読者です 読者をやめる 読者になる 読者になる

わーいのまとめ

つぶやきや気になったことを適当にまとめるブログ

ハンゲームを名乗るフィッシングメールが来た件

f:id:wainohito:20160805214225p:plain

ということで、届いたフィッシングメールを晒していくテスト。ハンゲームなんかやってないのにいつもの某所流出アドレス宛にこんなメールが届きました。

f:id:wainohito:20160805214424p:plain

ハンゲームやってないんで、こういうメールフォーマットなのかはわりませんが、一見するとそれっぽくおかしい文面感(外人の誤訳系的な?)もないので、ハンゲームにアカウントある人なら「うわ、なんかやられちゃったかな?」とうっかりリンククリックしてしまってもおかしくなさそうですね?もちろんリンク先は画像テキストにある正規サイト(っぽい)URLでなく、似た様な別ドメインに実際には飛ばされるようになっています。

今回あれ?と思ったのは差出人がhangame.co.jpから来ていたのにSPFのエラーもなにもないことでした。よくあるフィッシングメールはyahooなど大手プロバイダのアドレスから送信者名だけを変更してxxxx@yahoo.co.jpとかのアドレスで送られてくるので、SPF的にはおかしくなかったりするのですが、今回のメールのヘッダは以下のようになっています。(一部マスクしています)

f:id:wainohito:20160805214947p:plain

今回のアドレスはChina UnicomのIPアドレスで、hangame.co.jpとはほど遠い感じなのに、ドメインを使っていながら、うちのメールサーバのSPFチェックのエラーヘッダが付いてない...。一応説明しておくとうちではフィッシングメールの判断がしやすいように、SPFをチェックしておかしい場合にはヘッダにErrorを、正常な場合にはPassをメールサーバで明示的に追加するようにしています。何も付けてないということはhangame.co.jpは今時SPFすら付けてないドメインということで(まぁ結構多いんですけど)、これではメールの内容と合わせて引っかかる人が出てもおかしくないなぁと思ってしまうわけですね。実際digでDNSの情報MXやTXTチェックしてみましたが見事に何もつけてませんね(´・ω・`)。

一般の利用者がSPFをチェックすることはなくても、せめて事業者はできる限りSPFDKIM、DMARCを正しく設定して、フィッシングに使われた時に大手プロバイダレベルでならSPFエラーで弾かれるくらいの対処をしておくべきではないかと思います。そうすればこんなメールに引っかかることはなくなるんで。こういう杜撰なメールサーバ設定で運用している事業者は滅びるといいですねぇ(´・ω・`)。いや、マジで。

紹介する書籍を探してみたら、メールサーバ関連ってマジで最近出てないんですね...(´・ω・`)。ちょっとびっくりした...SPFDKIMの説明有りのメールサーバ解説本が検索できない...。まぁそういう時代になったってことですかねぇ...。しかたないので簡単な説明のURLでご紹介です。

www.cuenote.jp


Postfix実践入門 (Essential Software Guide Book)

Postfix実践入門 (Essential Software Guide Book)

3分間HTTP&メールプロトコル基礎講座

3分間HTTP&メールプロトコル基礎講座

実践!  CentOS 7 サーバー徹底構築

実践! CentOS 7 サーバー徹底構築