メールヘッダーからメアド偽装の可能性を調べる

セキュリティ

差出人メアドが詐称されているかを調べる際に、メールヘッダーを解析したかったのですが、メールヘッダーの解説サイトがあまりなかったので、まとめてみました。尚、RFC5321の4.4に規定。支援士の試験にも時々出題される重要テーマ。

トレース情報上の基礎知識

項目意味偽装の可能性
Return- pathメール未達時に送り返すためのアドレス。通常MAIL FROMと同じ値がセット。別名エンベロープFrom
Received from送信元(中継元)サーバーのホスト名([逆引きしたipアドレス]) 。from直後のホスト名はSMTPのHELLOコマンドで設定されるホスト名は
しかし()カッコ内のIPアドレスは偽装困難
Received by中継したサーバーのホスト情報(ホスト名)困難
From差出人メアド超容易

送信認証結果から判定する

SPF、DKIM、DMARCの全てでPASSしていれば偽装の可能性は少ないですがどれか一つでもNGだと偽装の可能性があります。

パターン1パターン2パターン3パターン4
SPFPASSPASSNGNG
DKIMPASSNGPASSNG
DMARCPASSNGNGNG
偽装の可能性

送信元サーバーのブラックリストか否かで判定する

メールは様々なメールサーバーを経由して来ますが、途中の送信元サーバーがSPAMメールサーバーとしてブラックリストに登録されていると、怪しくなってきます。但しこのブラックリストもいい加減な場合がありますので、参考程度にとどめましょう。

コメント

タイトルとURLをコピーしました