ホームページ » の仕方 » あなたはEメールヘッダで何を見つけることができますか?

    あなたはEメールヘッダで何を見つけることができますか?

    あなたがEメールを受け取るときはいつでも、目に見える以上のものがある。あなたは通常、メッセージの差出人アドレス、件名、本文に注意を払うだけですが、各Eメールの「裏に隠れて」利用可能なより多くの情報があり、それによって豊富な追加情報を提供できます。.

    なぜ電子メールのヘッダーを見ないのか?

    これはとても良い質問です。ほとんどの場合、あなたは本当にそうする必要があることはないでしょう。

    • あなたは、電子メールがフィッシング詐欺またはなりすましであると疑う
    • あなたは電子メールの経路上のルーティング情報を見たいです
    • あなたは好奇心が強いオタクです

    あなたの理由に関係なく、電子メールのヘッダを読むことは実際には非常に簡単であり、非常に明らかになります.

    記事ノート:スクリーンショットとデータにはGmailを使用しますが、他のほぼすべてのメールクライアントも同じ情報を提供する必要があります.

    電子メールヘッダの表示

    Gmailで、メールを確認します。この例では、以下のEメールを使います。.

    次に、右上隅にある矢印をクリックして[オリジナルを表示]を選択します。.

    結果のウィンドウは、プレーンテキストの電子メールヘッダデータを持ちます。.

    注:以下に示すすべてのメールヘッダーデータで、Gmailアドレスを次のように変更しました。 [email protected] と表示する外部の電子メールアドレス [email protected] そして [email protected] 私の電子メールサーバーのIPアドレスもマスクしました.

    配信先:[email protected]
    受信:SMTP ID l3csp18666oecを持つ10.60.14.3まで。
    火、2012年3月6日08:30:51 -0800(PST)
    受信:SMTP ID mq1mr1963003pbb.21.1331051451044で10.68.125.129まで。
    火、2012年3月6日08:30:51 -0800(PST)
    復路:
    受け取ったもの:exprod7og119.obsmtp.com(exprod7og119.obsmtp.com。[64.18.2.16])
    SMTP IDがl7si25161491pbd.80.2012.03.06.08.30.49のmx.google.comによるもの。
    火、2012年3月6日08:30:50 -0800(PST)
    Received-SPF:中立(google.com:64.18.2.16は[email protected]のドメインの最善推測レコードによって許可も拒否もされていません)client-ip = 64.18.2.16。
    認証結果:mx.google.com; spf = neutral(google.com:64.18.2.16は[email protected]のドメインの最善推測レコードによって許可も拒否もされていません)[email protected]
    SMTPを使ってexprod7ob119.postini.com([64.18.6.12])によってmail.externalemail.com([XXX.XXX.XXX.XXX])から(TLSv1を使用して)受信した
    ID DSNKT1Y7uSEvyrMLco / atcAoN + 95PMku3Y / [email protected];火、2012年3月6日08:30:50 PST
    受け取った:MYSERVER.myserver.local([fe80 :: a805:c335:8c71:cdb3])から
    MYSERVER.myserver.local([fe80 :: a805:c335:8c71:cdb3%11])とmapi。 3月6日火曜日
    2012 11:30:48 -0500
    投稿者:ジェイソンフォークナー
    に:「[email protected]
    日付:火、2012年3月6日11:30:48 -0500
    件名:これは正当な電子メールです
    スレッドトピック:これは合法的な電子メールです
    スレッドインデックス:Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    メッセージID:
    受け入れ言語:en-US
    コンテンツ言語:en-US
    X-MS-Has-Attach:
    X-MS-TNEF-相関器:
    受け入れ言語:en-US
    コンテンツタイプ:multipart / alternative。
    boundary =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIMEバージョン:1.0

    電子メールのヘッダーを読むと、データは時系列の逆順になります。つまり、一番上の情報が最新のイベントです。そのため、送信者から受信者への電子メールを追跡したい場合は、下から始めてください。このEメールのヘッダーを調べると、いくつかのことがわかります。.

    ここでは、送信側のクライアントによって生成された情報がわかります。この場合、電子メールはOutlookから送信されたので、Outlookが追加するメタデータです。.

    投稿者:ジェイソンフォークナー
    に:「[email protected]
    日付:火、2012年3月6日11:30:48 -0500
    件名:これは正当な電子メールです
    スレッドトピック:これは合法的な電子メールです
    スレッドインデックス:Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    メッセージID:
    受け入れ言語:en-US
    コンテンツ言語:en-US
    X-MS-Has-Attach:
    X-MS-TNEF-相関器:
    受け入れ言語:en-US
    コンテンツタイプ:multipart / alternative。
    boundary =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIMEバージョン:1.0

    次の部分では、送信サーバーから送信先サーバーまでの電子メールの経路をたどります。これらのステップ(またはホップ)は、時系列の逆順にリストされていることに注意してください。順序を説明するために、各ホップの横にそれぞれ番号を付けました。各ホップには、IPアドレスとそれぞれの逆引きDNS名に関する詳細が表示されます。.

    配信先:[email protected]
    [6] 受信:SMTP ID l3csp18666oecを持つ10.60.14.3まで。
    火、2012年3月6日08:30:51 -0800(PST)
    [5] 受信:SMTP ID mq1mr1963003pbb.21.1331051451044で10.68.125.129まで。
    火、2012年3月6日08:30:51 -0800(PST)
    復路:
    [4] 受け取ったもの:exprod7og119.obsmtp.com(exprod7og119.obsmtp.com。[64.18.2.16])
    SMTP IDがl7si25161491pbd.80.2012.03.06.08.30.49のmx.google.comによるもの。
    火、2012年3月6日08:30:50 -0800(PST)
    [3] Received-SPF:中立(google.com:64.18.2.16は[email protected]のドメインの最善推測レコードによって許可も拒否もされていません)client-ip = 64.18.2.16。
    認証結果:mx.google.com; spf = neutral(google.com:64.18.2.16は[email protected]のドメインの最善推測レコードによって許可も拒否もされていません)[email protected]
    [2] SMTPを使ってexprod7ob119.postini.com([64.18.6.12])によってmail.externalemail.com([XXX.XXX.XXX.XXX])から(TLSv1を使用して)受信した
    ID DSNKT1Y7uSEvyrMLco / atcAoN + 95PMku3Y / [email protected];火、2012年3月6日08:30:50 PST
    [1] 受け取った:MYSERVER.myserver.local([fe80 :: a805:c335:8c71:cdb3])から
    MYSERVER.myserver.local([fe80 :: a805:c335:8c71:cdb3%11])とmapi。 3月6日火曜日
    2012 11:30:48 -0500

    これは合法的なEメールにとってはごく普通のことですが、スパムやフィッシングEメールを調べることに関しては、この情報は非常によくわかります。.

    フィッシングEメールを調べる - 例1

    最初のフィッシングの例として、明らかにフィッシングの試みであるEメールを調べます。この場合、単に視覚的な表示によってこのメッセージを詐欺であると識別できますが、実際にはヘッダー内の警告サインを見てみましょう。.

    配信先:[email protected]
    受信:SMTP IDがl3csp12958oecの10.60.14.3まで。
    月、2012年3月5日23:11:29 -0800(PST)
    受信:SMTP ID r24mr7411623yhb.101.1331017888982を持つ10.236.46.164まで。
    月、2012年3月5日23:11:28 -0800(PST)
    復路:
    受信:ms.externalemail.com(ms.externalemail.com。[XXX.XXX.XXX.XXX])から
    ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28でmx.google.comによって。
    月、2012年3月5日23:11:28 -0800(PST)
    Received-SPF:失敗(google.com:[email protected]のドメインは許可された送信者としてXXX.XXX.XXX.XXXを指定していません)client-ip = XXX.XXX.XXX.XXX。
    認証結果:mx.google.com; spf = hardfail(google.com:[email protected]のドメインは許可された送信者としてXXX.XXX.XXX.XXXを指定していません)[email protected]
    受信:MailEnableポストオフィスコネクタ付き。火、2012年3月6日02:11:20 -0500
    受け取った:MailEnable ESMTPを使ってms.externalemail.comでmail.lovingtour.com([211.166.9.218])から。火、2012年3月6日02:11:10 -0500
    受け取りました:ユーザーから([118.142.76.58])
    mail.lovingtour.comで
    ;月、2012年3月5日21:38:11 +0800
    メッセージID:
    に返信:
    [email protected]」から
    件名:お知らせ
    日付:月、2012年3月5日21時20分57秒+0800
    MIMEバージョン:1.0
    コンテンツタイプ:multipart / mixed。
    boundary =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0”
    X優先度:3
    X-MSメール優先度:通常
    X-Mailer:マイクロソフトアウトルックエクスプレス6.00.2600.0000
    X-MimeOLE:Microsoft MimeOLE V6.00.2600.0000によって生成された
    X-ME-ベイジアン:0.000000

    最初の赤い旗はクライアント情報域にあります。ここで追加されたメタデータはOutlook Expressを参照しています。 Visaが、12歳のEメールクライアントを使って誰かが手動でEメールを送信している時代をはるかに超えているとは考えにくいです。.

    に返信:
    [email protected]」から
    件名:お知らせ
    日付:月、2012年3月5日21時20分57秒+0800
    MIMEバージョン:1.0
    コンテンツタイプ:multipart / mixed。
    boundary =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0”
    X優先度:3
    X-MSメール優先度:通常
    X-Mailer:マイクロソフトアウトルックエクスプレス6.00.2600.0000
    X-MimeOLE:Microsoft MimeOLE V6.00.2600.0000によって生成された
    X-ME-ベイジアン:0.000000

    電子メールルーティングの最初のホップを調べると、送信者がIPアドレス118.142.76.58にあり、その電子メールがメールサーバーmail.lovingtour.comを介して中継されていることがわかります。.

    受け取りました:ユーザーから([118.142.76.58])
    mail.lovingtour.comで
    ;月、2012年3月5日21:38:11 +0800

    NirsoftのIPNetInfoユーティリティを使用してIP情報を調べると、送信者が香港にいてメールサーバが中国にあることがわかります。.

    言うまでもなくこれは少し疑わしい.

    この場合、残りの電子メールホップは、最終的に配信される前に正当なサーバートラフィックを飛び越えて電子メールが送信されていることを示すため、実際には関係ありません。.

    フィッシングメールを調べる - 例2

    この例では、私たちのフィッシングメールはもっと説得力があります。あなたが十分に一見するならば、ここにいくつかの視覚的な指標があります、しかし再びこの記事の目的のために我々は電子メールヘッダに我々の調査を制限しようとしています.

    配信先:[email protected]
    受信:SMTP IDがl3csp15619oecの10.60.14.3まで。
    火、2012年3月6日04:27:20 -0800(PST)
    受信:SMTP ID p25mr8672800yhl.123.1331036839870を持つ10.236.170.165まで。
    火、2012年3月6日04:27:19 -0800(PST)
    復路:
    受信:ms.externalemail.com(ms.externalemail.com。[XXX.XXX.XXX.XXX])から
    ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19のmx.google.comによって。
    火、2012年3月6日04:27:19 -0800(PST)
    Received-SPF:失敗(google.com:[email protected]のドメインは許可された送信者としてXXX.XXX.XXX.XXXを指定していません)client-ip = XXX.XXX.XXX.XXX。
    認証結果:mx.google.com; spf = hardfail(google.com:[email protected]のドメインは許可された送信者としてXXX.XXX.XXX.XXXを指定しません)[email protected]
    受信:MailEnableポストオフィスコネクタ付き。火、2012年3月6日07:27:13 -0500
    受け取った:MailEnable ESMTPを使ってms.externalemail.comでdynamic-pool-xxx.hcm.fpt.vn([118.68.152.212])から。火、2012年3月6日07:27:08 -0500
    受信:ローカルからのintuit.comによるapacheから(Exim 4.67)
    (封筒から)
    id GJMV8N-8BERQW-93
    にとって ;火、2012年3月6日19:27:05 +0700
    に:
    件名:Intuit.comの請求書.
    X-PHP-Script:118.68.152.212の場合のintuit.com/sendmail.php
    から:「INTUIT INC。」
    X-Sender:「直感株式会社」
    Xメーラー:PHP
    X優先度:1
    MIMEバージョン:1.0
    コンテンツタイプ:multipart / alternative。
    境界=” - 03060500702080404010506”
    メッセージID:
    日付:火、2012年3月6日19:27:05 +0700
    X-ME-ベイジアン:0.000000

    この例では、メールクライアントアプリケーションは使用されておらず、送信元IPアドレスが118.68.152.212のPHPスクリプトが使用されています。.

    に:
    件名:Intuit.comの請求書.
    X-PHP-Script:118.68.152.212の場合のintuit.com/sendmail.php
    から:「INTUIT INC。」
    X-Sender:「直感株式会社」
    Xメーラー:PHP
    X優先度:1
    MIMEバージョン:1.0
    コンテンツタイプ:multipart / alternative。
    境界=” - 03060500702080404010506”
    メッセージID:
    日付:火、2012年3月6日19:27:05 +0700
    X-ME-ベイジアン:0.000000

    ただし、最初の電子メールホップを見ると、送信サーバーのドメイン名が電子メールアドレスと一致しているため合法的に見えます。ただし、スパマーが自分のサーバーを簡単に「intuit.com」と命名する可能性があるため、これには注意してください。.

    受信:ローカルからのintuit.comによるapacheから(Exim 4.67)
    (封筒から)
    id GJMV8N-8BERQW-93
    にとって ;火、2012年3月6日19:27:05 +0700

    次のステップを調べると、このカードの家は崩れます。 2番目のホップ(正規の電子メールサーバーによって受信されたもの)が、送信元サーバーを同じIPアドレスを持つ "intuit.com"ではなく、 "dynamic-pool-xxx.hcm.fpt.vn"というドメインに解決していることがわかります。 PHPスクリプトに示されている.

    受け取った:MailEnable ESMTPを使ってms.externalemail.comでdynamic-pool-xxx.hcm.fpt.vn([118.68.152.212])から。火、2012年3月6日07:27:08 -0500

    IPアドレス情報を表示すると、メールサーバーの場所がベトナムに解決されるため、疑いがあります。.

    この例はもう少し巧妙ですが、ほんの少しの調査で不正が明らかにされていることがわかります。.

    結論

    電子メールのヘッダーを表示することはおそらくあなたの典型的な日々のニーズの一部ではありませんが、それらに含まれる情報が非常に有益になる場合があります。上に示したように、偽装している送信者をそうでないものとして非常に簡単に識別できます。視覚的な手がかりが説得力のある非常によく実行された詐欺のために、実際のメールサーバを装うことは非常に困難であり(不可能ではないにしても)、電子メールヘッダの内側の情報を調べる.

    リンク集

    NirsoftからIPNetInfoをダウンロード

    インターネットからダウンロードされたファイルという警告の原因と簡単な削除方法
    Web 2.0の後に何が起こるのでしょうか。
    Samsung Healthでできること
    次の記事
    Windows Vista Service Pack 1から本当に期待できることは何ですか?
    前の記事
    SamsungのBixbyでできることは何ですか?