No.6 メールヘッダー 投稿者：京の住人 2001/12/01(Sat) 09:28:12 
これはメールに添付されるメールヘッダと云われる部分です。
サーバーの設定によっては表示される項目も若干異なりますが、
基本的な部分は共通しています。これをみれば他人へのなりすまし
なども判別できます。なおヘッダー中の「＊」マークは私が入れた
伏せ字です。これは29日に受信したウィルスメールのものですが、
送信者の方も被害者、ウィルスに感染して自動的に私のところに
送信されたものです。

--------------------------------------------------------------
Received: from dsmtp14.dion.ne.jp (dsmtp14.dion.ne.jp [***.5.*.116])
by hi-ho.ne.jp (8.9.3/3.7Wpl2:Pana) with ESMTP id NAA22850
for <kyoto@hi-ho.ne.jp>; Thu, 29 Nov 2001 13:34:52 +0900 (JST)
Received: from aol.com by dsmtp14.dion.ne.jp (8.9.3/3.7W-01070516)
id NAA24284; Thu, 29 Nov 2001 **:34:36 +0900 (JST)

　　　　　　　　　ここがまず重要部分です。下から上にReceived（受信）
　　　　　　　　　経路が記録されます。dsmtp14.dion.ne.jpと云う
　　　　　　　　　サーバーから発信されて、Panaと云うのは松下電器
　　　　　　　　　つまり私のhi-hoのサーバーに転送されていることが
　　　　　　　　　判ります。

　　　　　　　　　今回のウィルスとは異なりますが、この部分で送信
　　　　　　　　　サーバが記述されていないなどのメールも悪意なメールと
　　　　　　　　　判断するのが妥当です。直ぐにゴミ箱へ放り投げましょう。

Date: Thu, 29 Nov 2001 **:34:36 +0900 (JST)

　　　　　　　　　メールの発信時間です。

Message-Id: <200111290***.NAA24284@dsmtp14.dion.ne.jp>

　　　　　　　　　メールソフトでのスレッド管理などに使われている任意な
　　　　　　　　　番号のようです。サーバーが付けます。

From: "Xcｫ" <_*******@*****.ne.jp>

　　　　　　　　　発信者のメールアドレスです。
　　　　　　　　　悪意を持つ人はここを書き換えたりして、自前のサーバーを
　　　　　　　　　使ったりしてメール送信したりしますが、この場合
　　　　　　　　　Received情報との整合性が崩れるので、なりすましか
　　　　　　　　　どうかは、この点で判断できます。
　　　　　　　　　今回のウィルスメールの特徴のひとつ、アドレスの先頭に
　　　　　　　　　アンダーバーが入っています。通常は入りません。

　　　　　　　　　今回は送信アドレスと返信アドレスが同じなので表示されて
　　　　　　　　　いませんが、異なるときは「Reply-To:」と云う形も表示
　　　　　　　　　されます。

To: kyoto@hi-ho.ne.jp

　　　　　　　　　宛先です。私のメールアドレスです。

Subject: Re: 帽l醇・VolD 61

　　　　　　　　　タイトルです。今回はウィルスメールなので文字化けか
　　　　　　　　　何らかの問題が出ているようです。

MIME-Version: 1.0

　　　　　　　　　マルチメディアデータを扱うためのファイル形式の
　　　　　　　　　バージョンを示します。現在はVersion1.0しかありません。

Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="

　　　　　　　　　メ−ル本文の情報です。今回はウィルスが混入しているので
　　　　　　　　　multipart/related;とか表示されていますが、通常のテキストで
　　　　　　　　　あれば「text/plain」と表示されます。

X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Content-Transfer-Encoding: 8bit
X-UIDL: hihouidl000000023c05d8ba00000001

　　　　　　　　　通常のメールであれば、これ以下の部分が表示されることは
　　　　　　　　　ありません。今回はwavファイルの動作を促す記述があったり
　　　　　　　　　します。
　　　　　　　　　
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=#ffffff>
<iframe src=cid:EA4DMGBP9p height=0 width=0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="README.MP3.scr"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>