●パソコン初心者向け・詐欺メールや怪しいメールの「超簡易ヘッダ判定方法」
まず前提:
怪しいメールは絶対に開かない。即削除。
本文のURLは絶対にクリックしない。
添付ファイルは絶対に開かない。
そして、「迷った時もすべて同上」!!
■ 0)ざっくりチェック(補助)
「Return-Path:」や「Message-ID:」の
**@以降(ドメイン部分)**を、過去の正常メールと比較して、
明らかに違う場合はかなり怪しい。
また、「あきらかに日本の感じじゃない、自分が知らない変なアドレス、日本の会社名が含まれない」なども、かなり怪しい。
→ 基本、それらだけでも開かないほうがいい。
もちろん、本文URLのクリックや添付ファイルのオープンも厳禁。
※ただしこれは補助判断(これだけで確定しない)
=======
さらにちゃんと調べたい場合。
=======
■ ①
メールヘッダをテキストファイルにコピペして、
「Authentication-Results:」 を探す。
(Ctrl+Fの検索操作で探すと便利です。これ以降のチェックワードも同様。)
※「ARC-Authentication-Results:」は参考程度。
「Authentication-Results:」とだけ書かれているほうを使う・見る。
※無い場合は③④を参考にする
■ ②
次を見る:
Authentication-Results に
「dmarc=fail」がある → 即無視か削除。(ほぼ詐欺)
※「dmarc=pass」なら少しOK。
でも完全に安全とは限らないため油断しない。
■ ③
dmarcが無くても:
spf=softfail または fail
かつ
dkim=none
この組み合わせならかなり怪しい(要注意)
※dkim=none 単独では判定できないが、この組み合わせなら危険度が高い
※確定ではないが、基本は
無視か削除。・開かない・本文URL絶対無視・添付ファイルOpen厳禁、でOK。
■ ④ さらに確認(余裕があれば)
smtp.mailfrom の=の右辺(ドメイン)の国籍
smtp.remote-ip の=の右辺(IPアドレス)の国籍
この2つを調べて:
お互いの国籍が異なる場合(というか明らかに不自然な場合)なら無視か削除。
(例:いずれかの国籍が日本なのに、もういずれかが南米など)
※ただし Google や Microsoft などの有名サービスは海外サーバ(アメリカなど)が普通なので例外
■ IP・ドメインの国籍の調べ方
IPアドレスの国籍調査
https://www.geolocation.com/ja?
ドメイン名の国籍調査(IPアドレスもOK。)
https://www.cman.jp/network/support/ip.html
