1. 電子メールの構造と信頼性
- 基本情報(ユーザーに見える部分)
To,From,Subject,本文,Dateなど。- 注意点: これらはユーザー(送信者)によって設定されるため、容易に偽装が可能。システム時刻もユーザーが変更できるため、表示上の送信日時は必ずしも正確とは限らない。
- メールヘッダー(隠れたデータ層)
- 送信元、転送経路、宛先に関する詳細情報が含まれている。
- 通常のメールクライアントでは隠されており、「Show original(オリジナルの表示)」などの操作で確認する必要がある。
2. ヘッダー情報の詳細分析
調査において特に注目すべきヘッダーフィールドは以下のとおり。
A. Message-Id(メッセージID)
- 特徴: 電子メールが最初に接触したサーバーによって付与される、世界で唯一の識別子。
- 異常検知: もし異なるメールで同一のMessage-Idが見つかった場合、以下のいずれかが疑われる。
- メールサーバーが標準規格に準拠していない。
- ユーザーによってメールが改ざんされている。
- 情報の解読: ランダムな文字列に見えるが、タイムスタンプが含まれることがよくある。
- 例:
20251210091519...→ 2025年12月10日 09:15:19 (GMT)
- 例:
B. Received(受信履歴)
- 読み方: メールが通過したサーバーごとに情報が追加される。下から上へと読み解くことで、送信元から宛先への経路を追跡できる。
- 最初のサーバー(一番下の行):
- 送信者が最初に接続したサーバーの情報(ドメイン名、IPアドレス、ユーザーIDなど)が含まれる。
- 調査アクション: 特定されたユーザーIDに基づき、ISPへ開示請求を行う手がかりとなる。
- また、メールサーバーソフト(例:
Postfix)も特定でき、それが商用サーバーか、悪意ある利用者が立てたサーバーかの判断材料になる。
C. Return-Path
- 配信不能メールの返信先アドレス。
- ユーザーに表示される
Fromフィールドよりも優先され、メーリングリストなどで返信先をリスト管理者に設定する場合などに使われる。
D. X-Header(拡張ヘッダー)
- 標準プロトコル外のオプションフィールドで、通常
X-で始まる。 - 含まれる情報: ウイルススキャン結果、スパムスコア、使用されたメーラーソフト(
X-Mailer)、不正報告先(X-Report-Abuse)など。 - X-Originating-IP: 送信者がメッセージを送信した際のIPアドレスが含まれることがあるが、Gmailなどのプロバイダはこれを削除・置換する傾向がある。
3. IPアドレスと添付ファイルの解析
IPアドレスの種別
ヘッダー内のIPアドレスを確認する際、パブリックIPとプライベートIPを区別する必要がある。プライベートIP(以下の範囲)の場合、組織内部の調査でない限り、プロバイダの特定はできない。
10.X.X.X127.X.X.X172.16.X.X192.168.X.X
電子メールの添付ファイルとMIME
- MIME (Multipurpose Internet Mail Extensions): ASCIIテキスト以外のデータ(バイナリ添付ファイル、マルチパートメッセージなど)をメールで扱うためのインターネット標準。
- ヘッダーの表示:
MIME-Version: 1.0と表示される。 - 構造:
Content-Type: データの種類(例:text/html)。Content-Transfer-Encoding: エンコード方式(例:7bit,Base64)。添付ファイルがある場合、バイナリデータはBase64などでASCIIテキストに変換される。- メール本文はデータタイプごとにセグメント化され(例:画像とテキストを分離)、各セグメントは
_PART_などのキーワードを含むMIMEヘッダーで始まる。