| 0●注意事項 |
以下では普通のメール、素直なspam、怪しいspamのヘッダーを具体例を挙げ、どのような点に注目すべきか解説しました。
けれどもヘッダーの残し方、特に各自のプロバイダーのヘッダーの残し方にはそれぞれ違いがありますので、以下のヘッダーが皆さまの所と全く同じとは限りません。
例えばBIGLOBEでは受信・送信の際に内部処理の為のReceived:がありますが、内部での受け渡しがない(残さない?)場合もあるそうです。また、御自分が転送アドレスを使っている場合には自分に関係しているReceived:が上の方に増えることになります。そしてそのその場合のReceived:も(あなたのメール関係サービス会社がしっかりしたところであれば)信頼できるはずです。
そのような前提を踏まえてお読み下さい。
また色をつけて派手派手にしましたが、これは分けの分からない英語の羅列のヘッダーに、皆さまが少しでも慣れやすくするための措置のつもりです。
ヘッダー解析初心者の方は、以下のヘッダーの中では色のついた部分のみに注目して下さい。解説文と関係する部分は同色で対応しています。
| 1●普通のメールヘッダー |
注目すべきなのはReceived:の単位です。これは
Received:from ○○ by XX
「○○サーバからXXサーバへ受け渡しがされました」
という意味を示しています。
| Received:
from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW) id DAA08174;Mon, 21 May 2001
03:06:52 +0900 (JST) Received: from smtp01.mem.interq.net (smtp01.mem.interq.net [210.157.1.51]) by rcpt-impgw.biglobe.ne.jp (8.9.3+3.2W/3.7W-01050710)with ESMTP id DAA08171 for <stakasaki@mts.biglobe.ne.jp>;Mon, 21 May 2001 03:06:52 +0900 (JST) Received: from -- (kyoto-ppp-210-172-160-58.interq.or.jp [210.172.160.58]) by smtp01.mem.interq.net (8.9.3/8.9.1/matt89-pop)with ESMTP id DAA19039 for <stakasaki@mts.biglobe.ne.jp>; Mon, 21 May 2001 03:06:51 +0900 (JST) Date: Mon, 21 May 2001 03:06:51 +0900 From: 始皇帝<stakasaki@dragun.interq.or.jp> To: 宣統帝<stakasaki@mts.biglobe.ne.jp> Subject: Test Of spam |
さて、この例は、正常にやり取りがされたメールのヘッダーです(差出人と受取人だけは変えています)。From差出人はInterQ(日本の大手プロバイダー)を利用し、To受け手はBIGLOBE(日本の超大手プロバイダー)を利用しています。これを見るのは普通受け手側ですから、あなたはBIGLOBEの会員であると考えましょう。
まず「基本的に記録は下から順に残される」というのを頭に置いておきましょう。
その上で、上の列から順に見ていくとfromとbyのあとに受信者のBIGLOBEが関係している部分があります。次に送信者のInterQが関係している部分があります。
基本的にReceived:は受信者側が残すものだそうですので、上を見ると
↑ 一番目のReceived:はBIGLOBE受信内部での処理記録。
↑ 二番目のReceived:はInterQからBIGLOBEに渡したという記録。
↑ 三番目のReceived:はInterQの送信の際の内部処理記録。
いう記録であり、実際に記録が残された順番は矢印↑のようになっています。
簡潔なやりとりで、きちんとした記録が残されていることが分かります。普通のメールやり取りなのですから当然です。
ここを見るだけでも分かるように、基本的にヘッダが示している経路の流れというものは
これを頭に入れた上で、もう少し見ていきましょう。
| 2●spamだけれども素直なヘッダーのメール |
さて次にspamです。あなたはBIGLOBE会員であると仮定しており、同様にspamを解析しましょう。
| Received:
from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW) id AAA02171;
Wed, 16 May 2001 00:34:05 +0900 (JST) Received: from smtp.freeserve.ne.jp (smtp.freeserve.ne.jp [210.156.200.40]) by rcpt-impgw.biglobe.ne.jp (8.9.3+3.2W/3.7W-01050710) with ESMTP id AAA02139; Wed, 16 May 2001 00:34:03 +0900 (JST) Received: from fne.freeserve.ne.jp (3533490432r50.freeserve.ne.jp [210.156.201.50]) by smtp.freeserve.ne.jp (8.9.3/3.7W) with ESMTP id AAA01630; Wed, 16 May 2001 00:31:33 +0900 Message-ID: <3B014BAF.84A489E7@fne.freeserve.ne.jp> Date: Wed, 16 May 2001 00:30:57 +0900 From: 『Love Club』 <love-club@fne.freeserve.ne.jp> X-Mailer: Mozilla 4.7 [ja] (Macintosh; I; PPC) X-Accept-Language: ja MIME-Version: 1.0 Subject: 【深夜番組で話題になった逆ナンパシステム採用】 100%確実に会えます!! |
このメールは最初「本当には」どこから来たか分かりません。確かに送信者が「love-club@fne.freeserve.ne.jp」となっていますが、本当にfreeserve.ne.jpから送られてきたかは、すぐには分からないのです。
けれどもヘッダーを見てみましょう。このヘッダーは全体の構造が、先程のヘッダーと極めてよく似ており、簡潔です。すなわち
↑ 一番目のReceived:はBIGLOBE受信内部での処理記録。
↑ 二番目のReceived:はfreeserve.ne.jpからBIGLOBEに渡したという記録。
↑ 三番目のReceived:はfreeserve.ne.jpの送信の際の内部処理記録。
となっています。しかも全体として送信者がfreeserve.ne.jpで統一されています。その他の点から見てもこのヘッダーはかなり信頼できると見て良いでしょう。
もっとも!...一見信頼できるヘッダーに見えても、素人が本当に信頼できるのは受信サーバであるBIGLOBEが記録した二番目のReceived:
までであるということはきちんと認識しておかなければなりません。
それが、私がspam対応で書いた、注目すべきは
Received:from 送信者のプロバイダ by 自分のプロバイダ
の部分だということです。
この信頼できる二番目の中で、送信者に関する赤で記した四つの数字部分がもっとも信頼出来る送信サーバの情報(IPアドレス)なのです。つまりここは受信者サーバであるBIGLOBEが残してくれた送信者側に関する情報だからなのです。それ以下はBIGLOBEへ送る直前に偽造した可能性も否定できません。
この場合の210.156.200.40が本当にfreeserve.ne.jpのものであるかは、検索する必要があるのですが、この場合はその直前の( )の中もそうであることから
(この中のfreeserve.ne.jpは受信側BIGLOBEが確認したものなのです、( )の前は違います)
ほぼ送信サーバはfreeserve.ne.jpである可能性が極めて高いとして良いでしょう。
さらに確実に確認するにはフローチャートの初めの部分で行うような「IPアドレスからドメイン名(XXX.ne.jp)」に変換して確認する措置が必要です。
ただし仮に本当に送信サーバがfreeserve.ne.jpであっても、送信者が「love-club@fne.freeserve.ne.jp」とは限らないことは注意しておきましょう。送信アドレスは詐称出来るので、freeserve.ne.jpの会員が別な同会員を名乗っている可能性もあります。
けれども、このヘッダーに加え、文面から考えて「返事を本気で必要としているらしい」という場合には実際の送信者である可能性も高いでしょう。
(けれども実はこのメールは実在する送信者ではありませんでした。このspamはプロバイダーから警察に被害届けが出ているほど悪質なものであり、また実際私が苦情を直ちに送ってみると存在しないアドレスでした。freeserve.ne.jpは2001/4現在、警察と相談中とのことです。http://www.freeserve.ne.jp/topics/topics5.html)
| 3●怪しいspamのヘッダー |
これなどはかなり怪しくなります。
| Received:
from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW) id QAA18611; Fri, 30 Mar 2001
16:12:40 +0900 (JST) Received: from email.seznam.cz (smtp.im.cz [195.39.10.6] (may be forged)) by rcpt-impgw.biglobe.ne.jp (8.9.3+3.2W/3.7W-01032315) with SMTP id QAA18608 for <stakasaki@mts.biglobe.ne.jp>; Fri, 30 Mar 2001 16:12:39 +0900 (JST) Date: Fri, 30 Mar 2001 16:12:39 +0900 (JST) Message-Id: <200103300712.QAA18608@rcpt-impgw.biglobe.ne.jp> Received: from u8-174.u203-204.giga.net.tw [203.204.8.174] by pa207.kornik.sdi.tpnet.pl with ESMTP (nkrw/5008050603) with SMTP id h7PAi8k10422 Mon, 25 Mar 2001 19:44:09 +0900 (JST) Received: from (HELO livedoor) [173.27.47.111] by u203-204.giga.net.tw with ESMTP id <859583-10748>;Mon, 25 Mar 2001 17:08:09 +0300 From: nanako <gegegegeaaiuiu@livedoor.com> Subject: 酒井若菜ちゃ〜ん!緊急アップ♪ MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Achi-Kochi Mail Lite ver1.00 |
まず送信サーバ関係の表記の所が統一していません。単純にメールアドレスやヘッダの下の方だけ見るとlivedoorのメールサービスをしているように見えますが、上の方の行を見ると、smtp.im.czすなわちチェコのサーバを使っていることが残されています。
まあインターネットでは外国のサービスを利用したりする人も多いので、外国のサーバを利用しているからといってすぐに疑わしいわけではありません。けれども前述のように四番目のReceived:では日本のlivedoorが出発ということになっています。日本のサービスを利用し、送り先が日本のBIGLOBEでありながら、外国のサーバを経ていると言うところが極めて怪しげです。
さらに注目すべきは三番目のReceived:が二番目のReceived:からは理解できないものになっていることです。すなわち二番目から考えるとemail.seznam.czというサーバから渡されているのに、三番目からはkornik.sdi.tpnet.pl に渡したことになっており、矛盾しています。これによりここでは三番目以降は偽造されている可能性が大きくなります。
すなわち四行目のReceivedにlivedoorの表示などがあっても、三行目のReceived:で情報が断たれている以上、これはlivedoorが関係したspamかは、もはや受信者の知るすべはありません。
しかしこのヘッダーでも二番目のReceived:までは信用できます。それは二番目だからというのではなく、自分のプロバイダーBIGLOBEが受け取った、という受信側の記録だからです。そしてその中の重要な情報がfromのあとに続く送信者情報の部分なのです。
これも一部詐称できますので、この場合でも信頼できるのは送信者の重要情報すなわち四つの数字(IPアドレス)195.39.10.6だけと考えましょう。これを元に、送信サーバ管理者を調べ、苦情(というよりは処置依頼)をせねばなりません。
前述の例と同様にまとめると