インターネット回線の速度が速くなり、誰でもスマホを持っている現在ではLINEやチャットツールで連絡を取ることがスタンダードになりつつあります。
しかしアカウントの本人確認、ネットショッピングの購入通知などメールも無くすことはできません。さらに迷惑なメールも増える一方・・・。
今回は迷惑メールのヘッダー情報の確認方法と便利な解析サービスなど紹介したいと思います。
重いパソコンがサクサク動くウイルス対策ソフトメールヘッダーでわかること
通常のメールは、以下の画像のように「件名」「送信先アドレス」「時間」「本文」のみしかわかりません。
ヘッダー情報を見ると件名や本文以外にどのような経路で送られてきたかなど様々な情報が詰まっています。
サーバーソフトなどによって見れる情報は増減しますが代表的な情報はこんな感じ。
- 送信元アドレス(From)
- 送信先アドレス(To)
- 送信された時間(Date)
- 配送(転送)されたアドレス(Delivered-To)
- 送信経路(Received)
メールヘッダーを見る方法
メールヘッダーの見方はメールソフトにより異なりますが、Gmailではメール右側の「・・・」を選択、「メッセージのソースを表示」で確認することができます。
元のメッセージと表示され「メールID」「作成日」「From」「To」「件名」など表示されていますが、その下に表示されているのがヘッダー情報です。
英数字だらけで頭が痛くなる方もいるかもしれませんが、分解して見るとそれほど難しくはありませんので1つずつ説明していきます。
メールヘッダー例
Delivered-To: △△△@gmail.com
Received: by 2002:XXX:XXXX:0:0:0:0:0 with SMTP id z26-v6csp3344588ocj;
Sun, 30 Sep 2018 17:44:39 -0700 (PDT)
Delivered-To: △△△@hogehoge.com
Received: (qmail 92827 invoked by uid 89); 1 Oct 2018 09:44:00 +0900
Delivered-To: ◎◎◎@yahoo.com
Received: (qmail 92801 invoked from network); 1 Oct 2018 09:44:00 +0900
Received: from unknown (HELO test.com) (XXX.XXX.XXX.XXX)
by 0 with SMTP; 1 Oct 2018 09:44:00 +0900
Received: by test.com (Postfix) id XXXXXXX; Mon,
1 Oct 2018 09:44:00 +0900 (JST)
Delivered-To: □□□@test.com
Received:from static.vnpt.vn (unknown [14.188.155.189]) (5)by test.com (Postfix) with ESMTP id XXXXXXXX for <□□□@test.com>;Mon,
1 Oct 2018 09:43:57 +0900 (JST) (4)
Message-ID: <XXXXXXXX@test.com>
From: <○○○@spam-mail.net(3)>
To: <□□□@test.com(2)>
Subject:すぐにお読みください!(1)
Date: 1 Oct 2018 13:06:54 +0600
MIME-Version: 1.0
Content-type: multipart/alternative; boundary=”—A1DDD71AD7AB101A666CA16C10ABA1DD”
X-Mailer: Owinvg sltbbk
わかりやすいところから見ていきますが、(1)〜(3)は項目名を見て分かるとは思いますが
- 1.件名「すぐにお読みください」
- 2.送信先「□□□@test.com」(自分のアドレスのはず)
- 3.差出人「○○○@spam-mail.net」(送信者のアドレス)
という感じです。差出人は偽装されていることも多く、自分のアドレスになっていることも。自分宛てに自分で送るとか意味不明ですよね・・・。
Delivered、Received、Delivered-Toがたくさんありますが、下から見ていきます。
Receivedが複数行にまたがっていますが、(4)が最初に送信された時間で(5)が送信元の情報です。
- 4.最初に送信された時間
- 5.送信元情報
このメールではfrom static.vnpt.vn (unknown [14.188.155.189])が最初に発送したアドレスでベトナムのアドレスになっています。このIPをaguseでチェックしてみても複数のブラックリストに入っていました。
その他のDelivered-ToやReceivedは他のアドレスに転送したもので、下から上の順番で送られています。この例で言うと□□□@test.com→◎◎◎@yahoo.com→△△△@hogehoge.com→△△△@gmail.comの順番で送られたことになります。
スパムか本当のメールか見分ける方法
先程の例の場合、ベトナムのホスト名(.vn)が入っていたのでわかりやすいですが国内の大手プロバイダのホスト名を偽装していることもあり一見わかりづらいですが、殆どの場合はIPアドレスをチェックするとわかります。
このメールは差出人は国内?のプロバイダっぽいアドレスから届いて、送信ホストが国内大手プロバイダっぽい表示になっていますがIPを見るとルーマニア、ブラジル、アメリカのサーバーを経由していることがわかります。
解析サービス
IPブラックリスト検索
ヘッダー情報のIPアドレスが問題あるのか無いのかは、このサイトでチェック。IPを入力して検索ボタンを押すだけで調べることが可能です。
This IP isnotlisted in Spamhaus となっていれば問題なし。This IP is listed in Spamhausとなっているとブラックリストに入っています。
Microsoft Message Header Analyzer
マイクロソフトが提供しているメールヘッダー解析サービス。
使い方は簡単でサイトにアクセスしたら、タブの「Message Analyzer」をクリック。ヘッダー情報を下のフォームに入力して「Analyze headers」ボタンをクリックするだけ。
先程のごちゃごちゃ見づらかったヘッダーが整理されて表示されます。送信元の情報は1行目の「Submitting Host」に表示されるのでここのIPをチェックすればどこから送られてきたのか知ることができます。
Aguse
こちらもマイクロソフトの解析サービス同様に、フォームに入力してボタンを押すだけ。
送信元から経路順に表示されていますが、偽装している場合などわかりやすい表示となっています。
最終的な配送元サーバーの場所が地図で表示されます。偽装している場合がほとんどなので目安として見る程度で良いでしょう。
最後に
今回は迷惑メールのヘッダー情報の確認方法と内容をわかりやすくする解析ツールを紹介しました。
今までいろいろなスパムメールを見てきましたが年々、巧妙になっている印象です。怪しいリンクや添付ファイルは開かないよう気をつけてください。
怪しいURLはトレンドマイクロのSite Safety Centerなどでチェックして安全を確かめてから閲覧するようにしましょう。
コメント
マシン名とは、使用しているPCやスマホ等の機種名のことでしょうか?
それであれば、1年半前にdocomoのキャリアメールで来たメールと、最近Gmailで来たメールが同一のスマホから送信されたかは解析できますか?
同じ機種のスマホを使っている人はたくさんいますが、さらに個人の識別ができるのでしょうか?