見出し画像

【サイバーセキュリティ】フィッシングメールの「メールヘッダー」特徴を分かりやすく解説

tsukuru

この記事では、フィッシングメール?など”危険なメール”の「メールヘッダー」についてお伝えします。前回記事よりももう少し深堀することで、”何がわかるのか”を紹介します。

なお、この記事でお伝えするメールヘッダーとは「送られてきたメールの送信者情報から受信するまでの各種情報や経路、受信者情報」を指します。

1.安全なメールヘッダーとは
2.安全なメールをVPN、プロキシ経由をした場合のメールヘッダーとは
3.フィッシングメールのメールヘッダーとは
4.セキュリティ強化 メール認証とは?導入のメリット3つ

1.安全なメールヘッダーとは

安全なメールヘッダーは情報量が多く経路がはっきりとしている傾向があります

安全なメールヘッダーからわかることは

  • 送信者側のコンピューター名(デバイス名)任意設定

  • ウイルスチェックの判定結果

  • ウイルスチェックしたサーバー

  • 送信ツール(メールソフト、Webメール)

  • 送信プロトコル(httpやSMTP、POP3、MAPIなど)

  • 送信した時間(例:JST、EST、CEST)JSTは日本標準時間 任意設定

  • メール認証情報

  • 添付ファイル有無し

  • 文字コード(例:iso-2022-jp)エンコード   任意設定

  • ドメインサーバー

  • メールサーバー経由情報

  • 受信した時間

  • メッセージ識別ID

  • その他

メールヘッダー情報がぎっしりと詰まっています。※各環境・仕様によりメールヘッダーの内容(中身)が変わります。

イメージ図

2.安全なメールをVPN、プロキシ経由をした場合のメールヘッダーとは

VPN、プロキシ経由のメールヘッダー

安全なメールをVPN、プロキシ経由をした場合のメールヘッダーからわかることは

  • 送信者側のコンピューター名(デバイス名)

  • ウイルスチェックの判定結果

  • ウイルスチェックしたサーバー

  • 送信ツール(メールソフト、Webメール)

  • 送信プロトコル(httpやSMTP、POP3、MAPIなど)一部可能

  • 送信した時間(例:JST、EST、CEST)JSTは日本標準時間  変更

  • メール認証情報

  • 添付ファイル有無し

  • 文字コード(例:iso-2022-jp)エンコード 変更

  • ドメインサーバー

  • メールサーバー経由情報

  • 受信した時間

  • メッセージ識別ID

  • その他

メールヘッダー情報がと比べ少なくなっています。設定で「日本時間を海外時間」と「文字コード」を変更すると反映されていることが確認できました。※各環境・仕様によりメールヘッダーの内容(中身)が変わります。
プロキシ設定で13個のメールサーバーを経由していますが、メールヘッダーから読み取ることができませんでした。

3.フィッシング詐欺のメールヘッダーとは

当方に実際に来た怪しいメールのメールヘッダー

フィッシング詐欺のメールヘッダーからわかることは

  • 送信者側のコンピューター名(デバイス名)

  • ウイルスチェックの判定結果

  • ウイルスチェックしたサーバー

  • 送信ツール(メールソフト、Webメール)

  • 送信プロトコル(httpやSMTP、POP3、MAPIなど)一部可能

  • 送信した時間(例:JST、EST、CEST)JSTは日本標準時間

  • メール認証情報

  • 添付ファイル有無し

  • 文字コード(例:iso-2022-jp) 

  • ドメインサーバー

  • メールサーバー経由情報 一部可能?

  • 受信した時間

  • スパム判定評価(スコア偽造?)

  • メッセージ識別ID

  • その他

メールヘッダーにある「スパム判定評価」を偽造?しているよう見受けました。
X-Spam-Flag:NO  → NOがYESとなると整合性がとれます。正常なメールにはこのヘッダーは付与されません。NOとすることで勘違いさせようとしています。
X-Spam-Score:-0.987  → 正常な値は0~100で数字が高いほどスパムの疑いが濃厚になります。負数の「」になっていることから?です。
・X-Spam-Checkがないこと。スパムチェック判定処理が行われたらX-Spam-Check:YESとなります。

これらのことからメールがスパムと判定されず、すり抜けたのではと思います。また、ヘッダーの整合性がないことがわかりますので、この点から?となり疑いが確信に変わります。

イメージ図

4.セキュリティ許可 メール認証とは?導入のメリット3つ

以下の3つを導入することでメールセキュリティが強化されます。ぜひ、サーバー(メール)管理者は導入してみてください。

メールヘッダー「SPF」「DKIM」「DMARC」導入・パスの写真

◆SPF なりすまし防止

SPF では、組織に代わってメールを送信できるサーバーとドメインを指定することができます。組織からメールを受信したメールサーバーは、送信元サーバーを指定されたサーバーのリストと比較します。これにより、受信メールサーバーは、メールが実際にその組織から送られたものであることを確認できます。

◆DKIM 送信メールのセキュリティ防止

DKIM により、組織から送信されるすべてのメールに、暗号化されたデジタル署名が追加されます。受信メールサーバーは、公開鍵を使って署名を読み取り、メールが実際にその組織から送られたものであることを確認します。DKIM を使用すると、メールがサーバー間で送信される際にメールの内容が改変されるのを防ぐこともできます。

◆DMARC 偽装された迷惑メールに対するセキュリティ強化

DMARC を使用すると、組織からのメールが SPF にも DKIM にも合格しない場合、受信サーバーにその処理方法を指示できます。また、どのメールが SPF と DKIM に合格したか、しなかったかを示すレポートを受け取ることができます。これらのレポートは、メール攻撃の可能性やその他の脆弱性を特定するのに役立ちます。

上記3つのメール認証を設定することでメールセキュリティが強化され一定の効果が期待できます。ただ、各サーバーの仕様によってはできないこともあります。当方のサーバーではDNSレコードにて「SPF」のみ対応できました。

次回は、フィッシングメールに記載されているリンク先と添付ファイルを検証してみます。今回の記事によりメールに対するセキュリティ意識がより一層高めることができましたら幸いです。最後までお読みいただきありがとうございました。


この記事が気に入ったらサポートをしてみませんか?