頻繁に届く迷惑メール。最近では差出人が自分で宛先が自分や自社のドメインであることが多く、受信ボックスに入ってくると何だか嫌な気分になりますね。。。

解析ツールを活用して、相手の動きを観察しそれに応じた対策を取るようにします。

解析ツールを使用してメッセージヘッダーをチェック

対象メールヘッダーを調べていきましょう。

今回は、[G Suite Toolbox]を使用して解析していきます。

ここでは、Outlookの解析についてお伝えしますが、他メーラーについては[Gmailヘルプ:ヘッダー全体からメールの経路を確認する]に方法が記載されていますので、参考にしてみて下さい。

それでは早速、手順を追ってみていきましょう。

手順:メールのヘッダー全体を表示して抽出する

まずは、Outlookからメールヘッダーを抽出していきます。

メッセージを展開し、[ファイル]>[情報]>[プロパティ]と進みます。

[プロパティ]の中に、[インターネットヘッダー]という項目がありますが、そこに記載されている部分を見ていくことで送られてきたメールの詳細を確認することができます。

赤枠で囲ってある部分を全て選択し、コピーします。

メッセージヘッダーの解析については、別の記事に詳しく記載されていますので、併せてご確認下さい。

手順:メールのヘッダー全体をGSuiteToolboxで解析する

ここでチェックするポイントは、「メールが送信されてから到着するまでの時間」と「[From*]に記載されているホスト名」です。

GSuiteToolboxの解析内容
GSuiteToolboxの解析内容

到着までの時間が異常に長い時・・・

Toolboxの[Delay(遅延時間)]を確認します。

通常、メールを送信する場合、秒単位で送られてきます。この遅延時間が、数十分、数時間と遅延している場合、複数のサーバを経由している可能性があります。

このようなケースで差出人が自分自身である場合は、メールがなりすまされていますので何かしらの対策を行なう必要があります。

ホスト名が怪しい場合・・・

次に、ホスト名を確認していきます。

ホスト名をチェックすることで、どこから送られてきたのかを大まかに確認することができます。

ここでのホスト名は、[ctel-92-53-63-202.cabletel.com.mk]となっているのですが、これをaguseなどで調査してみます。

aguse.jpのトップ画面

IPアドレスをもとに調査してみました。

詳細情報を見ると、北マケドニアのサーバから送信されているようです。

また、その他の情報において、いくつかの団体では、ブラックリスト登録されているという判定結果が出ています。

cabletel.com.mkの[Whois情報]

Whoisで調べたところ、全く関係のない組織がヒットしています。

Return-Pathをチェックしてみる

この状態で、メッセージヘッダーをチェックし、[Return-Path]を調べてみます。ここで、[Return-Path]のアドレスが、自分のメールアドレスであった場合は、乗っ取りの可能性もあります。

サーバ側で、認証情報をチェックしてみましょう。

パスワードによるログインやSMTP認証の履歴があるかどうかをチェックすると良いでしょう。

これらのメールは、内部のみならず、外部にも送られている可能性が高いので早めの対策をする必要があります。

対策について

このような場合は、早急な対策が必要になります。

具体的には、

  • 端末のイルスチェック
  • 使用しているソフトの最新化
  • メールパスワードの変更
  • サーバパスワードの変更
  • サーバ会社に連絡をしてログの確認を依頼する(レンタルサーバの場合)

これらの作業を実施する必要があります。

ログの確認については、サーバの契約状況によっては対応してもらえない場合もあるようですが、まずは問い合わせてみましょう。

それでも解決できない場合は、メールサーバの移転を行ないます。

メールサーバについては、G Suiteなどのセキュリティ機能がしっかりしたものを選択するのが望ましいと考えます。