自分からメールが来ました(迷惑メール)

「自分のメールアドレスからメールが来た」ので調べてみました。

事象自体は迷惑メールみたいですが、ヘッダーを見ても自分のメールアドレスだったので少し気になって調べてみました。…少し調べましたが検索上位に出てこないですね。

メールアドレスの表示は任意でどうにかなっても、実際の差出人を調べる方法が出てきません。
検索スキルがない!?(ドキッ!!)

こんな記事もありました。
「メールアドレスの詐称は完全に防げない!?」
https://security.nifty.com/cs/column-qa/detail/091005564502/1.htm

私は、ただ非表示になっているだけで、実際にはヘッダー等に記載があると思い込んでいました。

きっかけ

ある社員に「メールアドレスのパスワードを変更してください。あなたのアカウントがハッキングされています。…ビットコインの支払いを…」などと、その社員自身のメールアドレスからメールが来たようです。

  • 社員Aのメールアドレス→abc@x.x
  • 社員Aに届いたメールの差出人→abc@x.x

内容はこちらです。同じメールが来ている人もいるんですね。
https://curiostation.com/blog/callcenter/spam_mail_pw/

私は、メールソフト(OUTLOOKなど)の設定次第で差出人メールアドレスを表示できると思っていました。「正直へぇ~そうなんだ~知らなかった、できないのか~」という感じです。同時にそれってなんか微妙じゃないと思いつつ、もう少し調べました。

「ヘッダー」というもの

メールに本文とは別に「ヘッダー」という付加情報が存在します。

「ヘッダー」という言葉だけを知っていた私はとりあえずいろいろ調べてみました。

Google検索
「自分のメールアドレスからメール 差出人 確認方法」
「outlook メール ヘッダー 確認 方法」
とか。

Outlook でインターネットメッセージヘッダーを表示する

Outlookでメールのヘッダを参照する – Qiita

メールヘッダーから送信元を確認するにはどうすればよいですか? | サポート

本当の差出人のメールアドレスを知ることはできますか? : 迷惑メール対策委員会

おっ!なんかいけそうじゃないか?

Outlook(Office365)を使って「上記のリンクの方法」でメールのプロパティを表示してみた。

  1. ダブルクリックでメールを開く
  2. メニュー「ファイル」をクリック
  3. 「プロパティ」をクリック
  4. ウィンドウが開き「インターネットヘッダー」という項目がそうです

【要約】

  • 一番最後の「Received」が第一の送信元サーバーらしい。(「Received」はいくつかあります。)
  • 「Received」以降に「From」「To」があるが、これが送信元メールアドレス(送信者)と送信先メールアドレス(宛先)らしい。しかし「From」が偽装されていて自分のメールアドレスになっています。下記例のメールのヘッダーです。
Return-Path: <自分のメールアドレス>
Received: from 自分管轄のサーバー (自分管轄のサーバー [そのIPアドレス])
    by 自分管轄の別のサーバー (■■■■■■■■■■■) with ESMTP id ■■■■■■■■■■■
    for <自分のメールアドレス>; ■, ■ ■ 2019 ■■■■■■■■■■■
Received: from 自分管轄の別のサーバー (自分管轄の別のサーバー [そのIPアドレス])
    by 自分管轄のサーバー (■■■■■■■■■■■) with ESMTP id ■■■■■■■■■■■
    for <自分のメールアドレス>; ■, ■ ■ 2019 ■■■■■■■■■■■
Received: from cavy-nas.kvant.if.ua (cavy-nas.kvant.if.ua [91.230.25.101])
    by 自分管轄の別のサーバー (■■■■■■■■■■■) with ESMTP id ■■■■■■■■■■■
    for <自分のメールアドレス>; ■, ■ ■ 2019 ■■■■■■■■■■■
Message-ID: <■■■■■■■■■■■@自分のドメイン>
Date: ■, ■ ■ 2019 ■■■■■■■■■■■
From: <自分のメールアドレス>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.23) Gecko/20110922 Thunderbird/3.1.15
MIME-Version: ■■■■■■■■■■■
To: <自分のメールアドレス>
Subject: 自分のメールアドレス =?■■■■■■■■■■■
Content-Type: ■■■■■■■■■■■
 ■■■■■■■■■■■
X-EsetId: ■■■■■■■■■■■

比較しよう!

  1. 怪しいメール
  2. 自分が自分に宛てたテストメール

上記の2つのメールのヘッダーを比較してみよう!

  • よく見ると、怪しいメールはThunderbirdで送信していることがわかります。自分のメールのヘッダーはOutlookと表示されます。
  • 「Received」に見慣れぬドメイン名とIPアドレスが確認できました。想像するに「ua」ってウクライナっぽいと思ったら(直感)…ウクライナでした。
  • 怪しいメールのヘッダーにドメインがウクライナ関係のものが出てきました。一方、自分から自分に送ったメールのヘッダーには送信から受信まで一貫して、設定したサーバーを使用していました。

Google「ドメイン 調査」
WHOIS検索 | ドメインの所有者情報を簡単検索

知人に教えてもらったサイト
KEIROMICHI

ウクライナが悪いわけではない。あくまでも使っているホスト、コンピュータ、マシンの登録、設置場所のいづれかの話です。このグローバルの世界で、日本人がウクライナのサーバーを送信先第1サーバーにすることだってできます。

ヘッダーも自分!?

最初は焦りました。まあ、プロにはそういうことが出来るんだと思うしかないです。私は所詮ITに関して素人ですから。または偽装ができるパッケージみたいなものが体系化されているのだと思います。ツールとかあるのですかね?

Google検索「自分からのメール ヘッダーも自分」で調べてみると「ヘッダー偽装」というのもあるらしい。これ以上は調べようとはいまのところ思いません。これってもうどこから送信されているかわからないよね。とほほ…。

とりあえず何かしらの特異点が分かったので良かったです。

タイトルとURLをコピーしました