索で こちらのサイトを見付け、関連IPに処置依頼することを始めた者です。まずは、情報交換の場と便利なツール集を用意してくださったことに感謝します。
　本題に入らせて頂きます。題名のヘッダ解析についてなのですが、まだ よくわからないことがあり、御知恵を拝借したいと思います。
スパム・メールの ひとつから、ヘッダ情報とメール本文を引用します。(どこまで省略してイイのか わからないため、*で伏せた部分以外は そのままです。情報に過不足があれば、指摘してくださると幸いです)
----------------ここから----------------
>Status: U
>X-UIDL: *.*.qmail03.isao.net,S=*
>Return-Path: <24qhpznofc＠alltel.net>
>Delivered-To: *＠*.dricas.com
>Received: (qmail 26586 invoked from network); 2 Mar 2004 04:17:22 +0900
>Received: from unknown (HELO 218.42.136.189) (217.75.147.172)
by *.*.*.* with SMTP; 2 Mar 2004 04:17:22 +0900
>Received: from [147.118.236.155] by 218.42.136.189 id 5TaPLxnaF7UB; Tue, 02 Mar 2004 04:06:32 -0200
>Message-ID: <7-cr$d0-4$$3lo73-atbs＠q42.ng4>
>From: "Rosanne Hobbs" <24qhpznofc＠alltel.net>
>Reply-To: "Rosanne Hobbs" <24qhpznofc＠alltel.net>
>To: *＠*.dricas.com
>Subject: For men: acheive greater, more powerful 0rgasms. ua ukty
>Date: Tue, 02 Mar 04 04:06:32 GMT
>X-Mailer: The Bat! (v1.52f) Business
>MIME-Version: 1.0
>Content-Type: multipart/alternative;
> boundary=<37DA5._9..07FAB4..3_6.3>
>X-Priority: 3
>X-MSMail-Priority: Normal

>===== Original Message From "Rosanne Hobbs" <24qhpznofc＠alltel.net> =====
>
>tyle=3D"line-height: 1.35em">
> src=3D"http://naturalenhance.info/images/bottle4.jpg" width=3D"101">
>
>
>t: 1.35em" color=3D"#0000FF">
> Our NaturalGain+ Penis Enlargement Pills Will Expand,
> Lengthen And Enlarge Your Penis 3+ Inches.
> 100% Satisfaction Guaranteed! Or Your Money Back!
>
>
>
>
>=
>
>* Gain 3+ Full Inches In Length=0A* Increase Y=
>our Penis Width (Girth) By 20%
>* Stop Premature Ejaculation!
>* Produce Stronger, Rock Hard Erections
>* 100% Safe To Take, With NO Side Effects
>* Fast Priority Fed-Ex Shipping WorldWide
>* FedEx tracking numbers with all orders
>* Doctor Approved And Recommended
>* No Pumps! No Surgery! No Exercises!
>* 100% Money Back Guarantee
>* FREE Bottle Of NaturalGain+ Worth Over $50
>* FREE "Male Help E-Book" Worth Over $50
>
>
>=0Ae=3D"Helvetica, Arial, sans-serif">
>=3D"_blank">
>CLICK HERE TO ENLARGE YOUR PENISnt color=3D"#008000">
>
>
>
> =0A
>
>=0A =0A=0A2" style=3D"line-height: 1.35em" face=3D"Helvetica, Arial, sans-serif">
>Opt=
> me out
>eovhotibuoazijvebykxzqec
>p gmb lqyv
>crgth
> okqjk luc xborthsqq cbqtg rjqejb
----------------ここまで----------------
　ツール集のガイドに従い、取り敢えず[217.75.147.172]を管理するsupport＠online.bg宛には報告しましたが、判断に困るのは その直前の[218.42.136.189]、ドメイン名mailsv3.dricas.comについてです。
メール・サービスを利用して居るisao.netの管轄下にあるアドレスなのですが、現在設定して居る受信サーバとも送信サーバとも異なるアドレスなのです。(別のドメイン名のサーバを設定して居ます。また、ネット接続自体は別のプロバイダを利用して居ます)
　この場合、[218.42.136.189]はスパムの中継点にされて居ると考えてイイのでしょうか？それとも、詐称されて居るだけなのでしょうか？どうか御教授を御願い致します。

ID-code:w6SZ3BprNCg（本記事は投稿者自身により03/03-07:45に修正されました）

> 　はじめまして。少し前から(主に)英文のスパム・メールが増え、
（略）
> >Received: from unknown (HELO 218.42.136.189) (217.75.147.172)
> by *.*.*.* with SMTP; 2 Mar 2004 04:17:22 +0900
> >Received: from [147.118.236.155] by 218.42.136.189 id 5TaPLxnaF7UB; Tue, 02 Mar 2004 04:06:32 -0200
（略）
> 　この場合、[218.42.136.189]はスパムの中継点にされて居ると考えてイイのでしょうか？
> それとも、詐称されて居るだけなのでしょうか？

　アクティブな対spam活動への御理解、御協力、
誠に有り難うございます。

　さて、上の件ですがHELOの後の文字列は詐称だと思われます。
古いサイトでアーカイブにしか残っていませんが
下記サイトを参照してみて下さい。
http://web.archive.org/web/20010127050500/sites.netscape.net/ikazhik/spam/analyze.html

　既にお調べになった217.75.147.172こそが自分側に
渡したサーバであり、HELO 218.42.136.189の部分は
フェイクなはずです。

ID-code:w6SZ3BprNCg

> 　既にお調べになった217.75.147.172こそが自分側に
> 渡したサーバであり、HELO 218.42.136.189の部分は
> フェイクなはずです。

　ちなみに100％とは言いませんが当サイト提供のヘッダ解析ツール
http://antispam.stakasaki.net/tools/hdpar-fr.html
を使っていただけば正しくなさそうなものは無視します。
今回の場合もHELO 218.42.136.189は無視するようになっています。

ID-code:AQrtjooLFTM

　リンク先、参照させて頂きました。詐称しにくいとされる「受け手側のサーバから0つ前のサーバが残した記録」(hdparから引用)に、IPアドレスが ふたつ並んで居ることが不思議だったのですが、そこも偽造(と言うより、小細工とゆう表現の方が近いかな？)可能だったんですね。勉強になりました。
また疑問が発生したら御厄介になるかも知れませんが、よろしく御願い致します。
＃ｓａｇｅ

ID-code:w6SZ3BprNCg

> 　リンク先、参照させて頂きました。詐称しにくいとされる「受け手側のサーバから0つ前のサーバが残した記録」
> (hdparから引用)に、IPアドレスが ふたつ並んで居ることが不思議だったのですが、

　ごもっともな疑問です。まず、以前から解説されるヘッダでは
Received: from unknown (HELO 218.42.136.189) ([217.75.147.172])
というように、信頼できる方は［　］がつく仕様が一般的だったのですが
そうではなく、その変わりに（　）でつく形式のサーバが
増えてしまい、若干分かりにくくなっています。
そして（xxx[ ])より前の文字列はspammerが勝手に名乗ったものですが
今回の場合にはおそらくわざと混乱させるために
IPアドレスを書いていると思われます。
しかしここは一般にホスト名だったり、その他色々であり、
基本的に信頼できません。もっと分かりにくい場合はHEROさえつけず
from unknown (218.42.136.189) (217.75.147.172)
というのもあるかも知れませんが後者の方だけを信頼すべき
もののはずです。
　私も各種サーバ仕様に詳しいわけではないので
経験から得た知識ですけど。

　今後とも御協力お願いいたします。

ID-code:fl8DKJoSGUw

私も専門家ではありませんが自分宛のメールで気づいたことでも。

この場合fakeでspammerが名乗っているIPアドレス、「受信側のIPアドレス」を騙ってるようです。
…なので、発信元をたどるのには『全く持って有害』です。
＃もし暇であればnslookupで自分自身のメルアドのMXアドレスと比較してみることをお勧めします。

ちなみに私は、ここが受信サーバのIPアドレスの場合、100％の確率でspam判定しています。
＃もし受信サーバが自分自身で出すにしても使わないですし。

ID-code:AQrtjooLFTM

　設定中のメール・サーバのドメイン名をIPアドレスに変換したところ、くだんのものと一致しました。
逆引きで導き出されたドメイン名とは見た目が全く違ったため別物かと思ってましたが、IPアドレス的には同じだったんですね。謎がひとつ解けました。ありがとうございました。
＃ｓａｇｅ