メールの.emlファイルを調査しても悪意があると判断できますか？

No。のようないくつかのSMTPフィールドがあります

MAIL FROM：-通常、Return-path：ヘッダーとして受信者に提示されますが、通常はエンドユーザーには表示されません。デフォルトでは、送信システムが送信を許可されているかどうかのチェックは行われませんそのアドレス。

また

From：Joe Q Doe-受信者に表示されるアドレス。ただし、デフォルトでは、送信システムがそのアドレスに代わって送信することを許可されているかどうかのチェックは行われません。

誰でも既存のメールアドレスを偽装できます。 自分のメールアドレスからメールを送ることもできます。

電子メールクライアントとその脆弱性に集中すると、ほとんどの場合、実際に送信されるemlファイルに証拠があります。たとえば、イメージレンダラのバッファオーバーフローやhtmlメールのhtmlパーサーのメモリ破損などが考えられます。これらの証拠は.emlファイルに存在します。明らかかどうか、それは別の問題ですが、特別なケースでは微妙な場合があり、ある種のツールでこれらを自動的に見つけることができるかどうかは問題です-ゼロデイ欠陥の場合はおそらくないでしょう。ただし、手動分析（フォレンジック）では、.emlファイルからこれらのタイプの攻撃を特定できます。

あなたにとって興味があるかもしれないし興味がないかもしれない別のことを考えることができます。攻撃者は、smtpサーバーが受信した電子メールを何らかの方法で作成し、後で同じサーバーがおそらくimapまたはpop3を介してクライアントにその電子メールを提供するときに攻撃が転送されるように、独自の欠陥を介してそのsmtpを危険にさらす可能性があります。 imapまたはpop3自体の中のクライアント。この場合、.emlファイルに証拠はなく、脆弱性は電子メールクライアントのプロトコル実装にありました。そのような攻撃は非常にありそうもないですが、それでも私は必ずしも不可能ではないと思います。

つまり、これを要約すると、クライアントは2つのチャネルまたはのいずれかを介して危険にさらされる可能性があると思います。サーバーからメールをダウンロードするために使用するプロトコルを介して、生の.emlファイル、またはにありますが、そのサーバーはユーザーによって制御されているため、はるかに少ないリスクをもたらす。

メールクライアントでコード実行が悪用された場合、実行された攻撃者のコードが実際にメールファイル自体を変更して証拠を隠す可能性があります。繰り返しますが、これは一般的なケースで実際に確実に行うことは非常に難しいと思いますが、理論的には不可能ではありません。ただし、別の攻撃で侵害されない限り、サーバー上には未変更の電子メールファイルがあります。

100％安全なものとして分類することはできません。

質問に適切に答えるために、電子メールのソース（またはヘッダー）だけで何かが安全かどうかを判断することはできませんが、安全でない可能性が高いかどうかを判断することはできます。何かが安全であるかどうかを知らなくても、それが危険であるとは限りません。

メールのセキュリティ、送信者からメールボックスまで

SMTPは設計上安全ではないため、送信者を認証しません。したがって、十分に巧妙な攻撃者は、Telnetを使用するだけで「安全に見える」電子メールを偽造できます。

SMTPをより安全にするいくつかのイニシアチブがあります：SPFやその他、認証されたSMTPサーバー、PGPなどですが、どれも広く普及していないため、smtpは信頼できません。

また、メールソースが同じリレーのカップルが通常、同じメーラーなどを示している場合でも、次の理由により攻撃者が対応するメールボックスを制御できるので、メールの安全性が確保されないことに注意してください。

• 通信相手が登録に使用した電子メールアカウントと同じ電子メールアドレスとパスワードを使用している公開サイトでの漏洩。

• ブルートフォース攻撃、FAI Webメールソフトウェアの脆弱性、コンピューター上のマルウェア。

• 誰かが彼のセッションをハイジャックします（階下に行ってタバコを吸う場合は、常にコンピューターをロックしてください）。

• 彼の前に銃を向け、そのメールを書くように言っている男性。

答えは明らかにNOです:)（そしてそうです、実際、あらゆる種類の通信は安全ではありません）

メールセキュリティ、メールボックス内（質問の編集のために追加）

元の質問が進化したので、答え続けましょう;-)

あなたが言うように、電子メールは悪意のあるコードを埋め込み、MUAに脆弱性を悪用する可能性があります。脆弱性は次の2つのカテゴリに分類できます。

• HTMLレンダラーの脆弱性
• 電子メールのエンベロープの脆弱性（基本的に、ヘッダーの解析など）。

今日、MUAのほとんどに、電子メールのエンベロープ解析のための改善された堅牢なコードが埋め込まれていることを願っています。エンベロープは何十年も変更されておらず、非常に基本的なものであるため（<ヘッダー名>：<ヘッダー値>）、この部分が安全であることよりも期待できます。しかし、「希望」だけです...回帰はあらゆる種類のソフトウェアで毎日導入されることを覚えておいてください（たとえば、CVE-2007-6165およびCVE-2006-0395を見てください）。

また、すべての脆弱性が公開されているわけではないため、未知のエクスプロイトが電子メールクライアントを悪用するために使用される可能性があることも覚えておいてください。

最後に、最悪でより危険な部分はHTMLレンダリングエンジンです。これは常に進化しているため、コードも進化し、攻撃者はこの特定のソフトウェアの脆弱性を悪用する可能性があります。 HTMLメールは、私見、メールの最も危険な部分です。

.emlを検査すると、脆弱性を悪用するより明白な試みを発見するのに役立ちます：不正な形式のヘッダー、奇妙な名前の添付ファイル（big_b00bs.jpg.exe）

しかし、攻撃ベクトルは他の多くのものになる可能性があるため、これはまだ電子メールを安全であると見なすには十分ではありませんだと思います。

しかし：

• hTMLレンダリングを無効にします。
• 画像の表示を無効にします。
• あなたは愛着に慎重です。
• 電子メールチェーンでウイルス対策（サーバー側を推奨）を使用している。
• サンドボックス化された電子メールクライアントを使用している。

あなたは90％安全だと思います:)

答えはNOです。特定の電子メールが本物のソースからのものであり、送信者が偽装されておらず、メッセージが悪意を持って変更されていないことを信頼する唯一の方法信頼できる認証局によって発行されたデジタル証明書による。

電子メールのデジタル署名と暗号化に使用される、広く使用されている典型的なアルゴリズムはRSAです。メッセージダイジェストは、メッセージの送信者だけが知っている秘密鍵を使用して暗号化されます。電子メールの受信者がメッセージを受信すると、送信者の公開鍵を使用してメッセージを復号化します。送信者が偽装されている場合、公開鍵は特定の一意の秘密鍵にバインドされているため機能しません。送信中にメッセージが何らかの方法で変更された場合、結果として復号化されたメッセージは破損していると見なされます。デジタル署名は、それらを生成するために使用される証明書が信頼できる場合にのみ信頼できます。つまり、送信者と受信者の両方のIDを保証するためにCAが必要です。