メールヘッダーの読み方 - 1 通のメールに隠された旅の記録

メールヘッダーは「旅の記録」

1 通のメールには、本文の他に「ヘッダー」と呼ばれるメタデータが付随しています。通常は非表示ですが、メールクライアントの「ヘッダーを表示」機能で確認できます。ヘッダーには、そのメールがどのサーバーを経由して届いたか、いつ送信されたか、送信元の IP アドレスは何か、認証は通過したか - メールの「旅の記録」が詳細に記録されています。

フィッシングメールの真偽を見極めたり、スパムの送信元を特定したりする際に、ヘッダーの読み方を知っていることは強力な武器になります。

主要なヘッダーフィールド

Received ヘッダー - 経由サーバーの記録

最も重要なヘッダーです。メールが経由した各サーバーが、自身の情報を Received: ヘッダーとして追加します。下から上に読むと、送信元から受信者までの経路が時系列で分かります。

このヘッダーから、送信サーバーのホスト名と IP アドレス、受信サーバー、通信プロトコル (ESMTPS = 暗号化あり)、タイムスタンプが読み取れます。

From / Return-Path - 送信者の「自己申告」

From: は送信者が自由に設定できるフィールドで、偽装が容易です。フィッシングメールは、正規の企業のアドレスを From: に設定して送信されます。Return-Path: (エンベロープ From) は実際のバウンス先で、From: と異なる場合は偽装の可能性があります。

Authentication-Results - 認証の結果

受信サーバーが SPF、DKIM、DMARC の認証結果を記録するヘッダーです。

SPF、DKIM、DMARC がすべて pass であれば、送信元の正当性が高いと判断できます。fail や none が含まれている場合は注意が必要です。

X-Originating-IP - 送信者の実 IP

一部のメールサービス (Outlook.com など) は、送信者の実際の IP アドレスを X-Originating-IP: ヘッダーに記録します。IP 確認さんでこの IP アドレスを確認すれば、送信者のおおよその地理的位置を推定できます。ただし、Gmail はプライバシー保護のためこのヘッダーを付与しません。

ヘッダーからフィッシングを見破る

フィッシングメールを受け取ったとき、ヘッダーを確認することで偽装を見破れる場合があります。

• From: が大手企業のアドレスなのに、Received: の送信元 IP が無関係な国のサーバー
• SPF が fail → 送信元 IP がドメインの許可リストにない
• DKIM が fail → メールの内容が改ざんされている可能性
• Reply-To: が From: と異なるドメイン → 返信を別のアドレスに誘導しようとしている

まとめ

メールヘッダーは、1 通のメールが辿った旅路の完全な記録です。Received ヘッダーで経路を追跡し、Authentication-Results で認証状態を確認し、From と Return-Path の不一致で偽装を検出する。これらの知識は、メールセキュリティの実践的なスキルです。

メールセキュリティの技術を深く学びたい方には、メールセキュリティの入門書が参考になります。