2015年12月24日
メールヘッダの解析の練習
前回の続き。
実際のメールヘッダを読む練習をしてみる。
下記は、xxxxxxxxxxxxxxx@live.jpあてに、Amazonからメールを受信したヘッダの抜粋。
Received: from KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) by
KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141) with Microsoft SMTP
Server (TLS) id 15.1.361.13 via Mailbox Transport; Wed, 23 Dec 2015 02:07:36
+0000
Received: from OS1PR01CA0003.jpnprd01.prod.outlook.com (10.161.225.141) by
KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) with Microsoft SMTP
Server (TLS) id 15.1.361.13; Wed, 23 Dec 2015 02:07:36 +0000
Received: from OS2JPN01FT004.eop-JPN01.prod.protection.outlook.com
(2a01:111:f400:7e9c::202) by OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13) with Microsoft SMTP Server (TLS) id 15.1.361.13 via
Frontend Transport; Wed, 23 Dec 2015 02:07:36 +0000
Received: from BAY004-MC5F22.hotmail.com (10.152.184.52) by
OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92) with Microsoft SMTP
Server (TLS) id 15.1.355.15 via Frontend Transport; Wed, 23 Dec 2015 02:07:34
+0000
Received: from a24-4.smtp-out.us-west-2.amazonses.com ([54.240.24.4]) by BAY004-MC5F22.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143);
Tue, 22 Dec 2015 18:07:32 -0800
Date: Wed, 23 Dec 2015 02:07:31 +0000
From: "delivery-notification@amazon.co.jp"
To: =?ISO-2022-JP?B?GyRCRWc6aiEhOSxJVxsoQg==?=
Message-ID: <00000151cc97600d-d8ab1ac4-c480-4921-9272-4bebb540b19d-000000@us-west-2.amazonses.com>
Subject: =?ISO-2022-JP?B?GyRCMllKKiROPHVOTiRyM05HJyQ3JF4kNyQ/GyhC?=
@まず、FromフィールドとToフィールドをチェックする。
ここから、delivery-notification@amazon.co.jpから、
xxxxxxxxxxxxxxx@live.jp宛にメールが送られているのがわかる。
ただし、これらは、簡単に偽装可能なので、
信用度は低い情報を前提に覚えておく。
A次に、Message-ID:フィールドをチェックする。
00000151cc97600d-d8ab1ac4-c480-4921-9272-4bebb540b19d-000000@us-west-2.amazonses.comとなっているので、送信者はamazonを利用していることまでは
わかる。
これらも、簡単に偽装可能なので、
信用度は低い情報を前提に覚えておく。
B次に、Dateフィールドをチェックする。
「 Wed, 23 Dec 2015 02:07:31 +0000」となっているため、
日本(+0900)からではないことがわかる。
C最後に、Receivedフィールドをチェックする。
Receivedフィールドを読みにあたり、以下のことは覚えておく。
・「from A by B for C (AからBによってC宛に受信した)」
(Cは省略されることも多い)
・サーバを経由する毎に、上に追加されるため、一番下のReceivedフィールドが
送信者(スパマー含む)に一番近いサーバになる。
それらを念頭に、読んでいくと、
まず一番下から順に、Receivedフィールドをひとつづ分解し、
「「from A by B for C (AからBによってC宛に受信した)」」
構文に当てはめると(残念ながら、「 for C 」の部分はないが)、
送信者からのメールが、「 a24-4.smtp-out.us-west-2.amazonses.com ([54.240.24.4]) 」から、「BAY004-MC5F22.hotmail.com」 宛に送信され、
↓
さらに、「BAY004-MC5F22.hotmail.com (10.152.184.52) 」 から
「OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92)」宛に
中継され、
↓
さらに、「OS2JPN01FT004.eop-JPN01.prod.protection.outlook.com
(2a01:111:f400:7e9c::202) 」から「OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13)」宛に中継され、
↓
さらに、「OS1PR01CA0003.jpnprd01.prod.outlook.com (10.161.225.141) 」から
「KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) 」宛に中継され、
↓
Received: from KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) by
KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141) with Microsoft SMTP
Server (TLS) id 15.1.361.13 via Mailbox Transport; Wed, 23 Dec 2015 02:07:36
+0000
最終的に、「 KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) 」から「KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141)」のメールボックスにメールが受信された。
ということがわかる。
このとき、先に確認していたFromフィールド「delivery-notification@amazon.co.jp」と一番下にあったReceivedフィールド「a24-4.smtp-out.us-west-2.amazonses.com」がともに、amazon関連のものが濃厚のため、正規のメールだと推測される。
なお、前回同様、下記を参照した。
実際のメールヘッダを読む練習をしてみる。
下記は、xxxxxxxxxxxxxxx@live.jpあてに、Amazonからメールを受信したヘッダの抜粋。
Received: from KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) by
KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141) with Microsoft SMTP
Server (TLS) id 15.1.361.13 via Mailbox Transport; Wed, 23 Dec 2015 02:07:36
+0000
Received: from OS1PR01CA0003.jpnprd01.prod.outlook.com (10.161.225.141) by
KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) with Microsoft SMTP
Server (TLS) id 15.1.361.13; Wed, 23 Dec 2015 02:07:36 +0000
Received: from OS2JPN01FT004.eop-JPN01.prod.protection.outlook.com
(2a01:111:f400:7e9c::202) by OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13) with Microsoft SMTP Server (TLS) id 15.1.361.13 via
Frontend Transport; Wed, 23 Dec 2015 02:07:36 +0000
Received: from BAY004-MC5F22.hotmail.com (10.152.184.52) by
OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92) with Microsoft SMTP
Server (TLS) id 15.1.355.15 via Frontend Transport; Wed, 23 Dec 2015 02:07:34
+0000
Received: from a24-4.smtp-out.us-west-2.amazonses.com ([54.240.24.4]) by BAY004-MC5F22.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143);
Tue, 22 Dec 2015 18:07:32 -0800
Date: Wed, 23 Dec 2015 02:07:31 +0000
From: "delivery-notification@amazon.co.jp"
To: =?ISO-2022-JP?B?GyRCRWc6aiEhOSxJVxsoQg==?=
Message-ID: <00000151cc97600d-d8ab1ac4-c480-4921-9272-4bebb540b19d-000000@us-west-2.amazonses.com>
Subject: =?ISO-2022-JP?B?GyRCMllKKiROPHVOTiRyM05HJyQ3JF4kNyQ/GyhC?=
@まず、FromフィールドとToフィールドをチェックする。
ここから、delivery-notification@amazon.co.jpから、
xxxxxxxxxxxxxxx@live.jp宛にメールが送られているのがわかる。
ただし、これらは、簡単に偽装可能なので、
信用度は低い情報を前提に覚えておく。
A次に、Message-ID:フィールドをチェックする。
00000151cc97600d-d8ab1ac4-c480-4921-9272-4bebb540b19d-000000@us-west-2.amazonses.comとなっているので、送信者はamazonを利用していることまでは
わかる。
これらも、簡単に偽装可能なので、
信用度は低い情報を前提に覚えておく。
B次に、Dateフィールドをチェックする。
「 Wed, 23 Dec 2015 02:07:31 +0000」となっているため、
日本(+0900)からではないことがわかる。
C最後に、Receivedフィールドをチェックする。
Receivedフィールドを読みにあたり、以下のことは覚えておく。
・「from A by B for C (AからBによってC宛に受信した)」
(Cは省略されることも多い)
・サーバを経由する毎に、上に追加されるため、一番下のReceivedフィールドが
送信者(スパマー含む)に一番近いサーバになる。
それらを念頭に、読んでいくと、
まず一番下から順に、Receivedフィールドをひとつづ分解し、
「「from A by B for C (AからBによってC宛に受信した)」」
構文に当てはめると(残念ながら、「 for C 」の部分はないが)、
Received: from a24-4.smtp-out.us-west-2.amazonses.com ([54.240.24.4]) by BAY004-MC5F22.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143);
Tue, 22 Dec 2015 18:07:32 -0800
Tue, 22 Dec 2015 18:07:32 -0800
送信者からのメールが、「 a24-4.smtp-out.us-west-2.amazonses.com ([54.240.24.4]) 」から、「BAY004-MC5F22.hotmail.com」 宛に送信され、
↓
Received: from BAY004-MC5F22.hotmail.com (10.152.184.52) by
OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92) with Microsoft SMTP
Server (TLS) id 15.1.355.15 via Frontend Transport; Wed, 23 Dec 2015 02:07:34
+0000
OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92) with Microsoft SMTP
Server (TLS) id 15.1.355.15 via Frontend Transport; Wed, 23 Dec 2015 02:07:34
+0000
さらに、「BAY004-MC5F22.hotmail.com (10.152.184.52) 」 から
「OS2JPN01FT004.mail.protection.outlook.com (10.152.184.92)」宛に
中継され、
↓
Received: from OS2JPN01FT004.eop-JPN01.prod.protection.outlook.com
(2a01:111:f400:7e9c::202) by OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13) with Microsoft SMTP Server (TLS) id 15.1.361.13 via
Frontend Transport; Wed, 23 Dec 2015 02:07:36 +0000
(2a01:111:f400:7e9c::202) by OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13) with Microsoft SMTP Server (TLS) id 15.1.361.13 via
Frontend Transport; Wed, 23 Dec 2015 02:07:36 +0000
さらに、「OS2JPN01FT004.eop-JPN01.prod.protection.outlook.com
(2a01:111:f400:7e9c::202) 」から「OS1PR01CA0003.outlook.office365.com
(2a01:111:e400:ac01::13)」宛に中継され、
↓
Received: from OS1PR01CA0003.jpnprd01.prod.outlook.com (10.161.225.141) by
KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) with Microsoft SMTP
Server (TLS) id 15.1.361.13; Wed, 23 Dec 2015 02:07:36 +0000
KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) with Microsoft SMTP
Server (TLS) id 15.1.361.13; Wed, 23 Dec 2015 02:07:36 +0000
さらに、「OS1PR01CA0003.jpnprd01.prod.outlook.com (10.161.225.141) 」から
「KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) 」宛に中継され、
↓
Received: from KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) by
KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141) with Microsoft SMTP
Server (TLS) id 15.1.361.13 via Mailbox Transport; Wed, 23 Dec 2015 02:07:36
+0000
最終的に、「 KAWPR01MB0033.jpnprd01.prod.outlook.com (10.161.25.139) 」から「KAWPR01MB0035.jpnprd01.prod.outlook.com (10.161.25.141)」のメールボックスにメールが受信された。
ということがわかる。
このとき、先に確認していたFromフィールド「delivery-notification@amazon.co.jp」と一番下にあったReceivedフィールド「a24-4.smtp-out.us-west-2.amazonses.com」がともに、amazon関連のものが濃厚のため、正規のメールだと推測される。
なお、前回同様、下記を参照した。
タグ:セキュリティ
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
-
no image
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/4552874
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック
