Ontrack Now
================================================================================
■■ ■ ■ 豆知識 Vol.05-08
■ ■ ■ ■ ■ メールヘッダ情報
■ ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■ ■ ■
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■ ■■ ■ ■■ ■ ■ ■
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■■■■
■■ ■ ■ ■■ ■ ■■◆ ■■ ■ ■ ■ ■ ■■ ■ ■
=============================================================2007.08.27=========
今月はメールに付加されている転送経路等を示す情報についてみてみる事にしましょう。
この見方は使用されているメールソフトによりバラバラですので、ご自身でヘルプ等を
見て操作法を確認してください。 ほとんどのメール・ソフトはメッセージを開いた
状態でヘッダの詳細を確認する方法を準備しています。 詳細に調べたいのであれば、
この内容をエディタか何かにコピーアンドペーストして保存すれば良いでしょう。
例えば、Outlookではメッセージを開いて「表示」−メッセージヘッダを選択すれば、
最低限の情報が常に表示されるようになります。 詳細は「オプション」タブを選択
すれば、窓の中に持っている情報の全てが表示されます。
【メールヘッダの各パラメータの持つ意味】
Return-Path : 送信先のメールアドレスが使われていなかったり、存在しない場合、
メールを受信したメールサーバーが送信者にメールが届かなかった事を
通知する為の宛先通常はFromと同一のアドレスになるが、同報メール
などでは専用のアドレスを設定する場合がある。
Delivered-to : 送信者が本来送信した宛先から別のアドレスに転送された場合、
そのアドレスが付加される。
Received : 経由したサーバーのIPアドレス、ドメイン名、送信元のIPアドレス、
ドメイン名などが記録される。 経由したサーバーの数だけReceivedが
存在します。 一番下に記述されるのが送信元で一番上が自身の
メールサーバーになります。 特にFromの[]内のIPアドレスが
トラッキングする場合に重要になります。
【基本書式】
Received: from 送信元のパソコン名またはホスト名など
(右記のIPアドレスのホスト名[送信元コンピュータのIPアドレス])
by 受け取ったサーバ名 with SMTP等の転送方法 id 転送時のID番号
for 宛先メールアドレス; 処理時刻
Message ID : メールサーバーが付加するメールの識別番号。
From : 送信元のメールアドレス。
To : 宛先のメールアドレス。
Reply-To : メールの返信先アドレス メールソフトで「返信」を選択すると
このアドレスが To になる。 送信元ではないアドレスに返信して
貰いたい時に利用される事が多い。
Subject : メールのタイトル。
Date : メールの受信日。
Content-Type : メールの内容を構成するファイルの形式を示す。 text/html/Multipart
等がある。 Multipartは何かが添付されている事を示し、途中に
boundary="--Next_Part・・という様な文字列が入り、区切りが示される。
Chaset : 本文に使用されている文字コード系を示す。 国内向けであれば
ISO-2022-JPが標準であり、無指定、これ以外のコード系だと
文字化けを起こす。
Content-Transfer-Encoding : メールのエンコーディング方式を示す。
Sender : メールの差し出し人。 Fromにあるアドレスと送信しようとしている
人のアドレスとが一致しない場合、smtpdによってはこのヘッダを付け、
本来送信しようとしている人を示します。
In-Reply-To : 他人のメールに対して返事を書く時、その元になったメッセージの
References : Message-IDを示すために使用する。
頭にX-が付いている物 メールソフト、メールサーバーもしくはFirewall/Filter
Server が別個に付加した情報。
X-Original-to : 送信者が送信した本来の宛先/受信したメールサーバーが別のメール
アドレスへ転送している場合などに付加される。
X-Mailer : 送信者が使用しているメール/同報メールソフトの名称。
【メール・ヘッダ サンプル】
送出先、ISP以外のサーバー名、メールアドレスは仮名にしています。 また、ヘッダに
含まれる<>はHTMLと見なされるので“/”に置き換えています。 悪しからず。
Vector からソフトを購入した際の受付メールのメールヘッダ
1. X-Persona: /ontrack-japan/
2. Received: from mailgateway.ontrack-japan.com ([xxx.xxx.0.1])
by mailserver.ontrack-japan.com with Microsoft SMTPSVC(6.0.3790.1830);
Fri, 29 Jun 2007 15:44:08 +0900
3. Received: from chekov.vector.co.jp (chekov.vector.co.jp [211.13.211.84])
by mailgateway.ontrack-japan.com (8.14.1/8.14.1) with SMTP id l5T6i1LU049291
for /xxxxxxxx@ontrack-japan.com/; Fri, 29 Jun 2007 15:44:01 +0900 (JST)
(envelope-from shopmgr@vector.co.jp)
4. Received: (qmail 23380 invoked by alias); 29 Jun 2007 15:42:54 +0900
5. Date: 29 Jun 2007 15:42:54 +0900
6. Message-ID: /20070629064254.23379.qmail@chekov.vector.co.jp/
7. Received: (qmail 21043 invoked from network); 29 Jun 2007 15:41:58 +0900
8. Received: from unknown (HELO localhost.localdomain) (192.168.41.43)
by 0 with SMTP; 29 Jun 2007 15:41:58 +0900
9. Content-Type: text/plain; charset="iso-2022-jp"
10. Subject: [ベクター・レジ・サービス]お申込受付とお支払のご連絡
11. From: shopmgr@vector.co.jp
12. X-Vector-SwReg-Version: 2.0
13. MIME-Version: 1.0
14. To: xxxxxxxx@ontrack-japan.com
15. X-Vector-SwReg-Template: PU_title_order_W_payment
16. X-Spam-Status: No, score=-98.4 required=8.0 autolearn=no version=3.2.1
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02)
X-Virus-Scanned: by amavisd-milter (http://www.amavis.org/)
17. Return-Path: shopmgr@vector.co.jp
18. X-OriginalArrivalTime: 29 Jun 2007 06:44:08.0590 (UTC)
FILETIME=[E4EA72E0:01C7BA18]
≪説明≫
1. これは編集子が使用しているEUDORAというメールソフトが付加したもので、受信した
プロファイルを示しています。
2. Ontrack-Japanのメールサーバーがメールフィルタサーバーからメールを受け取った
状況を示します。 16./18.はフィルタサーバーが付加した情報で、スパム評価情報、
スパム評価ソフトのバージョン、ウイルススキャナのバージョン、受信時間等が
あります。 最後に受信時間がありますので、前段の時間と比較すれば、内部処理
時間がわかります。
3. フィルタサーバーがベクターの送信サーバーから受け取った際の情報が示されて
います。 (envelope-from shopmgr@vector.co.jp)は、このメールが持つ送信元
情報を示します。
4. 4.7.8.はベクター内部でのメールの動きです。
5. 送信時間。
6. 送信メールサーバーが付加したメッセージ識別子。
9. メールのファイル形式。 全てがテキストのメールである事を示しています。
10. メールの表題。
11. 送信元アドレス。 先のenvelope-fromと合致しているので偽装の疑いは少ないと
判断できます。
12. メールを送出したソフトウェア。
13. MIMEのバージョン。 これは1.0が現行標準です。
14. 送出時に付加された宛先。
15. メールを送出したソフトが付加した情報。 使用したテンプレート・フォーム名。
16. フィルタサーバーが付加した処理情報。
17. 宛先が受信メールサーバーにない場合等、送出元への通知を行う場合の宛先。
18. フィルタサーバーが付加した受け取り時間情報。
以上から、
・ ベクターのローカル・ドメイン上から2007/06/29-15:41:58にshopmgr@vector.co.jp
を発信元としてxxxxxxxx@ontrack-japan.comを宛先とする、題目「[ベクター・レジ・
サービス]お申込受付とお支払のご連絡」というメールを発信した。
・ ベクターのメールサーバーはshopmgr@vector.co.jpという送信元アドレスで
2007/06/29-15:42:54にxxxxxxxx@ontrack-japan.com宛てにメールを送出した。
・ オントラック事業部のメールゲートウェイは、2007/06/29-15:44:01に
shopmgr@vector.co.jpという送出元から発信されたメールをchekov.vector.co.jp
(chekov.vector.co.jp[211.13.211.84])から受け取った。
・ オントラック事業部のメールサーバーは、2007/06/29-15:44:08にメールゲートウェイ
からこのメールを受け取った。 メールゲートウェイは“SpamAssassin 3.2.1”で
スパム・フィルタリングを行い、amavisdでウイルス検査を行っている。
このメールはスパムではないと認定された。
といった事が判ります。
時間要素を見る場合、日本標準時間(JST)とグリニッジ標準時間(UTC)の双方が使われて
いますので、この点は注意して下さい。 日時の後に+9000とついていればJSTですね。
次は編集子の個人メールアドレスへやってきたスパムメールです。
X-Persona: /asahi-net/
Comment: Scanned by NOD32
Return-Path: /asgfgnscnmjt@yahoo.com/
Received: from mda02.asahi-net.or.jp (Postfix)by (atson1mbox) with pddf;
Tue, 3 Jul 2007 10:06:51 +0900 (JST)
Received: from mx6.asahi-net.or.jp (mx6 [202.224.39.168])
by mda02.asahi-net.or.jp (Postfix) with ESMTP id E04121002236A
for /xxxxxxxx@asahi-net.or.jp/; Tue, 3 Jul 2007 10:06:50 +0900 (JST)
Received: from sbmx9.asahi-net.or.jp (sbmx9.asahi-net.or.jp [202.224.39.248])
by mx6.asahi-net.or.jp (Postfix) with ESMTP id C41BEC734
for /xxxxxxxx@asahi-net.or.jp/; Tue, 3 Jul 2007 10:06:50 +0900 (JST)
Received: from 70.108.243.81 (70.108.243.81 [70.108.243.81])
by sbmx9 (SpamBlock.ps 3.4.100)with ESMTP id 1183424804272069.18162@sbmx9
for /xxxxxxxx@asahi-net.or.jp/; Tue, 3 Jul 2007 10:06:44 +0900
From: " Dodson" /crjskh@yahoo.com/
To: yyyyyyyy@asahi-net.or.jp
Subject: 20代まではよかった…
Date: Tue, 03 Jul 2007 10:04:39 +0900
X-Info: yyyyyyyy@asahi-net.or.jp
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
List-Id: 8
X-IP: 70.108.243.81
X-FROM-DOMAIN: yahoo.com
X-FROM-EMAIL: asgfgnscnmjt@yahoo.com
Message-Id: <1183424804272069.18162@sbmx9>
Delivery-Agent: postfix/virtual 2.1.3+atson1mbox(RELEASE_2006041401) on mda02
青春時代の恋愛って、とてもいい思い出になりますね。
このチャンスに"あの頃"を思い出してみましょう。
http://tupra.com/shk/
:
:
配信停止を希望される方はお手数ですが下記アドレスまでお願いします。
noneed@reject.tupra.com
停止処理完了まで少々お時間をいただくことがあります。
何卒ご了承ください。
≪説明≫
このメールは内容もさることながら、 To : は編集子自身のものではなく他人様のもの
ですので、その時点でおかしい・・・見る価値のないものと判断出来るものです。
ヘッダの中を覗いてみると編集子自身のメールアドレスがついてますので、色々と妙な
事をしているのでしょうね。
http://tupra.com/ は、トレース結果ではIPアドレス 211.217.218.88 韓国KORNETの
レンジにありました。 これはWHOISでは出てきませんので、正式に登録されたドメイン
ではありません。 場所的にはソウルのようですね。
発信元は 70.108.243.81 ですが、直接アサヒネットに入ってきているので、これ以外
追う意味がありません。 このIPアドレスは米国 Verizon Internet Service Inc.に
割り当てられたアドレスから出ている様ですが、WHOISではヒットしませんでした。
US西海岸SAN JOSE周辺がここのサービスエリアなので、この辺り・・・トレースしてみると
static-70-108-243-81.res.east.verison.netとして応答がありますので、固定アドレスを
持ったPCのようですね。
え? 何を使えばトレース出来るかですか? 「プログラム」−「コマンドプロンプト」を
選択し、開いたDOS窓の中のコマンドラインで“Tracert 70.108.243.81”と入力すれば
ルートトレースをしてくれます。 プロバイダを調べるにはWHOISを使う事になります。
編集子は今は亡き“NeoTrace Professional”というNeoWorx INC.製のトレースソフトを
使っています。 現在位置の緯度、経度を手動で設定してやれば、リスト形式だけでなく
地図表示で接続ポイントを視覚的に示してくれます。WHOISの機能も持っていますので、
登録されたドメインであれば、管理者及びその連絡先などを知る事が出来ます。 今の
ところ使えていますが、WHOISのアドレスが変わったり、新しいドメイン形式が増えて
くるとだんだん使えなくなるでしょうね。
ユニークなソフトだったのですが、McAfeeに買収され、しばらくは残っていましたが、
現在ではその商品リストからは落ちてしまいました。
【ご参考】
IPアドレスから該当のIPの内容を検索したい場合は
社団法人日本ネットワークインフォメーションセンター
ドメイン名から該当のドメインの詳細を知りたい場合は
whois.jp
http://whois.jprs.jp/
を参照し、ここにない場合は海外という事になりますから、それぞれのWHOISを検索
してみるとよいでしょう。
http://www.nic.ad.jp/ja/whois/index.html
をみれば、海外の主要WHOISが紹介されていますので、こちらで調べてみましょう。
以上
================================================================================
Ontrack Data Recovery Service--
======================================================豆知識===Vol.05-08=END====
