Advent Calendar 2022 に連続投稿に挑戦!
2日目、2022年12月2日の原稿は、メールヘッダを簡単に解析してしまおう、という内容です。
ビジネス詐欺メール(BEC、Business E-mail Compromise)とか、単にスパムとか、そういった際に見抜く方法を私はどうしているか、について簡単に紹介しよう。
今回はメールのヘッダを読む!それを、数秒で読んでしまおう!という技の紹介。今までは、数分かかるものが、一瞬でわかるという優れものです。
これといったスパムが届いていなく、ちょっとつまらないのですが、ヘッダに挙げている詐欺メールの見抜く方法です。
このスパム、単純に文字を書いているわけでなく、画像を貼り付けられていたので、漢字文化が無い国からなのかな?
Office365のOutlook on the Web (Ootw) をベースとした内容ですが、メールヘッダは共通なので、Gmailにせよ、他のプロバイダのメールにせよ、なんにでも対応できるので、部分的に読み替えて読んでください。
Office365メールで受信した場合、メール右上の点々をクリック。[表示]から[メッセージの詳細を表示]をクリック。
Outlookメーラーとかこちらを参考ください。
メールのヘッダ情報が表示される。これを全てコピーして、Message Header Analyzerに貼り付ける。
Message Header Analyzerを利用することで、メールヘッダを瞬時に解析してくれる優れもの。
こんな感じに一気に解析してくれる。
赤枠、.deドメイン。ドイツ!ドイツ!ドイツだぜ!
画面をスクロールすると、どこから接続しているかIPアドレスが表示される。
IPひろばが見やすいので良いですよ。IPv4だけでなく、IPv6での検索も対応している。
IPひろばで検索すると、アイルランドと表示された。proxy経由とかで接続されているかもしれないね。。。
BCL(Bulk complaint level)、バルク苦情レベルのこと。BCL:0なのか。
(参)EOP の一括苦情レベル (BCL) -Microsoft-
BCL | 説明 |
---|---|
0 | バルク送信者からのメッセージではありません。 |
1, 2, 3 | 苦情がほとんどないバルク送信者からのメッセージです。 |
4, 5, 6, 7 | 苦情の件数がさまざまなバルク送信者からのメッセージです。 |
8, 9 | メッセージは、大量の苦情を生成する一括送信者からのメッセージです。 |
続けて画面を下にスクロールする。
この画面は特に無いね。。。
更に下にスクロール。SCL(spam confidence level)値に注目。SCL値が5なので、スパムフィルタとして処理されたということだ。
(参)EOP のスパム信頼度レベル (SCL) -Microsoft-
SCL | 定義 | 既定のアクション |
---|---|---|
-1 | メッセージがスパム フィルター処理をスキップしました。 たとえば、メッセージは、差出人セーフ リストからのメッセージ、安全な受信者に送信されたメッセージ、または IP 許可一覧の電子メール ソース サーバーからのメッセージです。 詳細については、「EOP での信頼できる差出人リストの作成」を参照してください。 | 受信者の受信トレイにメッセージを配信します。 |
0, 1 | メッセージがスパムでないと判断されたスパム フィルター処理。 | 受信者の受信トレイにメッセージを配信します。 |
5, 6 | メッセージをスパムとしてマークしたスパム フィルター処理 | 受信者の迷惑メール フォルダーにメッセージを配信します。 |
8, 9 | メッセージが高信頼スパムとしてマークされたスパム フィルター処理 | 受信者の迷惑メール フォルダーにメッセージを配信します。 |
この、BCL(バルク)やSCL(スパム)の違いは、BCLは1回限りの広告メールとかマーケティングメールとかの迷惑メールが該当する模様。
更に下にスクロールしていくと、ま、どうでもいいか。
こんな感じで、スパムメールなのか、どうなのか、という調査ができる。
メールのヘッダで判断できるので、変なメールが来たら、本文を読む前に、メールのヘッダを読む、という運用が良いと思います。是非活用ください。
Message Header Analyzer(https://mha.azurewebsites.net/)からね。
最近のコメント