Fishing Mail の識別
December 11, 2017 – 4:25 pm最近、古くから使っているMail Address(OCN Mail)宛てにSpam Mailが頻繁に送られてくる。
Spam Mailの大部分は実在の機関を名乗っており、差出人(送信者)のメールアドレスも機関のそれになっているので始末が悪い。
困ったことに、メールの送信用プログラムSMTPでは送信者用のアドレスを詐称することが可能だ。
Spamかどうかの判別にMail HederにあるSPF情報を使うことができる。以下、私のところに送信されてきたSpam Mailについてこの情報を眺めてみる。
受信したSpam Mail:
私が受け取ったSpam と疑われるものには次のようなものがあった困ったことに、メールの送信用プログラムSMTPでは送信者用のアドレスを詐称することが可能だ。差出人のアドレスで、受け取ったメールが。
件 名 差出人(メールアドレス)
カード利用のお知らせ 楽天カード株式会社(myinfo@rakuten.co.jp) 三菱UFJ信託銀行・口座開設申込受付 三菱UFJ信託銀行(account_post@tr.mufg.jp) Apple iTunes E-mail Apple(itu12@apple.co.jp)
上掲のメールアドレスのドメイン名はいずれも実在のものだ。
Header情報でSpamメールを識別:
上掲のメールのうち、楽天カード株式会社を詐称したメールのheaderのうち、SPF情報を示すReceived SPFとAuthentification-Results について具体的に見てみると以下のようになっている:
Received-SPF
softfail (mf-ofc-ucb062: domain of transitioning dose not designate client-ip as permitted sender) client-ip=187.162.91.197; envelope-from=myinfo@rakuten.co.jp; helo=187-162-91-197.static.axtel.net;Authentification-Results
mf-ofc-ucb062; spf=softfail smtp.mailfrom=myinfo@rakuten.co.jp
Received-SPFの最初に softfail、そしてAuthentification-Resultsには spf=softfail となっていることが確認できる。
送信元の実際のドメインと差出人のメールアドレスのドメイン名が確実に一致している場合、このspfの項はpassとなる。
上に示した例では、softfailとなっており、メイルアドレスを詐称している可能性があることが分かる。
SPFについては、このブログを開始したころに触れたことがある(「送信ドメイン認証SPFって何だ?」。10年以上前の記事であるが、参考になるのかもしれない。