メールヘッダーの内容と、なぜ気にする必要があるのか?
知らないメール アドレスからスパムやフィッシング メッセージを受け取ったことはありませんか?誰かがあなたに無料旅行を提供したり、個人的な写真と引き換えにビットコインを送るように頼んだり、不要なマーケティング メールを送信したりすることはありませんか?
それらの電子メールがどこから来たのか疑問に思ったことはありませんか?スパマーがあなたのメールアドレスを偽装しているのを見て、どうやってそれをしたのか疑問に思ったことはありませんか?
電子メールのなりすまし、または実際とは異なるアドレスから電子メールが送信されたかのように見せかけること (たとえば、whitehouse.gov から送信されたように見えて、実際には詐欺師からの電子メール) は非常に簡単です。
コア メール プロトコルには認証方法がありません。つまり、「送信元」アドレスは基本的に空欄を埋めるだけです。
通常、メールを受信すると、次のような内容になります:
From: Name <[email protected]>
Date: Tuesday, July 16, 2019 at 10:02 AM
To: Me <[email protected]>
その下に件名とメッセージがあります。
しかし、その電子メールが実際にどこから来たかをどうやって知るのでしょうか?分析できる追加データはありませんか?
私たちが探しているのは、完全な電子メール ヘッダーです。上に表示されているのは、部分的なヘッダーです。このデータにより、メールの送信元と受信トレイに到達した方法に関する追加情報が得られます。
自分のメール ヘッダーを確認したい場合は、Outlook と Gmail でヘッダーにアクセスする方法を次に示します。ほとんどのメール プログラムは同様の方法で動作し、簡単な Google 検索で代替メール サービスのヘッダーを表示する方法がわかります。
この記事では、一連の実際のヘッダーを見ていきます (大幅に編集されていますが、ホスト名、タイムスタンプ、および IP アドレスは変更されています)。
ヘッダーは上から下に読みますが、新しいサーバーごとにヘッダーがメール本文の先頭に追加されることに注意してください。これは、最終的なメッセージ転送エージェント (MTA) から各ヘッダーを読み取り、メッセージを受け入れる最初の MTA まで作業することを意味します。
内部転送
Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000
この最初のホップは HTTPS 行を示しています。これは、サーバーが標準の SMTP 経由でメッセージを受信せず、代わりに Web アプリケーションで受信した入力からメッセージを作成したことを意味します。
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)
これらは最初の 2 つのヘッダー ブロックで、内部メール転送です。これらは Office365 サーバー (outlook.com) によって受信され、内部で正しい受信者にルーティングされたことがわかります。
メッセージが暗号化された SMTP 経由で送信されていることもわかります。これは、ヘッダーに「with Microsoft SMTP Server」がリストされ、使用している TLS バージョンと特定の暗号が指定されているためです。
3 番目のヘッダー ブロックは、ローカル メール サーバーからメール フィルタリング サービスへの移行を示します。これは、Microsoft-Exchange 固有のプロトコルである「フロントエンド トランスポート経由」で送信されたためです (したがって、厳密には SMTP ではありませんでした)。
このブロックには、いくつかの電子メール チェックも含まれます。 Outlook.com のヘッダーには、SPF/DKIM/DMARC の結果が詳細に記載されています。 SPF ソフトフェイルは、この IP アドレスが gmail.com に代わってメールを送信する権限がないことを意味します。
「dkim=pass」は、電子メールが送信者とされるものからのものであり、(ほとんどの場合) 転送中に変更されていないことを意味します。
DMARC は、SPF および DKIM の結果を解釈する方法をメール サーバーに指示する一連のルールです。 Pass は、メールが引き続き宛先に到達することを意味する可能性があります。
SPF、DKIM、DMARC の詳細については、この記事をご覧ください。
内部/外部移行
Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000
Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible
Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
これは Google の SPF レコードです。gmail.com から送信されたというメールが Google 承認済みサーバーから送信されていることを受信サーバーに伝えます。
Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False
これは、いくつかの追加の SPF/DKIM/DMARC チェックと、IronPort スキャンの結果を示しています。
Ironport は、多くの企業がスパム、ウイルス、およびその他の悪意のある電子メールを探すために使用する一般的な電子メール フィルタです。電子メール内のリンクと添付ファイルをスキャンし、電子メールが悪意のあるもの (ドロップする必要がある) かどうか、正当である可能性が高く配信する必要があるかどうか、疑わしい場合は本文にヘッダーを添付できるかどうかを判断します。メールに注意するようユーザーに伝えます。
Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400
Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT)
X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected]
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
このセクションには、電子メールが送信者の最初のデバイスから gmail のルーティング システムを経由して受信者の Outlook 環境に到達するまでの内部ホップが表示されます。このことから、最初の送信者は Macbook から、ホーム ルーターを使用し、ニューヨークの Verizon Fios を使用していたことがわかります。
これは、電子メールが送信者から受信者までたどった経路を示すホップの終点です。これを過ぎると、メールの本文 (および「from:」、「to:」などの通常表示されるヘッダー) が表示されます。おそらく、メディアの種類とメール クライアントに基づいた書式設定が適用されます (たとえば、 MIME バージョン、コンテンツ タイプ、境界など)。また、メッセージを送信したデバイスのタイプに関する詳細であるユーザー エージェント情報が含まれる場合もあります。
この場合、Apple の命名規則により、送信デバイスが Macbook であることは既にわかっていますが、CPU の種類、バージョン、さらにはデバイスにインストールされているブラウザとバージョンに関する詳細も含まれている場合があります。
すべてではありませんが、場合によっては、送信デバイスの IP アドレスも含まれる場合があります (ただし、多くのプロバイダーは召喚状なしでその情報を隠します)。
メール ヘッダーからわかること
電子メール ヘッダーは、電子メールが意図された送信者から送信されていない場合を識別するのに役立ちます。彼らは送信者に関するいくつかの情報を提供できますが、通常、真の送信者を特定するには十分ではありません.
法執行機関は多くの場合、このデータを使用して適切な ISP からの情報を召喚することができますが、それ以外の場合は、ほとんどの場合、調査 (一般的にはフィッシング) に情報を提供するために使用できます.
このプロセスは、悪意のあるサーバーやハッカーによってヘッダーが偽造される可能性があるという事実によって難しくなっています。各サーバーの所有者に連絡し、電子メールのヘッダーが SMTP ログと一致することを個別に確認するのは骨の折れる作業であり、時間のかかる作業です。(独自のメール サーバーによって添付されたヘッダーを除いて) ヘッダーが正確であることを確認することはできません。
各サーバーの所有者に連絡し、電子メールのヘッダーが SMTP ログと一致することを個別に確認しないと、骨の折れる作業と時間がかかります。ヘッダーがすべて正確であることを確認することはできません..
DKIM、DMARC、および SPF はすべてこのプロセスに役立ちますが、完全ではありません。それらがなければ、検証はまったくできません.
自分のヘッダーを分析したくないですか?このサイトが代わりにやってくれます。
-
Flutter とは何か、2020 年に学ぶべき理由
今年もモバイルアプリの人気はますます高まっています。幸いなことに、それらを作成したい開発者が利用できるプログラミング ツールが多数あります。これらのツールの中には、最近注目を集めている Flutter があります。 フラッターとは? Flutter は、Google によって作成され、2017 年 5 月にリリースされた無料のオープンソース モバイル UI フレームワークです。一言で言えば、たった 1 つのコードベースでネイティブ モバイル アプリケーションを作成できます。つまり、1 つのプログラミング言語と 1 つのコードベースを使用して、2 つの異なるアプリ (iOS と Androi
-
32 ビットまたは 64 ビットの Windows 10 を実行しているかどうかを確認する方法 (およびその理由)
32 ビットまたは 64 ビットの Windows がインストールされているかどうかを確認するのは難しいことではありません。アプリやハードウェアを決定する際には、どれを持っているかを知ることが重要ですが、今日新しいデバイスを購入するときはあまり心配する必要はありません. 現在の PC にあるものを確認するには、設定アプリを開きます (Win+I キーボード ショートカットを押すと、何をしていてもそこにアクセスできます)。 [システム] カテゴリをクリックし、左側のナビゲーション メニューを下にスクロールして [概要] ページを表示します。 この画面で、「デバイスの仕様」ヘッダーまでスクロー