差出人メアドが詐称されているかを調べる際に、メールヘッダーを解析したかったのですが、メールヘッダーの解説サイトがあまりなかったので、まとめてみました。尚、RFC5321の4.4に規定。支援士の試験にも時々出題される重要テーマ。
トレース情報上の基礎知識
項目 | 意味 | 偽装の可能性 | ||
Return- path | メール未達時に送り返すためのアドレス。通常MAIL FROMと同じ値がセット。別名エンベロープFrom | 有 | ||
Received from | 送信元(中継元)サーバーのホスト名([逆引きしたipアドレス]) 。from直後のホスト名はSMTPのHELLOコマンドで設定される | ホスト名は有。 しかし()カッコ内のIPアドレスは偽装困難 | ||
Received by | 中継したサーバーのホスト情報(ホスト名) | 困難 | ||
From | 差出人メアド | 超容易 |
送信認証結果から判定する
SPF、DKIM、DMARCの全てでPASSしていれば偽装の可能性は少ないですがどれか一つでもNGだと偽装の可能性があります。
パターン1 | パターン2 | パターン3 | パターン4 | |
SPF | PASS | PASS | NG | NG |
DKIM | PASS | NG | PASS | NG |
DMARC | PASS | NG | NG | NG |
偽装の可能性 | 少 | 中 | 中 | 大 |
送信元サーバーのブラックリストか否かで判定する
メールは様々なメールサーバーを経由して来ますが、途中の送信元サーバーがSPAMメールサーバーとしてブラックリストに登録されていると、怪しくなってきます。但しこのブラックリストもいい加減な場合がありますので、参考程度にとどめましょう。
コメント