迷惑メールが届いたとき、受信拒否や報告をする前に、送信元を詳しく確認したい場面があります。特に会社の業務に関わるメールアドレスを装ったフィッシングやなりすましの場合、表面的な差出人だけでは判断できません。Gmailにはメールのヘッダー情報(メッセージソース)を表示する機能があり、そこから送信元IPや認証結果を読み取ることが可能です。本記事では、受信トレイに届いた迷惑メールのソースを確認する具体的な手順と、確認すべきポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: Gmailの該当メールを開き、「メッセージのソースを表示」をクリックして生のヘッダー情報を取得すること。
- 切り分けの軸: 送信元IPアドレス(Received from)、SPF/DKIM/DMARCの認証結果、FromアドレスとReturn-Pathの不一致の有無を確認し、正規の送信元かどうかを判断する。
- 注意点: 会社PCでヘッダー情報を安易に変更したり、独自のフィルタリングルールを追加すると、組織のセキュリティポリシーに影響を与える可能性がある。管理者に報告する場合はソースのコピーを正確に共有することが重要。
ADVERTISEMENT
目次
迷惑メールの送信元を確認するためにメッセージソースを開く方法
Gmailでは、メールごとに完全なヘッダー情報(メッセージソース)を表示できます。以下、代表的な環境での手順を説明します。
Gmailウェブ版での手順
- ブラウザでGmailを開き、迷惑メールフォルダまたは受信トレイから対象のメールを選択します。
- メールを開いた状態で、右上の三点リーダー(その他)をクリックします。
- 表示されたメニューから「メッセージのソースを表示」を選択します。
- 新しいタブに「Original Message」と題されたソースコードが表示されます。ここからヘッダー情報全体が確認できます。
- 必要に応じて、ソース全体をコピーしてメモ帳などに保存しておくと便利です。
Gmailモバイルアプリでの手順
- Gmailアプリで対象のメールを開きます。
- メール下部または右上の三点リーダーをタップします。
- 「メッセージのソースを表示」をタップします。
- ヘッダー情報が画面に表示されるので、スクロールして確認します。コピーする場合はテキストを長押しして選択してください。
Outlookなど他メーラーからGmailを利用している場合
IMAPやPOPでGmailを他のメーラーに接続している場合、メーラーの機能でメッセージソースを表示します。Outlookではメールを開き、「ファイル」→「プロパティ」→「インターネットヘッダー」で確認できます。ただし、Gmail側で受信した後のヘッダーが一部省略されることがあるため、完全な情報が必要な場合はGmailウェブ版で直接表示することをおすすめします。
メッセージソースで確認すべき重要な項目
ソースには多くの行がありますが、特に注目すべき項目を以下で説明します。
送信元IPアドレス(Received from)
メールが通過したサーバーのIPアドレスが記録されています。最下部のReceived行が最初の送信元に近いため、最終的にGmailに届くまでの中継を追跡できます。このIPが既知のスパムリストに載っているか、企業の正当なメールサーバーと一致するかを確認します。例えば「Received: from mail.example.com (mail.example.com. [203.0.113.5])」のように書かれています。
SPF、DKIM、DMARC認証結果
Authentication-Results ヘッダーに、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)の認証結果が記されています。それぞれ「pass」「fail」「neutral」「softfail」「temperror」などの値が表示されます。なりすましメールの多くは認証に失敗するため、この情報が強い判断材料になります。
FromアドレスとReturn-Pathの比較
From は表示される差出人アドレス、Return-Path(またはEnvelope-From)はバウンスメールが戻る実際のアドレスです。両者が異なる場合、特にFromが有名企業のドメインでReturn-Pathが無関係なドメインなら、高い確率でなりすましです。例えば「From: support@amazon.com」「Return-Path: spam@evil.com」のようなケースです。
具体的なソースの読み方と判断基準
以下に主なヘッダー項目を表にまとめました。この表を参考に、メールの真偽を判断してください。
| 項目 | 説明 | 確認目的 | 判断基準 |
|---|---|---|---|
| Received from | メールが通過したサーバーのIPとホスト名 | 送信元の特定 | IPが自社ドメインや信頼できるサービスの範囲内かどうか |
| SPF | 送信サーバーがドメインのSPFレコードに許可されているか | なりすましチェック | passなら信頼できる可能性が高い。failなら疑わしい。 |
| DKIM | ドメインの秘密鍵で署名され、改ざんがないか | メールの完全性確認 | passなら改ざんされていない。failなら破損または偽造の可能性。 |
| DMARC | SPFまたはDKIMの結果とFromドメインのポリシーが一致するか | ドメイン保護状況の確認 | passならなりすましの可能性が低い。quarantineやrejectなら迷惑メール扱い。 |
| From | 表示される差出人のメールアドレス | 見かけ上の送信者 | Return-Pathや認証結果と照らし合わせる。不自然なドメインは要注意。 |
| Return-Path | バウンスメールの送信先アドレス | 実際の送信元 | Fromと一致しない場合はなりすましの確率が高い。 |
迷惑メールの種類別に見るべきポイント
なりすましメールの場合
よくあるのが、銀行や運送会社を装ったメールです。この場合、Fromアドレスは本物に似せていますが、Return-Pathはまったく別のドメインであることが多いです。また、SPFやDKIMがfailになるケースが大半です。ソース内の「Authentication-Results」行を最優先で確認しましょう。認証がすべてpassでも、ドメイン自体が悪意のあるものの場合は、IPアドレスやURLを調べる必要があります。
フィッシングメールの場合
フィッシングメールは、ユーザーに偽のサイトへ誘導するリンクを含みます。ソース内のリンク先(href属性)を直接確認することで、表示上のURLと実際のリンク先の違いを見抜けます。メール本文のHTMLを解析する必要がありますが、メッセージソースのContent-Typeがtext/htmlの場合、本文中にリンクが含まれています。例えば「http://bank.com/」のように記述されていれば明らかに怪しいです。
大量送信スパムの場合
広告やチェーンメールなど、大量にばらまかれるスパムは、送信元IPやMessage-IDに特徴があります。Message-IDに乱数列や無意味な文字列が含まれている場合、スパムの可能性があります。また、Received行のIPをWhois検索すると、スパム常連のホスティング会社であることが多いです。ただし、正常なメールでもMessage-IDが不自然な場合があるため、単独で判断せずに他の要素と組み合わせてください。
よくある失敗パターンと注意点
メッセージソースを確認する際には、次のような失敗を避ける必要があります。
- SPFやDKIMの結果だけで判断してしまう: 認証がpassでも、ドメインが乗っ取られていたり、正規のメールサーバーがスパム送信に利用されていることがあります。必ず他の要素(本文の内容やリンク先)も確認してください。
- Received行の順序を誤解する: 最初のReceived行が最も新しい(Gmail受信時)ため、送信元を特定するには最下部のReceived行を読みます。逆順で見ると中継元を間違えます。
- 会社のPCで不正なリンクをクリックしてしまう: ソース内のリンクを確認するときは、クリックせずにテキストとしてコピーするか、ブラウザのデベロッパーツールなど安全な方法で調べてください。
- 誤ったフィルタリング設定: ソースだけで判断して受信拒否ルールを作成すると、正当なメールまでブロックする恐れがあります。管理者の承認を得てから設定を変更しましょう。
管理者に報告する際の情報のまとめ方
組織全体で対策を取る必要がある場合、管理者に以下の情報を提供するとスムーズです。
- メッセージソース全体のコピー(テキストファイルとして添付)
- 確認した日時と自分のメールアドレス
- 疑わしい点(SPF fail、Return-Path不一致など)を簡潔にまとめたメモ
- メールの件名と差出人表示
- 可能であれば、送信元IPの位置情報(GeoIP)やブラックリスト登録状況
管理者側では、組織のSPF/DKIM/DMARC設定を見直したり、ゲートウェイでブロックするルールを追加するなどの対応が可能です。
よくある質問
Q. メッセージソースが表示できないのですが?
A. 主な原因は、ブラウザの拡張機能が干渉しているか、Gmailの表示設定で「簡易HTML」モードになっていることです。拡張機能を無効にするか、標準ビューに切り替えてください。また、会社のセキュリティポリシーでソース表示が制限されている場合は管理者に問い合わせてください。
Q. ヘッダー情報の一部が省略されているように見えます。
A. Gmailは一部のヘッダーをユーザーに表示しないことがあります。特にReceived行が短い場合、内部的な中継が省略されている可能性があります。より詳細な情報が必要な場合は、Google Workspaceの管理コンソールからメールログを確認する方法もあります。
Q. ソースに書かれているIPアドレスをブロックしてもいいですか?
A. 個人レベルでは避けてください。IPアドレスは動的に変わることがあり、正当なサービスを誤ってブロックするリスクがあります。組織全体でブロックする場合は、管理者がIPレピュテーションを確認した上で判断すべきです。
まとめ
迷惑メールの送信元を詳しく調べるには、Gmailのメッセージソースを開き、Received、Authentication-Results、FromとReturn-Pathの違いを確認することが基本です。認証結果だけでなく、IPアドレスの信頼性やリンク先のURLも併せて精査することで、なりすましやフィッシングを見抜く精度が高まります。会社のセキュリティを守るためには、個人で過剰な対策を取るよりも、管理者と連携して組織全体の設定を適正化することが重要です。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Gmail】なりすましメールを見分けたい時の送信元と認証情報確認
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】スマホを機種変更した後に認証できない時の確認
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Gmail】配信不能通知が返る時の宛先入力とドメイン確認