質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
メール

メールは、コンピュータネットワークを利用し、 情報等を交換する手段のことです。

Q&A

解決済

2回答

6444閲覧

迷惑メールの詳細ヘッダの意味を教えてください

tamina

総合スコア136

メール

メールは、コンピュータネットワークを利用し、 情報等を交換する手段のことです。

0グッド

2クリップ

投稿2020/08/13 05:42

編集2020/08/13 08:18

本日、アマゾンアカウントが停止したという迷惑メールが送られてきました。

詳細ヘッダを確認したところ、以下のような経路でメールが転送されてきたようです。

①メール送信端末

②インドネシアにあるメールサーバ

③グーグルのメールサーバ

④ヤフーのメールサーバ

なのですが、②から③へメールを送信する際に、グーグルのメールサーバで3重位の送信元確認をしているようなのですが、潜り抜けて来ているように見えます。(google.comだと認識している??)

どうして上記のような事になっているかわかる方がいらっしゃいましたら教えていただけないでしょうか?

X-Apparently-To: ○○@yahoo.co.jp; Thu, 13 Aug 2020 04:40:32 +0900 Return-Path: <postmaster@warolamik.com> X-YMailISG: Kqt4ckoWLDuhJGnF_bqJsPlIhRLK77DBViJY_v5Mig1ciljB IMvP5t6hzZincE2JawVTtvC.X0_7dadcSShYxdleIuROhdu43vFEBN0PebL6 TH0wx87PH1wmcCfn19lZdVwOjeUM85giB01xjYlrLincCyKrL01LRGNIPfYd plQC9w8d13_biq0beMJV2O3bc3kawvbKmHl5sSUALkcEsnRdgGv4V7Rjl91A yhNunVW_y7c2mZ22j6d73ciLuHyMDFJ0r7bJHErwe7g06Se0E4rCycQZcgY9 zMpgAheRFYzDgKsKcOYcAnsBT.A78rZIuKk1ezqe3WUggwrTFr.1QyTfwR3J 7ouDqImrkVtfVt0FENDLXxVnBL43xJcUHxbdQxLTkTkJEHpyCBWfe0wNm5Ny sdXCeJJdK4uIo.pfPvvUzZvrAKLQBCwRmiOlWQMngAshfCKPdIgVbL1zV6RD 9.tyv8hhtpdayI.o6Xu2bH3qMWebX72_tDrHDT.n.3Dgp_OLFIRkwrTqfyFz _KzCOn9rY74xa3AnCx4RLnJb3WTKrzd1k0m33gpJHIjxFhq2gNptYiZLjJWF Imv1_.9WaEKJCPBYmreUfZ.bZ_uhArP5NmargXo4YuClc0WPZoAIVcHlqAUQ pBlXEX0Hh7Uw7IY.wS1okZQ_a9z3zLO5NHqHoislJzAGUl6pVh8NO0rDA7Js M.mqehXCwpWNElF2R9A48tTGRG1w_Pj23ZpIbcN8zsmE2s.oDRQBjt_fimcy yOdCZEpXPQ3GDlSE8ppz9swzW3SzqUG.QJjCicYuzO4cXA52Mp7dRhwceFUc gQqmq1rMpsRgpsrk_HHZjonmHf4_dSFPcbxJ.IpvFqpBRitn4cjIZNZj2SXF YCeSte5Tbb6roGX7.L.3jHIgoyzOo3C0K1j9sbgV9zu98TC.qDCHkU02reo1 Yd02sZ1W1LNzMlscIQmr5d0ryjH3V0ZMEpSq3o8_EvBXbxYLIeV_aT1ZpCs9 BzlpfsZP8Tb7I2YIZ6xb3XZIOOWqNlAttUWgMPxwf8OpxeSBkRv.AMYTO2FO fKTGU3YbXfwSUNXw63HmdFcd_nB55EKVMXcKRsoyL9DKK6HF98HvNsLk04gG 6oolJTQWItBk2GqTyitS5M.GKt4ZmI.MAlGF2hiTzEPFaJZk5Fmr876CfwVQ BQazSi7_1eUQaYvoSTfHUidA06TSFMBuSofQhyHCyafNqljfT15shBDcCDUR GYZGZKwpzu4djXbBU2M23TwXGYSsTfDwonRDcfW7aoX4wqrf3eAdKxi9mbYD 3fbWCvgMATzFcSKannHgoRNSIpK6LBgh0jhZJqgnA5DHtN.Yqtd7C6TY11oZ RNUGoxrHJtuHlTQNe4T7DgAZljk9x2cdMFGrHTDlQwjpGX2z5tMO2aRbJ7LV RIycuiT3hLIR3TN4n_8cNBie475RODyM2KNqw49Au7AVpdEefizNHJCi0oNY 5aW8LS2GgMam1OqFKpV7dWVEW7G3n.7cTALV1vf6NO1SP1qXUs4CEjPJYfO4 JWpQVrbYwhs2zAINXuWmiaPlmc.sftcOx6nEcHdNDpY9zi2WXNQnHrals_S_ 95RDHQ1v1GSUSzOwEyc- X-Originating-IP: [209.85.216.100] Received-SPF: none (mail-pj1-f100.google.com: domain of postmaster@warolamik.com does not designate permitted sender hosts) Authentication-Results: mta751.mail.djm.yahoo.co.jp from=accounts.google.com; domainkeys=neutral (no sig); dkim=permerror (missing domain tag); header.i=@; dmarc=permerror; header.from=accounts.google.com Received: from 124.83.142.148 (EHLO mail-pj1-f100.google.com) (209.85.216.100) by mta751.mail.djm.yahoo.co.jp with SMTP; Thu, 13 Aug 2020 04:40:32 +0900 Received: by mail-pj1-f100.google.com with SMTP id c6so1642436pje.1 for <○○@yahoo.co.jp>; Wed, 12 Aug 2020 12:40:32 -0700 (PDT) X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:message-id:dkim-signature:mime-version:from:to :priority:importance:date:subject:content-transfer-encoding; bh=H+Wp7jZ9xxZ7IXBLvH9bZGG6giyeUHkP4PlpW8PR2/Q=; b=VRgRKT5/v94uHTfAtJp1ywrT6olA9+guDN6DZ1rgSy1FZCXXAxQkZ01nao3sCWaoY2 7tZcByopUBN64zlc97ywrDjfjY1j28yXA92bQZGz5LBgs/EfFEClsj2i1c80dhCdzb6Y dJc06e0ZztY4g8D9g4x/K9zY9rJl9YnK5GBZh4pVLCidwoVTMq4dQjKWu9djB0qeY5VV kuK+nTfawJKBDT/Qh9ebN4UeP3Fq76evDsqGBmaH9XNefVwYm7bc1xvzjprrig//0rx1 L35MJq347DumdaiTSb7DYXMwFKsypee8PZlWsMafTboW4JcRMDBMBHjOwbUya2BIEWQc O/1Q== X-Gm-Message-State: AOAM5318rqxo1Q/r8K7PFaBUuG1ZrzygU6FRef9iNeeeXyzrxnqzD9bv TM+qx39PNTJTqW7bOqIyfddrJtF6yO1+BKy5Fr89FLOfwd1T/Q== X-Google-Smtp-Source: ABdhPJxODftXv64qGnpg2OPQIUSmNZuoTa+f1MUSV8ngmb+ykajFznJoLnGRxKrP4/sUl1pifglZKuXEulzL X-Received: by 2002:a17:902:82c2:: with SMTP id u2mr845386plz.239.1597261231802; Wed, 12 Aug 2020 12:40:31 -0700 (PDT) Return-Path: <postmaster@warolamik.com> Received: from MSI ([180.246.151.75]) by smtp-relay.gmail.com with ESMTPS id q16sm295349pjp.7.2020.08.12.12.40.31 for <○○@yahoo.co.jp> (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128); Wed, 12 Aug 2020 12:40:31 -0700 (PDT) X-Relaying-Domain: warolamik.com Message-ID: <5f3445af.1c69fb81.85d82.878fSMTPIN_ADDED_MISSING@mx.google.com> DKIM-Signature: i=1; mx.google.com; dkim=pass header.i=@google.com header.s=20161025 header.b="ljhB/8dk"; spf=pass (google.com: domain of 3krc0xxmkcigehw-eggsyrx-rsvitpcksskpi.gsqjeenvm.kkpkqemp.gsq@scoutcamp.bounces.google.com designates 209.85.220.69 as permitted sender) smtp.mailfrom=3KRc0XxMKCigEHW-EGGSYRX-RSVITPcKSSKPI.GSQJEENVM.KKPKQEMP.GSQ@scoutcamp.bounces.google.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=google.com MIME-Version: 1.0 From: "Amazon.co.jp" <no-reply@accounts.google.com> To: ○○@yahoo.co.jp X-Priority: 1 Priority: urgent Importance: high Date: 13 Aug 2020 02:40:53 +0700 Subject: =?utf-8?B?44GC44Gq44Gf44Gu44Ki44Kr44Km44Oz44OI44Gv5YGc5q2i?= =?utf-8?B?44GV44KM44G+44GX44Gf?= Content-Type: text/html; charset=utf-8 Content-Transfer-Encoding: 7bit Content-Length: 19949

あと、この部分がfromのキーワードがないのですが、このような事が可能なのでしょうか?

Received: by mail-pj1-f100.google.com with SMTP id c6so1642436pje.1
for <○○@yahoo.co.jp>; Wed, 12 Aug 2020 12:40:32 -0700 (PDT)

以上です。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

otn

2020/08/13 07:07

コードは、 ``` という行と ``` という行で上下に挟んで下さい。
scsi

2020/08/13 08:42

3重位の送信元確認をしている というのは何処を確認してそう判断されましたか?
tamina

2020/08/13 09:35

DKIM-Signature: i=1; mx.google.com; dkim=pass header.i=@google.com ■DKIMは電子署名を使った送信元確認の仕組みだと思っています。 header.s=20161025 header.b="ljhB/8dk"; spf=pass (google.com: domain of 3krc0xxmkcigehw-eggsyrx-rsvitpcksskpi.gsqjeenvm.kkpkqemp.gsq@scoutcamp.bounces.google.com designates 209.85.220.69 as permitted sender) ■spfもIPアドレスを用いた送信元確認の仕組みと思っています。 smtp.mailfrom=3KRc0XxMKCigEHW-EGGSYRX-RSVITPcKSSKPI.GSQJEENVM.KKPKQEMP.GSQ@scoutcamp.bounces.google.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=google.com ■dmarcも何かの送信元確認の手法だと思います。
guest

回答2

0

時間が取れたので、調査した結果を書いておきます。

基本メールの情報はテキストベースです。
そのため、ヘッダ情報は悪意のあるサーバで自由に編集することが可能。

そのため、信用できる情報は、自分が使用しているメールサーバの追記したヘッダ情報のみとなるようです。
この場合、ヤフーのメールサーバは変なことを書かないと思われるので、ここだけ信用できる情報と考えられます。

そして、ヤフーのメールサーバで送信元認証がエラーが出ている。
相手の申告しているIPアドレスと実際のIPアドレスが異なっていることから
不審なサーバから受け取っている可能性が高いと考えられる。

また、ほとんどのメールはダイレクトで相手のメールサーバに届くため、
4ホップくらいしているメールのヘッダ情報は怪しい。

つまり、私が疑問に思っていた個所は、悪意のあるサーバが適当に作成した偽の情報である可能性があります。

投稿2020/08/30 15:31

tamina

総合スコア136

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ベストアンサー

180.246.151.75 から smtp-relay.gmail.com を SMTPサーバとして使って
Header の From を no-reply@accounts.google.com, Envelope From を postmaster@warolamik.com として
○○@yahoo.co.jp 宛にメールを送った感じですかね。

smtp-relay.gmail.com は gsuite で使用できる relay サーバっぽいので
gsuite に登録すれば認証なしで smtp-relay サーバとして使用できるのかもしれませんね。

yahoo の検証では spf,dkim,dmac など失敗しています。

多分、下記で spf,dkim,dmarc が pass している と思ったと思いますが、
DKIM-Signature の形式がおかしい気がします。

Header

1DKIM-Signature: i=1; mx.google.com; dkim=pass header.i=@google.com 2 header.s=20161025 header.b="ljhB/8dk"; spf=pass (google.com: domain 3 of 3krc0xxmkcigehw-eggsyrx-rsvitpcksskpi.gsqjeenvm.kkpkqemp.gsq@scoutcamp.bounces.google.com 4 designates 209.85.220.69 as permitted sender) 5 smtp.mailfrom=3KRc0XxMKCigEHW-EGGSYRX-RSVITPcKSSKPI.GSQJEENVM.KKPKQEMP.GSQ@scoutcamp.bounces.google.com; 6 dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=google.com

検証結果は 通常 Authentication-Resultsに記述されます。
180.246.151.75 が上記ヘッダーを送信時に勝手に追加して送信しただけかもしれません。

spf,dkim,dmarc は送信元確認をする仕組みですが、
確認情報をヘッダに記述するだけのところも多いのでメールが宛先に届くことよくあります。

投稿2020/08/13 23:20

編集2020/08/13 23:45
scsi

総合スコア2840

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問