特集
カテゴリー
タグ
メディア

意外な情報がバレる?! Eメールのヘッダーから送信者の情報を解読する方法

意外な情報がバレる?! Eメールのヘッダーから送信者の情報を解読する方法

MakeUseOf:Eメールのヘッダーには、そのメールが受信者の元へ届くまでの「足跡」がびっしり残されています。一見、ただの文字の羅列のように見えるこのデータですが、データが追加されていく仕組みを知れば、意外と簡単にメールの「足跡」は解読できてしまいます。

今回は、メールのヘッダーから読み取れる情報と解読方法を紹介します。

Gmailでヘッダーを表示させる方法

ヘッダーについて知るには、まず自分が受信したEメールのヘッダーを表示してみると良いでしょう。一例として、Gmailでヘッダーを表示させる手順は以下の通り。

130819email-header2.jpg

  1. Gmailで受信したメールを開き、右上にある下向きの矢印をクリック
  2. プルダウンメニューから「メッセージのソースを表示」を選択
  3. 新しいウィンドウまたはタブに、ヘッダーが表示されます

なお、Eメールのヘッダーに含まれるべき内容については、規格が定められています。「RFC 5321」にはその規格が詳細に記されています。

基本情報を読み取る

ヘッダーには、さまざまな情報が含まれています。以下に挙げるサンプルデータを例として、1つずつ読み取っていきましょう(実際の見え方や並び順が異なる場合もあります)。まず、もっとも基本的な情報である「送信者」「送信先」「送信日時」「件名」はこのようにヘッダーに記載されています。

From: Guy McDowell <gmcdowell@somecompany.com>

To: "guy@makeuseof.com" <guy@makeuseof.com>

Date: Mon, 29 Jul 2013 15:15:03 -0600

Subject: What's an Email Header?

送信者が使用したEメールサービスを読み取る

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).

Received: from HEXMBVS12.hostedmsx.local ([10.9.6.115]) by HEXHUB13.hostedmsx.local ([::1]) with mapi; Mon, 29 Jul 2013 15:13:48 -0600

Message-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

この部分は、送信者が使用するEメールサービスによって追加された情報です。今回は、プロバイダ経由でメールが送られているので、プロバイダ内のネットワークのIPアドレスが記載されています。今回記載されている「HEXMBVS12.hostedmsx.local」というサーバの名前をGoogleで検索すると、プロバイダは「Telus」であることを突き止めることができます。

さらに検索すると、このプロバイダはMicrosoft Exchangeサービスを提供していることがわかります。つまり、送信者はMicrosoft Outlook、Outlook Express、Outlook Web Accessのいずれかを利用してメールを送信したと推測できます。

また、ここには送信者のIPアドレス、送信者が使用したメールサービスが実際にメールを送信した日時、各メールに対してメールサービスが付与する「Message-ID」が記載されています。

Hopを解読して、メールがどこを経由してきたかをたどる

さらにその下には、メールが経由してきたルートが記されています。この部分に、経由先ごとに「Hop」と呼ばれる情報が追加されていきます。Hopは下から上に追加されていきます。ですので、下から上にHopを解読していくと、メールが経由したサーバを時系列にたどっていくことができます。

1.一番上の「Hop」を解読する

Received: from mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])

by mx.google.com with ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08

for <guy@makeuseof.com>

(version=TLSv1 cipher=RC4-SHA bits=128/128);

Mon, 29 Jul 2013 14:15:08 -0700 (PDT)

Received-SPF: neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of gmcdowell@somecompany.com) client-ip=205.206.208.34;

Authentication-Results: mx.google.com;

spf=neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of gmcdowell@somecompany.com) smtp.mail=gmcdowell@somecompany.com

X-IronPort-Anti-Spam-Filtered: true

X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU

X-IronPort-AV: E=Sophos;i="4.89,772,1367992800″;

d="jpg'145?scan'145,208,217,145″;a="14712973″

今回、一番上のHopには最後に経由したサーバの情報がこのように書かれています。最初に、Telusから受信者のサーバに届いたこと、受信者はGoogleのメールサービスを使用していることが書かれてあります。

「Received-SPF」にはSPF認証の情報が記されています。これは、差出人のメールサーバーが有効なサーバーであるかどうかを記しています。今回記載されている「neutral」はメールの有効性が「中立」、つまり有効性について何もコメントできない状態であるという意味です。「Fail」はGmailのサーバーによって拒否されたという意味、「Softfail」はGmailは受信するかもしれないが、送り先が不明である印をつけるかもしれないという意味です。

「X-IronPort-Anti-Spam-Filtered: true」はTelusによるスパムメール対策アプライアンス、IronPortが使用されていることを示しています。

「X-IronPort-Anti-Spam-Result」はIronPortによる結果で、開発関係者以外は解読できません。

「X-IronPort-AV」は、送信者自身が他にスパム対策サービスを利用していることを示しています。受信者側はこの情報を見ることで、そのメールの有効性を信頼できるか判断することができます。

2.中間の「Hop」を解読する

Received: from unknown (HELO mail.exchange.telus.com) ([205.206.210.187])

by mx21.exchange.telus.com with ESMTP/TLS/AES128-SHA; 29 Jul 2013 15:15:07 -0600

この情報を見れば、Telusがサービスプロバイダであることがさらに明白になります。疑いが残る場合には、IPアドレス(205.206.210.187)をWHOIS(フーイズ:IPアドレスやドメイン名の登録者などに関する情報を検索・参照できるサービス)でチェックしてみると良いでしょう。

たとえば、WhoisRequestでIPアドレスを検索すれば、チェックすることができます。IPアドレスから、プロバイダがTelusであることを確認できれば、よりメールに対する信頼度が高まります。

また、一番下のHopに記載された時間を比べると、最初のHopから次のHopまでに1分以上の時間を要していることが読み取れます。これは、エンジニア以外にとってはさほど重要な情報ではありませんが、この所要時間から、メールが最初に経由したサーバと次のサーバとの距離を推測することができます。

3.一番下の「Hop」を解読する

Received: from HEXMBVS12.hostedmsx.local ([10.9.6.115]) by

HEXHUB13.hostedmsx.local ([::1]) with mapi; Mon, 29 Jul 2013 15:13:48 -

一番下のHop、つまり最初に記載されたHopからは、送信者のメールサーバの情報を読み取ることができます。この時点では、メールはまだ送信者のメールサーバのネットワーク内にいる状態です。IPアドレスが10で始まっていることは、内部ネットワークであることを示しています。

受信者のメールサーバの情報を解読する

Delivered-To: guy@makeuseof.com

Received: by 10.223.200.70 with SMTP id ev6csp162209fab;

Mon, 29 Jul 2013 14:15:09 -0700 (PDT)

X-Received: by 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769;

Mon, 29 Jul 2013 14:15:08 -0700 (PDT)

Return-Path: <gmcdowell@somecompany.com>

最後に、メールが受信者の元へと無事に届くと、さらに情報がヘッダーに追加されます。受信者のメールサービスのサーバーがメールを受信した日時、メールサーバーの種類、受信者のメールアドレス、送信者によって設定された返信先のメールアドレスといった情報です。

送信者がプロバイダではなく、自分のメールサーバーを使っている場合には、さらに多くの情報が表示されるでしょう。

その場合、送信者が使用したメールクライアントの情報がわかるかもしれませんし、WHOISで送信者のIPアドレスを検索すれば、送信者の居場所も突き止められるかもしれません。ドメイン検索によって、送信者個人のウェブサイトが発見でき、そこからさらに多くの情報を入手できる可能性も。もしくはシンプルに、Eメールアドレスを検索するだけでも、送信者についての情報がさらに手に入るかもしれません。

メールの「足跡」をたどると意外な発見がある

インターネットを介したコミュニケーションには「足跡」が必ず残ります。「足跡」が多く残されており、追跡が容易であることもあれば、フィルタやプロキシサーバによって足跡が制限されていることもあります。いずれにしても、残された「足跡」にはその「足跡」をつけた存在の情報が含まれています。

送信者は仮想プライベートネットワークを使うことで何かを隠そうとしているのか、本当に存在する組織やサイトからメールが送られているのか、送信者はデート相手として本当に信頼できるのか、逆に自分のメールの受信者は自分に関する情報をどれだけ入手することができるのか...。

こうしたことをEメールのヘッダーを読み取れば推測できるのです。ちょっとした探偵気分でヘッダーを解読してみると、面白い発見がありそうですね。

What Can You Learn From An Email Header (Metadata)?|MakeUseOf

Guy McDowell(訳:佐藤 ゆき)

Photo by Torkild Retvedt
swiper-button-prev
swiper-button-next