【注意】ハンゲームのアカウントを名乗りパスワード変更の確認を促すフィッシングメールが来てるので注意してください(´･ω･`)
確認リンク先が実際には違ってます。 pic.twitter.com/07mJxn0XFR

— 和合之人(わーいのひと) (@wainohito) 2016年8月5日

ということで、届いたフィッシングメールを晒していくテスト。ハンゲームなんかやってないのにいつもの某所流出アドレス宛にこんなメールが届きました。

ハンゲームやってないんで、こういうメールフォーマットなのかはわりませんが、一見するとそれっぽくおかしい文面感（外人の誤訳系的な？）もないので、ハンゲームにアカウントある人なら「うわ、なんかやられちゃったかな？」とうっかりリンククリックしてしまってもおかしくなさそうですね？もちろんリンク先は画像テキストにある正規サイト（っぽい）URLでなく、似た様な別ドメインに実際には飛ばされるようになっています。

今回あれ？と思ったのは差出人がhangame.co.jpから来ていたのにSPFのエラーもなにもないことでした。よくあるフィッシングメールはyahooなど大手プロバイダのアドレスから送信者名だけを変更してxxxx@yahoo.co.jpとかのアドレスで送られてくるので、SPF的にはおかしくなかったりするのですが、今回のメールのヘッダは以下のようになっています。（一部マスクしています）

今回のアドレスはChina UnicomのIPアドレスで、hangame.co.jpとはほど遠い感じなのに、ドメインを使っていながら、うちのメールサーバのSPFチェックのエラーヘッダが付いてない...。一応説明しておくとうちではフィッシングメールの判断がしやすいように、SPFをチェックしておかしい場合にはヘッダにErrorを、正常な場合にはPassをメールサーバで明示的に追加するようにしています。何も付けてないということはhangame.co.jpは今時SPFすら付けてないドメインということで（まぁ結構多いんですけど）、これではメールの内容と合わせて引っかかる人が出てもおかしくないなぁと思ってしまうわけですね。実際digでDNSの情報MXやTXTチェックしてみましたが見事に何もつけてませんね(´･ω･`)。

一般の利用者がSPFをチェックすることはなくても、せめて事業者はできる限りSPFやDKIM、DMARCを正しく設定して、フィッシングに使われた時に大手プロバイダレベルでならSPFエラーで弾かれるくらいの対処をしておくべきではないかと思います。そうすればこんなメールに引っかかることはなくなるんで。こういう杜撰なメールサーバ設定で運用している事業者は滅びるといいですねぇ(´･ω･`)。いや、マジで。

紹介する書籍を探してみたら、メールサーバ関連ってマジで最近出てないんですね...(´･ω･`)。ちょっとびっくりした...SPFやDKIMの説明有りのメールサーバ解説本が検索できない...。まぁそういう時代になったってことですかねぇ...。しかたないので簡単な説明のURLでご紹介です。

www.cuenote.jp

---