メールのヘッダー項目「Received-Spf」を確認
迷惑メールを簡単に見分ける方法。それはメールのヘッダー項目の「Received-Spf」を見て、その項目が「Pass」になっているのを確認することです。
Eメールには必ず以下のような、どういう経路でEメールが送られてきたかなどの情報がヘッダー項目にかかれています。表示方法は、Macの純正メールならメニューバー「表示」>「メッセージ」>「全てのヘッダー」(⌘+Shift+H)、WindowsのOutlookならメールを開いてメニュー「ファイル」>「情報」>「プロパティ」>「インターネット ヘッダー」から確認できます。
以下は実際のフィッシング詐欺Eメールのヘッダー情報となっています。
Mime-Version: 1.0
Content-Type: multipart/alternative;
X-Feas-Surl: xxx
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Return-Path: <xxx@uber.com>
X-Originating-Ip: xxx
X-Feas-Hash: xxx
X-Original-To: xxx
Delivered-To: xxx
Received-Spf: Permerror (SPF Permanent Error: Too many DNS lookups) identity=mailfrom; client-ip=xxx; envelope-from=xxx@uber.com; receiver=xxx
経由してきたサーバなどの詳細はxxxで伏せていますが、注目すべきは「Received-Spf」の項目に「Permerror」と表示されているところです。
このReceived-Spfは、メールを送信するサーバのドメイン認証を受けているかどうかを確認することができる項目で、例えばこのメールは「xxx@uber.com」というUBERを装ったメールアドレスから送られてきているのですが、そのメールのドメインであるuber.comからは認証されていないため送信サーバ認証は「Permerror」(永久エラー)となっているわけです。
このSPFの表示には、その他「Softfail」(疑わしいメール)などもありますが、ちゃんとSPF認証が通っているEメールには、Received-Spf項目は「Pass」になっているので、迷惑メールかどうかを最初に判断するのはこのメールのヘッダー項目「Received-Spf」が「Pass」になっているかどうかを確認することです。
送信元メールアドレスの確認も必須
しかし、一部の迷惑メールはメールアドレス自体を全く関係の無いものを使って送ってきていて、SPF認証がPassになってしまっているものもあります。
例えば、下のメールヘッダーは日本の公共サービスである「ETCマイレージサービス」を装ったフィッシング詐欺メールのヘッダーです。
Content-Type: text/plain; charset="utf-8"
Mime-Version: 1.0
X-Feas-Hash: xxx
X-Msmail-Priority: Normal
X-Feas-Surl: xxx
Dkim-Signature: xxx
Return-Path: <xxx@milebiz.com>
X-Fe-Policy-Id: 1:3:0:SYSTEM
Importance: Normal
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Transfer-Encoding: quoted-printable
X-Original-To: xxx
<xxx@milebiz.com>
Received: xxx
Delivered-To: xxx
Received-Spf: Pass (sender SPF authorized) identity=mailfrom; client-ip=xxx; helo=xxx.milebiz.com; envelope-from=xxx@milebiz.com; receiver=xxx
このメールは送信元アドレスが「xxx@milebiz.com」、送信ドメインも同じドメインの「milebiz.com」(おそらく中国のドメイン)から送られているので、メールサーバ認証(Received-Spf)にも「Pass」が付いています。
しかし、「ETCマイレージサービス」のお知らせメールは「@ml.smile-etc.jp」のドメインからしか送信されていないので、このことから、このメールは詐欺メールだということが判断できます。