０．基本的な基礎知識は

「ヘッダ解析とは何か」

　

をまず参照して下さい。

１．メールソフトでヘッダ全体をコピーします。届いたメールのメールヘッダがどこに記述されているかはメールソフトにより違いますので

スパムの被害に遭い始めたら
http://www2g.biglobe.ne.jp/~stakasa/spam/shouhai-spam1.html#guaishi

のリンク先等を参考にしてください。ヘッダ全体を選択し、コピーします。

２．hdparシステムのフィールドにヘッダの全文を張り付けし、送信ボタンを押します。

３．慌てず騒がず、しばらくお待ち下さい。解析結果が出てきます。反応の遅いデータベース先を参照しているとそこで待たされてしまうので、このシステムでは最大30秒弱程待つことがあります。

　ヘッダから見つけた解析すべきIPアドレスが抽出されます。

　まず基本的なことは

「新しく残されたIPアドレスほど上の方についている」
すなわち
「下の方につくIPアドレスほどスパム送信者に近い所である」

ということです。

　一般にスパムメールは複数のサーバを経て届くことが多く、しかも別々なネット業者を使うことで責任の所在を曖昧にさせたり、アカウント抹消に備える傾向があります。そのようなスパムの場合、ヘッダを解析するとIPアドレスも複数抽出されます。IPアドレスが複数残っていて、それぞれが別なネット業者のものである場合、処置依頼は原則的に複数のネット業者全てに送ることになります。

　ただし偽造された部分の多いヘッダでは、残っているIPアドレスの記録が信頼できないことがあります。特に下の方（スパマーに近い方）のIPアドレスになるほど信頼できなくなります。

　唯一偽造されていないと確信できるのは上の方にあるIPアドレス（正確に言えば受け取り側サーバが送信先に関して記録したＩＰアドレス）ですので、２，３番目以降の解析結果は無視する手もあります。

　その一方で、受信者の使っているメール環境によっては、受け取り側で複数のサーバを使っている場合もあります（転送アドレスなど）。その場合には逆に１番目などの解析結果が信用できない、というよりも自分がサービス受けているネット業者にスパム苦情をしてしまうことになり、極めて「とんちんかん」な行為になります。このことだけは特に注意しましょう。

　さて、上の図に書いてあるように、解析したヘッダの下には、それぞれのIPアドレスについて解析した結果が同じ頁に載せられます。これを簡易解析結果と呼びます。その解析結果の意味することを述べていきます。

４．簡易解析結果で赤字によって「上策の苦情先」というメールアドレスが出る場合があります。

　ここの苦情先メールアドレスがもっと適切な苦情先であり、これが出力された場合にはそのIPアドレスの苦情先はそこであると考えて構いません。（「上策という言葉について」）

　ちなみに上策の苦情先として出てくるものは以下のようなデータです。

ABUSENET： 　外国のシステムで世界中のネット業者の苦情先をデータベース化しているabusenetというものがあります。そのIPアドレスを解析したの結果、そのサーバの苦情先がABUSENETに登録されていることが確認できた場合に出てきます。 　ここのメールアドレスは登録された苦情先メールアドレスですから、非常に信頼性が高いものです。もしこれが出てくればそこが正しい苦情先です。 　ただし若干不具合が残っており、やたら長いアドレスや、nicという文字が入っている苦情先メルアドが表示されることがあります。これは不適切な苦情先ですので読み飛ばして下さい。 TAROKAWADB： 　制作者のかわはら氏が独自に集めた苦情先データベースです。ABUSENETが無く、このアドレスがある場合にはこれを処置依頼先とします。ほぼ信頼できるものです。 TAROKAWAIP： 　やはりかわはら氏の独自なデータベースです。これがメールアドレスになっており、上の二つがないならばここを処置依頼先とします。

　以下、残りについて説明します（一般に必要がありませんので読み飛ばして下さい）。

PTR：

　この文字列はIPアドレスをドメイン名に対応させたものです（多分^^;;）。ここの文字列はIPアドレスが関係するプロバイダーのドメイン名であることが多くあります。その為に、たとえば
「aaaa.bbbb.provider.ne.jp」
というものだった場合、
「http://www.provider.ne.jp」
のホームページを見てみるとプロバイダーの筆頭頁である場合があります。
　もし１，２が出ていなくて、これだけが出ていた場合、この文字列からプロバイダーのサイトを見つけ、さらに苦情窓口が明記していないか探す方法があります。
　もしそれが面倒な場合には５に進んでしまいましょう。

SOA：
　難しいことはおいておき、取りあえず送信サーバの存在する可能性のある管理者（postmaster）のアドレスを表示するようです。しかしながら存在するかの確認は不十分ですし、適切な苦情先とは限らないので、ここのアドレスに送ることは行いません。

NS：
　ネームサーバと呼ばれるものですが、苦情先を探すためには直接は使えないので無視します。

５．もし簡易結果で「上策の苦情先」すなわちabusenetやKAWATARODBのメールアドレスが無かった場合、更に検索を進める必要があります。前節で「上策の苦情先」が出た場合には、このIPアドレスに関してはこれ以上調べる必要は基本的にありませんので６番に行って下さい（ただし以下をすることで、具体的にどういう名前のネット業者なのか、日本の会社か、外国の会社かなどを判別できます）。

　簡易結果で上策が出なかった場合、「GeekTools結果」という部分をクリックします。別な窓（Window）が立ち上がり、このIPアドレスに関する登録結果が表示されます。このGeekToolsというのは外国のサイトGeek ToolsのWhoisを日本語版に直して当サイトで提供しているものです。

　GeekToolsの結果というのは世界中のIPアドレス所有者のデータベースいわゆるＮＩＣのWhoisの結果を参照しています。Whoisのデータベースは通常は分散しているので、統一的な検索が困難ですがGeek Toolsなどではそれを統一的に調べることが可能になっているのです。

（なお、もし時間がかかって表示されないときは「ipseek」を参照して下さい。これはhdparを提供しているかわはら氏によって提供されているもので、GeekToolsと同じような機能を果たします。）

GeekTools（Whois）の見方（その結果からの苦情先メールアドレスの探し方）については、いくつかパターンがありますので、別な頁【詳細説明-2/GeekTools(Whois)結果の見方】で詳しく解説しています。そちらを御覧下さい。

６．自分側のサーバ以外の、スパムが通ってきた中継サーバ、送信サーバのIPアドレス全てについて４と５を繰り返し、処置依頼先のメールアドレスを見つけていきます。

７．さて、上のようにして処置依頼先が多くの場合、複数見つかると思います（くれぐれも自分側のサーバの管理人には送らないこと！）。

　では上で出てきたメールアドレス全てに送るか、一部だけに送れば良いのでしょうか？これはなかなか難しい判断です。ヘッダの後半（メールの送信順序から言えば前半）では偽造されている可能性があるからです。前述のように、自分側のサーバが受け取った記録は正しいはずですので

Ａ．上の簡易結果で１番目から順番に見ていき、自分側に関係のないサーバが初めて出てきたらそこの管理人だけに送る。

という手段と

Ｂ．自分側に関係のないサーバの管理人全てに送る。

の２通りがあるでしょう。日本語のスパムでは2002/09現在、偽造されたヘッダは必ずしも多くないようです。最初は取りあえずＡの手段を取り、慣れてきてどうやら他のサーバも実際に関係したサーバのようだと分かるようになったらＢの方法を取るのも手でしょうか？

　なお複数の管理人に一つのスパムの苦情を送る場合には処置依頼メールの「宛先アドレス」に複数のメールアドレスを併記し、受け取った人々が他にどこに苦情が送られているのかが分かるようにしましょう。

８．具体的な処置依頼の書き方に関しては

「迷惑メール撲滅私的調査会」の「spamの被害に遭い始めたら」
の
「（四）送信の際に−苦情メールの書き方と省力化」

を参考にして下さい。