【レポート】電子メールとネットワークの仕組み

[レポート]電子メールとネットワークの仕組み

実験の目的と概要

 ネットワーク上に流れるパケットを観察することにより、電子メールとネットワークの仕組みを理解する。さらに、他人のパスワードやメール内容を簡単に見ることができることを発見する。また、セキュリティ対策(パケットの暗号化)することにより、パスワードやメール本文が見られなくなることを知る。

実験システムの構成および実験方法

「実験システム」

実験システムを図1として以下に示す。

図1:実験システムの構成

「実験方法」

(1)メールサーバとメールクライアントの設定を行い、メールの送受信ができるようにした。

(2)メールパケットをキャプチャすることにより、パスワードやメールの内容が読めることを確かめた。

(3)セキュアプロトコルSSLやTLSを使うことにより、パケットの内容が見られなくなることを実際に確かめた。

(4)メールヘッダを取得し、内容を解析することにより、電子メールの仕組みの理解を深めた。

普通の状態でのパケットキャプチャ

送受信したメールの内容

 Thunderbirdを用いてセキュリティ無しで送受信した様子を以下に図2,3として示す。

図2:送信メールの内容
図3:受信メールの内容

キャプチャしたパケットの内容

 Vigilを用いてセキュリティ無しで送受信した様子を以下に図4,5として示す。

図4:Vigilで表示したセキュリティ無しの送信メールの内容(SMTP)

SMTPサーバと端末とのやり取りでありIPアドレスは192.168.1.21で、Sourceで表示している。

図5:Vigilで表示したセキュリティ無しの受信メールの内容

POPサーバと端末のやり取りでありIPアドレス192.168.1.21でSourceで表示している。

図2,3のメールの送受信におけるSMTP,POPサーバと端末のやり取りを以下に図6,7として示す。

図6:Vigilで表示したSMTPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は25番で、Defaultで表示している。

図7:Vigilで表示したPOPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は110番で、Defaultで表示している。

他班(3班)のセキュリティ無しの送受信したメールの内容を以下に図8,9として示す。

図8:Vigilで表示した3班の送信メールの内容

SMTPサーバと端末とのやり取りでありIPアドレスは192.168.1.31で、Defaultで表示している。

図9:Vigilで表示した3班の受信メールの内容

POPサーバと端末とのやり取りでありIPアドレスは192.168.1.31で、Defaultで表示している。

分析と考察

 図2,3の内容が図4,5である。図4,5からjikken01,jikken02間でやりとりが行われていたことがわかる。図4からSubjectが件名であり最後に記載してある「a」の部分が本文であることがわかる。また図5では、件名が「=?ISO-2022-JP?B?MDEbJEIkRyG5ybC?=」と書かれている。件名は「=?文字コード?エンコード方式?エンコードデータ?=」と表されるため、文字コードがISO-2022-JP、エンコード方式がBase64、エンコードデータがMDEbJEIkRyG5ybCとなる。つまり、図3で示した受信メールの件名である「01です」がBase64によってMDEbJEIkRyG5ybCに変換されたことがわかる。続いて本文が「$B$*$0$h$&$4$6$$$^$9 (B」と書かれている。本文はASCIIコードで表されるため、JISコードのデータをASCIIコードに変換し、図3で示した受信メールの本文である「おはようございます」は「$B$*$0$h$&$4$6$$$^$9 (B」に変換されたことがわかる。

 図6,7を観察すると、赤文字が送信で青文字が受信であることがわかる。このことからSMTPは赤文字でPOPは青文字で表記され、赤文字はクライアントからのメッセージで青文字はメールサーバからのメッセージであることが言える。また、図6のMessage-ID~aまでの文は図4で示した送信メール内容と全く同じである。図7では、キャプチャの都合でReturn-Path~Subject:=?ISO-2022-JP?B?MDEbJEIkRyG5ybC?=までの文しか示されていないが、図5で示した受信メール内容と全く同じ文が示されていたと予想される。また、図6,7では図4,5のメール内容が表記されるまでにSMTPとPOPの間でやり取りが行われていることがわかる。つまり、このやり取りを行うことによって正確にメールの送受信が行われると考えられる。

 図8,9では他の班のメールの送受信が観察できている。これはセキュリティがかかっていないため可能になったと考えられる。

セキュアプロトコルを使用した場合のパケットキャプチャ

送受信したメールの内容

 Thunderbirdを用いてセキュアプロトコル(SSL)を使用した場合で受信した様子を以下に図10として示す。

図10:SSLを有効にした場合の受信メールの内容

キャプチャしたパケットの内容

 セキュアプロトコル(SSL)を使用したことによって発生した証明書を以下に図11として示す。また、Thunderbirdを用いてセキュアプロトコル(SSL)を使用した場合で送信した様子を図12に、セキュアプロトコル(SSL)を使用して送受信をしたパケットを以下に図13,14として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\10syomeisyo.png
図11:SSL使用後に発生した証明書
説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\11sousin.png
図12:SSLを有効にした場合の送信メールの内容
説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\14TCPDefault465.png
図13:Vigilで表示したSSLを設定したSMTPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は465番で、Defaultで表示している。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\13TCPDefault995.png
図14:Vigilで表示したSSLを設定したPOPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は995番で、Defaultで表示している。

分析と考察

 セキュリティ無しからSSLに設定したことによりポート番号の変化が観察できた。SSLを設定したことによりポート番号が送信時では25番から465番に、受信時では110番から995番に変わったことがわかる。また、図13,14は大部分が文字化けしているが、Hosei Univ…以下には「AI-JIKKEN Private CA」や「JP」、「Tokyo」、「Koganei」、さらに「staff@ai-jikken.k.hosei.ac.jp」などの文字化けされていない情報も見られた。これらより、図11の証明書は法政大学が独自に作成されたものだと考えられる。

 セキュリティ無しでメールを受信したときには警告されなかったが、SSLを設定して受信したときは図11の警告文が表示された。その理由として、認証局が正式に発行した証明書ではなく法政大学が独自に発行した証明書であったことが挙げられる。

メールヘッダの分析

分析したメールのソース

 受信したメールのヘッダを以下に図15として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\12hedda-.png
図15:受信メールのヘッダ

分析と考察

 図15のヘッダの内容は、件名、差出人、送信日時、宛先などが記載されている。その中で、Return-Pathは返信先を示すため「jikken01@ai-jikken.k.hosei.ac.jp」に返信していることがわかり、ReceivedはReceived以降が「from 転送元サーバ by 転送先サーバ [via 接続プロトコル]

[with 転送プロトコル(SMTPESMTP]

id ユニークID for 宛先メールアドレス ; 転送日時」と表されるため、転送元サーバは「192.168.1.11」、転送先サーバは「mail.ai-jikken.k.hosei.ac.jp」、転送プロトコルは「ESMTP」、ユニークIDは「24C4D28780B0」、宛先メールアドレスは「jikken02@ai-jikken.k.hosei.ac.jp」、転送日時は「Thu,24 Oct 2013 13:47:58 +0900(JST)」(2013年10月24日 木曜日 13時47分58秒)となる。また、Message-IDは「Unique ID@ドメイン名」と表され、ID自体は全世界で唯一のものとならなければならない。図15では「5268A67B.6010107@ai-jikken.k.hosei .ac.jp」と表記されており、@以降の部分が送信元の@以降の部分と一致するためメールの信頼性は高いと判断できる。

TLS

送受信したメールの内容

 Thunderbirdを用いてセキュアプロトコル(TLS)を使用した場合で送受信した様子を以下に図16,17として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\TLS送信.png
図16:TLSを有効にした場合の送信メールの内容
説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\TLS受信.png
図17:TLSを有効にした場合の受信メールの内容

キャプチャしたパケットの内容

セキュアプロトコル(TLS)を使用した場合のSMTP,POPサーバと端末のやり取りを以下に図18,19として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\16TLS_TCP110.png
図18:Vigilで表示したTLSを設定したSMTPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は110番で、Defaultで表示している。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\15TLS_TCP_25.png
図19:Vigilで表示したTLSを設定したPOPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は25番で、Defaultで表示している。

分析と考察

 セキュリティをSSLからTLSに設定したことによりポート番号の変化が観察できた。TLSを設定したことによりポート番号が送信時では465番から25番に、受信時では995番から110番に変わったことがわかる。このことから、セキュリティ無しの場合とTLSの場合ではポート番号が同じであることがわかる。つまり、メール内容が文字化けをしたとき、ポート番号が変化するのがSSL、変化しないのがTLSという判別をすることができる。

  セキュリティをかけていない図6,7と図18,19を比較すると、TLSを設定したことによって個人情報などのメール内容が文字化けされていることがわかる。これにより、TLSはポート番号を変えることなくセキュリティをかけることが分かる。

 図18,19より文字化け開始部分はSTLS,STARTTLSからであることが分かる。このことから、送信側、受信側が共にTLSを設定しなければ文字化けしないのではないかと考えることができる。また、図中のHosei Univ…以下には「AI-JIKKEN Private CA」や「JP」、「Tokyo」、「Koganei」など、文字化けされていない情報も見られた。図19の初めに「mail.ai-jikken.k.hosei.ac.jp」と記載されている。これは図11における証明書の発行対象の一般名称と同じである。つまり、SSLで受信したときに公開鍵の使用を許可され臨時的にTLSでも使用が許可されているため警告は発生しなかったが、証明書は利用されていると考えられる。

画像を添付した場合のパケットキャプチャ

画像を添付したメールの送受信

 Thunderbirdを用いて画像を添付して送信したメールの様子を以下に図20として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\gazososhin.png
図20:画像が添付された送信メール

キャプチャしたパケット内容

 SMTPサーバと端末のやり取りを以下に図21として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\17画像TCP25.png
図21:Vigilで表示した画像を添付した場合のSMTPサーバと端末のやり取りの内容

IPアドレスは192.168.1.21でありTCPポート番号は25番で、Defaultで表示している。

分析と考察

 図21と画像を添付しなかった場合と比較すると図21にはContent-Type: image/png;文以下の文が追加されている。この追加された部分は画像の内容であると考えられる。その部分からimage形式がpngで、エンコード方式がBase64、文字コードがISO-2022-JPであることが読み取れる。また、filename…の下にある四角形になっている文字列は添付した画像の情報が書かれていると考えられる。

HTTPの観察

HTTPの観察内容

 Internet Explorerを用いてYahoo!JAPANのサイトを閲覧した。このサイトをVigilを用いて表示した。観察した時のVigilの画面を以下に図22として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\18httpの観察画像.png
図22:HTTPを観察した時のVigilの画面

IPアドレスは192.168.1.125で、Defaultで表示している。

分析と考察

 Vigilを用いて、自身がInternet Explorerを用いてYahoo!JAPANを閲覧したことを証明できた。このことより、Vigilを用いれば閲覧したサイトに辿り着くことができることがわかった。

DNS

DNSの動作内容

 DNSの動作内容を以下に図23として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\20DNS.png
図23:Vigilで表示したDNSの動作内容

分析と考察

 図23はVigilを用いて法政大学のドメイン名をもとにIPアドレスを調べた内容である。

DNSへの質問はwww.hosei.ac.jpであり、DNSからの回答は133.25.0.103である。これより、DNSによってドメイン名からIPアドレスを求められたことがわかる。DNSを利用することにより人が理解しやすいドメイン名からコンピュータが理解しやすいIPアドレスに、またはIPアドレスからドメイン名に変換される。

パスワード復元

パスワード復元のキャプチャ

 パスワード復元のキャプチャを以下に図24として示す。

説明: C:\Users\wada\Desktop\情報工学実験\D\D-1\D1\21パスワード復元.png
図24:ウェブサイト上のデータ変換ツールを用いて変換した様子

分析と考察

 データ変換ツールとはBase64方式でエンコードされていた文字列をデコードするツールである。これを用いることによって「AGppa2tlbjAyAGppa2tlbg==」からユーザー名である「jikken02」、パスワードである「jikken」が得られた。このことより、解読が困難なデータはデータ変換ツールを用いて変換することによって簡単にユーザー名やパスワードが明らかとなってしまうことがわかる。

まとめ

 今回の実験ではセキュリティ有り無しでのメールの送受信を観察するものだった。セキュリティにはSSLやTLSと言ったものがあり、これらを設定することによって外部からの盗聴や改ざんを防げることが分かった。

【参考資料】

 ・実験指導書D1

 ・D1,D2参考

 ・メールの基礎知識

http://e-mail.pc-beginner.net/mail/ascii_mime.html

 ・SSLサーバ証明書ってなんですか?

 「https://www.sslcerts.jp/?ssl=sp

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です