最近来るスパムメールはこの前晒したのと同じでフィッシィング系が主になってきました。
特徴としてはyahoo japanのメールサーバーを使用しており、基本適当なアドレスから送信されてきます。
時々だけれど個人の名前だったりするのでクラックされた人とかも送信元になっているのかもしれない。
で、このフィッシィングメールにはかなり特徴があるのですよ。
まず送られてきたメールヘッダー↓
Return-Path: <送信元アドレス@yahoo.co.jp> Received: from smtp505.mail.kks.yahoo.co.jp([114.111.99.166]) by kerberos20131106([127.0.0.1]) with ESMTP for <宛先アドレスA@wolfs.jp>; Tue, 14 Jan 2014 23:16:33 +0900 (Asia/Tokyo) Received: (qmail 41565 invoked by alias); 14 Jan 2014 14:16:36 -0000 DKIM-Signature: ...略... DomainKey-Signature: ...略... Received: from unknown (HELO ydlbgt) (119.116.230.123 with login) by smtp505.mail.kks.yahoo.co.jp with SMTP; 14 Jan 2014 14:16:36 -0000 X-Apparently-From: <送信元アドレス@yahoo.co.jp> X-YMail-OSG: ...略... Message-ID: <9B30BF268C0171E0A5769816242DBA61@ydlbgt> From: 三菱東京UFJ銀行 <送信元アドレス@yahoo.co.jp> To: <宛先アドレスB@hanmir.com> Subject: 【三菱東京UFJ銀行】本人認証サービス Date: Tue, 14 Jan 2014 14:12:06 +0800 MIME-Version: 1.0 Content-Type: text/html; charset="utf-8" Content-Transfer-Encoding: base64 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
そしてサーバーログ↓
[2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: accept:smtp505.mail.kks.yahoo.co.jp [114.111.99.166] [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: HELO:smtp505.mail.kks.yahoo.co.jp (smtp505.mail.kks.yahoo.co.jp [114.111.99.166]) [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Sender <送信元アドレス@yahoo.co.jp> (smtp505.mail.kks.yahoo.co.jp [114.111.99.166]) [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Recipient <宛先アドレスA@wolfs.jp> (smtp505.mail.kks.yahoo.co.jp [114.111.99.166]) [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Ok Send data (smtp505.mail.kks.yahoo.co.jp [114.111.99.166]) [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: SignatureVerifier: ok. [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Message received (smtp505.mail.kks.yahoo.co.jp [114.111.99.166]) [2014/01/14 23:16:03]: SMTP,mid=20140114231633158000_: Service closing transmission channel (smtp505.mail.kks.yahoo.co.jp [114.111.99.166])
となっています。
yahoo.co.jpが送信元のメールでまず調べるのはシグネチャ。
yahoo japan正規サーバーからちゃんと送信しているようでシグネチャチェッカーには引っかかりません。
次に見るのが宛先アドレス。
サーバーへ「RCPT TO」コマンドで指定されている宛先は「宛先アドレスA@wolfs.jp」と正常。
ですが、メールヘッダーの「To」フィールドに指定されているアドレスは「宛先アドレスB@hanmir.com」となっていました。
メーリングリスト等以外は通常「RCPT TO」と「To」の宛先アドレスは同じなのですが、フィッシィングメールは9割方アドレスが違います。
yahoo japanのサーバーに直接投げ込んでいるようです。
yahoo japanのサーバーで記録されたReceivedフィールドの送信元IPアドレスは「119.116.230.123」
IPアドレスを照会してみると・・・
% [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '119.112.0.0 - 119.119.255.255' inetnum: 119.112.0.0 - 119.119.255.255 netname: UNICOM-LN descr: China Unicom Liaoning province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: GZ84-AP remarks: service provider status: ALLOCATED PORTABLE remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation's account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP mnt-lower: MAINT-CNCGROUP-LN mnt-routes: MAINT-CNCGROUP-RR mnt-irt: IRT-CU-CN changed: hm-changed@apnic.net 20080205 changed: hm-changed@apnic.net 20090508 source: APNIC irt: IRT-CU-CN address: No.21,Jin-Rong Street address: Beijing,100140 address: P.R.China e-mail: zhouxm@chinaunicom.cn abuse-mailbox: zhouxm@chinaunicom.cn admin-c: CH1302-AP tech-c: CH1302-AP auth: # Filtered mnt-by: MAINT-CNCGROUP changed: zhouxm@chinaunicom.cn 20101110 changed: hm-changed@apnic.net 20101116 source: APNIC person: ChinaUnicom Hostmaster nic-hdl: CH1302-AP e-mail: abuse@cnc-noc.net address: No.21,Jin-Rong Street address: Beijing,100033 address: P.R.China phone: +86-10-66259764 fax-no: +86-10-66259764 country: CN changed: abuse@cnc-noc.net 20090408 mnt-by: MAINT-CNCGROUP source: APNIC person: Guangyu Zhan nic-hdl: GZ84-AP e-mail: abuse@online.ln.cn address: DATA Communication Bureau of Liaoning Province,China address: 38 Lianhe Road,Dadong District Shenyang 110044,China phone: +86-24-22800809 fax-no: +86-24-22800077 country: CN changed: jinjl@lntelecom.com 20090803 mnt-by: MAINT-CNCGROUP-LN source: APNIC % Information related to '119.112.0.0/13AS4837' route: 119.112.0.0/13 descr: CNC Group CHINA169 Liaoning Province Network country: CN origin: AS4837 mnt-by: MAINT-CNCGROUP-RR changed: abuse@cnc-noc.net 20080205 source: APNIC % This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)
きました中国。カエレ。
と言うことで、このスパム君対策用に作ったフィルターは
・送信元サーバーがyahoo.co.jpである
・RCPT TOコマンドで指定されたアドレスとメールヘッダー内Toフィールドに指定されているアドレスが違う
・メール内ヘッダーReceivedフィールドの送信元IPアドレスが日本国外の場合、サーバー内ホワイトリストを参照し登録されていない場合はステータスコード553を返す。(特定の地域(中国、韓国)は無条件で553を返す。)
という感じに仕上げました。
これで面白い文法のフィッシィングメールはサーバー側で止まるかなー。
釣りサイトに偽物のIDとパスを送りつけて遊べなくなるのが惜しいかもしれないけど・・・w
最近のコメント