本当にメールがどこから来たのか、どうやって調べればいいのでしょうか？

私の友人からと見せかけて、彼女が強盗に入られたと主張して、私に経済援助を求めてくる詐欺の例は以下をご覧ください。私は名前を変えて「Bill」と名乗り、詐欺師はbill@domain.comにalice@yahoo.comのふりをしてメールを送ってきました。Billがbill@gmail.comにメールを転送していることに注意してください。

まず、Gmailでshow originalをクリックします。

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

メール全体とそのヘッダが開きます。

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

ヘッダーは下から上に時系列で表示されます。途中で新しいサーバが追加されるたびに、Received から始まる独自のメッセージが追加されます。例:

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

これは、mx.google.comがmaxipes.logix.czからのメールをMon, 08 Jul 2013 04:11:00 -0700 (PDT)で受信したことを示しています。

さて、メールの _本当の送信者を見つけるためには、一番古い信頼できるゲートウェイを見つけなければなりません。まず、Billのメールサーバを見つけることから始めましょう。そのためには、ドメインのMXレコードを照会します。Mx Toolbox ](http://mxtoolbox.com/) のようなオンラインツールを使うか、Linuxの場合はコマンドラインで問い合わせることができます（実際のドメイン名はdomain.comに変更されていることに注意してください）。したがって、最後に(時系列的に最初に)信頼された「ホップ」、あるいは最後に信頼された「受信レコード」、あるいはそれを何と呼ぶか知らないが何であれ、これが最後に信頼された「ホップ」であることになる。

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

これはビルのメールサーバがmaxipes.logix.czのために記録したものなので、あなたはこれを信頼することができます。このサーバはbroucek.logix.czから取得したのです。これはメールの本当の送信者である可能性があり、非常によくあることです。このIPをブラックリストでチェックするには、[ (http://www.mxtoolbox.com/SuperTool.aspx?action=blacklist%3a209.86.89.64&run=toolpage). - 見てください、彼は3つのブラックリストにリストされています! その下にはまだ別の記録があります。

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

しかし、これがメールの本当の送信元であることに注意してください。ブラックリストの苦情は、詐欺師が自分の痕跡を消したり、_偽の痕跡を残したりするために追加したものかもしれません。domain.comのサーバが無実で、209.86.89.64の真の攻撃者の中継地点に過ぎない可能性もある。この場合、209.86.89.64はクリーンなので、攻撃が168.62.170.129から行われたことはほぼ確実である。

もう一つの注意点は、AliceはYahoo！(alice@yahoo.com)を使用しており、168.62.170.129はYahoo！ネットワーク上には存在しないということである。したがって、このメールはアリスからのものではなく、フィリピンにお金を送るべきではないと安全に結論づけることができます。

IPアドレスを探すには

Replyの横にある逆三角形をクリックします。オリジナルを表示」を選択します。

角括弧[]の間に IP アドレスが続く Received: from を探します。(例: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

複数の Received: from パターンが見つかった場合は、最後のものを選択してください。

ソース )

その後、 pythonclub site , iplocation.net , ip lookup で場所を調べることができます。

どのようにしてヘッダーを取得するかは、メールクライアントによって異なります。多くのクライアントでは、メッセージの元のフォーマットを簡単に見ることができます。その他のクライアント(MicroSoft Outlook)では、これをより困難にしています。

誰が本当にメッセージを送ったのかを特定するには、リターンパスが便利です。しかし、これはなりすましの可能性があります。Fromアドレスと一致しないReturn-pathアドレスは疑われます。例えば、メーリングリストから転送されてきたメッセージや、ウェブサイトからのリンクのように、それらが異なるのには正当な理由があります。(ウェブサイトがリンクを転送した人を特定するために Reply-to アドレスを使用した方が良いでしょう)。

受信したヘッダから上から下に読み込んだメッセージの発信元を特定する。いくつかあるかもしれません。ほとんどは、メッセージフォームを受信したサーバーのIPアドレスを持っているでしょう。あなたが遭遇するいくつかの問題。

• 一部のサイトでは、スキャン後にメッセージを再送するメッセージをスキャンするために外部プログラムを使用しています。このようなサイトでは、ローカルホストやその他の奇妙なアドレスが導入されている可能性があります。
• 一部のサーバーでは、内容を省略してアドレスを難読化しています。
• 一部の SPAM には、誤解を与えることを目的とした偽の受信ヘッダが含まれています。
• プライベート(10.0.0.0.0/8、172.16.0.0.0/12、192.168.0.0.0/16)のIPアドレスが表示されることがあります。

インターネット上のどのサーバがメッセージを送ってきたのかは、常に判断できるはずです。さらにさかのぼって追跡するには、送信サーバの設定に依存します。

私は http://whatismyipaddress.com/trace-email を使っています。Gmailを使っている場合は、オリジナルを表示をクリック（More上、Replyボタンの横、ヘッダーをコピーしてこのサイトに貼り付け、Get sourceをクリック）。すると、ジオロケーション情報と地図が返ってきます。

また、メールヘッダを分析してメールデータを抽出するツールもあります。MSGTAG

1. PoliteMail

2. スーパーメールマーケティングソフトウェア

3. Zendio