YAHOO(下記の)メールヘッダーで相手のIPアドレスを教えて下さい。メールアドレスは伏せています。文字数オーバーだったので一部省いてます。メールヘッダのReturn-Path: <xxx@xxx.xxx>などのメールの部分が××なのが原因なのかどうかはわかりませんが、調べたらアメリカになります。たぶん個人情報なのでふせているとは思いますが・・・××などの部分がちゃんと表示された状態で下記アドレスのサイトにメールヘッダーをコピーアンドペーストしてもう一度調べ直してください。
http://www.aguse.jp/?m=m
質問では伏せてありますけど、送ってきた人って Hotmail とかの Webメールですよね。
# yahoo っぽいんだけど、yahoo から gmail に送ってみたら、ずいぶん、違ってた。
X-Originating-IP: [209.85.215.44]
このヘッダに書かれているアドレスがクライアントのアドレスのはずです。
Received ヘッダの最後は、メールを処理した Webサーバのアドレスになります。
| ▽3
●
JULY ●100ポイント  ベストアンサー |
基本は Received ヘッダを追います。
Received: from 209.85.215.44 (EHLO mail-lpp01m010-f44.google.com) (209.85.215.44) by mta519.mail.kks.yahoo.co.jp with SMTP; Sun, 18 Mar 2012 18:17:11 +0900
最初に登場する Received ヘッダが、メールの中継で最後に記録されたもので、上記のヘッダは、
と言っています。で、ちょっと明示的ではないのですが、「(209.85.215.44)」と括弧書きで IP アドレスが再び登場しているのは、IP アドレスを逆引きした結果が無かった事を表していると思われます。実際、逆引きの結果はありませんでした。
その次、
Received: by lagj5 with SMTP id j5so4100648lag.3 for <xxx@yahoo.co.jp>; Sun, 18 Mar 2012 02:17:09 -0700 (PDT)
lagj5 というサーバが、米国太平洋夏時間で 2012 年 3 月 18 日 2:17:09 に、xxx@yahoo.co.jp 宛のメールを受け取った、という記録です。
この「lagj5」と名乗るサーバの実態がどんな物かは不明ですが、これより上の Received ヘッダで記録された 209.85.215.44 の IP アドレスを持つものだと思われます。
この「lagj5」がどこから受け取ったのかは記録されていません。
Received: by 10.112.24.196 with SMTP id w4mr3149595lbf.62.1332062229078; Sun, 18 Mar 2012 02:17:09 -0700 (PDT)
Received: by 10.112.113.3 with HTTP; Sun, 18 Mar 2012 02:17:09 -0700 (PDT)
続く Received ヘッダは 10.112.24.196 と 10.112.113.3 で受信された、という記録で、それぞれ、どこから届いたかの記録はありません。
なので、ここから推定されるのは、
という順序です。
最初の2つはプライベートアドレスなので、組織内のサーバだと思われます。また、lagj の IP アドレスは、NAT 後の IP アドレスで lagj 自身はプライベートアドレスの可能性もあります。
で、もうちょっと突っ込んだところ読み取ると、
Received-SPF: pass (mail-lpp01m010-f44.google.com: domain of xxx@xxx.xxx designates 209.85.215.44 as permitted sender) receiver=mail-lpp01m010-f44.google.com; client-ip=209.85.215.44; envelope-from=xxx@xxx.xxx;
これは、Yahoo 側が SPF による検証した結果は「pass」、つまり、正規のメールだと思われると判断しています。
「envelope-from=xxx@xxx.xxx」の「xxx.xxx」というドメインに SPF がレコードが設定されていて、209.85.215.44 という IP アドレスは、その SPF レコードの記述に合致している事になります。
ちなみに、実際に google のサービスを使った時に設定される SPF レコードを確認すると、209.85.215.44 は、この範囲に入っています。
$ dig _spf.google.com txt ; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.jun.1 <<>> _spf.google.com txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17277 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0 ;; QUESTION SECTION: ;_spf.google.com. IN TXT ;; ANSWER SECTION: _spf.google.com. 300 IN TXT "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all" ;; AUTHORITY SECTION: google.com. 86552 IN NS ns1.google.com. google.com. 86552 IN NS ns3.google.com. google.com. 86552 IN NS ns2.google.com. google.com. 86552 IN NS ns4.google.com. ;; Query time: 1211 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Apr 4 22:10:54 2012 ;; MSG SIZE rcvd: 320
ANSWER SECTION のところを見ると、「ip4:209.85.128.0/17」が該当します。
といったところから、おそらく相手は、自組織のメールに Google Apps を使っていると思われます。
Google Apps for Business | 公式ウェブサイト
