メールヘッダーの読み方
メールには、インターネット上をどのようなメールサーバを経由して送られてきたかなどの情報が記録されています。その情報を「メールヘッダー」と呼ばれています。このメールヘッダーを見ることにより、怪しげなメールを見分ける手がかりになるかもしれません。
メールヘッダーの読み方を記述します。
メールヘッダーの開き方
メールヘッダーを開くということは、通常のメールを開くこととは違いますので、ウイルスなどに感染する心配はありません。安心してヘッダーを開くことが出来ます。メールヘッダーは、次の手順で開く。図1. メール一覧からメールヘッダーを開きたい「メール」を右クリックして(@)、表示されるメニューの「プロパティ」をクリックする(A)。 |
図2.「You were recommended to me」画面が表示されるので「詳細」タブをクリックする(@)。 これが「メールヘッダー」の情報です。 閉じる場合は、「閉じる」をクリックする(A)。 |
リンク元のページへ戻る
メールヘッダーの見方
メールヘッダーは、図3のように@~Bに分けられる。図3. ヘッダの構造 |
@の中の意味 | |
From | 送信者の名前 |
To | 宛先 |
Subject | 件名 |
Date | 送信日時 |
Aの中の意味 | |
Received | メールが届くまでに経由してきたメールサーバと時刻が記録される。経由するサーバが自動的に下から上に追記する。この中の「by」が受信したサーバ。「from」が送信したサーバ。 唯一信頼できるのは「Received」の情報です。 |
Message-Id | サーバの中で、そのメールを識別するための、固有の番号。基本的には同じIDのメールは存在しない。 |
X- | 頭に「X-」の付いたヘッダ情報は、送信者の使用メールソフトが独自使用で付加したもの。 |
Authentication- Rsults |
プロバイダーの独自仕様。なりすまし・偽装メールかの結果を付加(受信防止用)。 |
Bの意味 | |
Return-Path | メールが届かなかった場合に、そのメールが送り返されるメールアドレス。 |
リンク元のページへ戻る
怪しいメールの見分け方
次の3つのケースを調べてみる。1.実際に、迷惑メールで検出されたヘッダーを見る。
2.ニセ「Received」のヘッダーを見る。
3.フィッシングメールのヘッダーを見る。
怪しいメールを見分けるには、メールヘッダーの中の「Received」情報で判断できる。「Received」の中でも、自分のプロバイダー(メールサーバー)に届く直前の「Received」のデータが重要です。
怪しげなメールと分かれば、開かないことです。直ちに削除することです。
送信アドレスが正しいか見分ける
図4は、実際に迷惑メールとして検出されたメールのヘッダーです。送信者のメールアドレスは、[tomotomo0811@n.t.rd.honda.co.jp]です(@のFrom)。自分のプロバイダのサーバが受信して調べたところ、カザフスタン共和国のメールサーバーから送信したと分かる(C)。日本のサーバーから送信されていないので、送信アドレスは、怪しいことになります。国別略号は、こちらを御覧ください。
図4.迷惑メールのヘッダー このヘッダーは実際に迷惑メールと判断されたメールのヘッダーです。@の[To]は仮のアドレスです。その他は、実際の情報です。 @の[From]は日本のメールアドレスが記録されています。 Aの[Received]の[by]で、[2.134.11.39]のサーバーが受信して調べたところ、[from]の[unnown]サーバーが送ったメールで、メールアドレスも、@の送信者と同じです。 しかし、Bの[Receivef]の[by]の[conmx512.nifty.com]サーバが調べたところ、メールアドレスは、[megaline.telecom.kz]となっています(C)。[kz]は、カザフスタン共和国であり、日本のメールサーバから発信していないことで、@の発信者のメールアドレスの[tomotomo0811@n.t.rd.honda.co.jp]は、怪しいメールと判断できます。 |
リンク元のページへ戻る
ヘッダーは書き換えができる、ニセRecivedを見分ける
ヘッダー内の情報のうち、[From]で始まる差出人情報、[Subject]で始まる件名は、メールソフトの設定で簡単に書き換えることができる。他の情報は、メールソフトでは変更することはできない。しかし、[Radish]などのメール送信サーバソフトを使い、自分でメールサーバを用意すると、ヘッダーのあらゆる情報を自由に変更することができる。スパム業界の中には、自社サーバを使い手の込んだヘッダ書き換えをしているところもある。(シェアウェアのメールソフト[Becky!]は、ヘッダーの書き換えができるそうです。自社サーバも不要だそうです。)ただし、メールサーバを立てても[Received]だけは書き換え不可。ヘッダーの中で唯一信頼が出来るのが、[Received]の情報です。
[Receiived]には、約束事があるそうです。図5をご覧ください。
図5.ニセReceivedのヘッダー (NetRunner から) [Receiived]には約束事は、 Bの[Received]の[frome]は、送ったメールサーバで、Aの[Reseived]の[by]は、受信したメールサーバで、必ず一致するという特徴がある(E)。 Cの[Received]の[frome]は、Bの[Reseived]の[by]からではないが、Bの[Reseived]の[rome]と一致している(F)。 しかし、Aの[Reseived]の[frome]は、@の[Reseived]の[by]と一致していない(D)。明らかに送信者が勝手に書き足した「ニセReceived」であることが分かる。 |
リンク元のページへ戻る
フィッシングメールを見分ける
図6のヘッダーの情報は、サンプルで、ドメイン名などは架空なものです。このヘッダーの情報から、件名と送信者のメールアドレスを見ると、「ASAHIBANK」からのメールに見えます。しかし、最後のBの[Received]の情報を見ると、英国(uk)で△△△のADSLサービスを使ってインターネットにつないでいる人が(D)、メールを送信したことになります。
図6.フィッシングメールのヘッダー このヘッダーの内容は、サンプルで、ドメイン名などは架空なものです。(2005年4月2日朝日新聞から) 「Received(メールが届いた経路)」を調べます。それも、自分のプロバイダーのメールサーバに届く直前のデータが重要です。 この場合は、最後のBの[Received]で、[by]を見ると自分のプロバイダーのメールサーバです(E)。 [from]を見ると、[asahibank]というメールサーバから送られているので(C)、[asahibank]からのメールのように見られます。 しかし、受信したメールサーバが調べた結果、相手の正体は[adsl.△△△.co.uk]でした(D)。 これは、英国(uk)で△△△のADSLサービスを使ってインターネットにつないでいる人、ということになります。よって[asahibank]でない可能性が極めて高いことになります。 このように、自分のプロバイダーのメールサーバに届く直前のデータを調べてみましょう。 |
メールの受信がおかしい場合は、メールヘッダーを見てみましょう。
Page Top△
リンク元のページへ戻る