メールヘッダから読み取るスパム(迷惑)メール対策とか

こういうメールって大抵がメールアドレスを偽装しています。
メールヘッダを見れば偽装していることがわかります。

—————————————————————————–

From:d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz
件名:**********様へ総額8300万円をお振込する事が決定致しました。全額~様へ差し上げます
本文:
突然の ご連絡お 許し下さい・私は富川 大地と申しま す
私は、 香港在住で十年程前から現地で会社を経営しております。
日本での震災の際もこちらにおりました。あの状況でしたので すぐに帰国も 出来ず こちらで残念な気持ちでおりました。
香港にいる 私にも何か出来る事はないか考え、毎年売上の一部を被災者の方へ寄付を行なっておりますが、今回日 本でいう所の損金の 算入限度を超過した為、8300万円程の送金が上海の 銀行で停止してしまっております,
香港で既に処理をしている 為、戻してしま うと逆に外貨収 入扱いとなり , 高 額な税金 等が掛 かってしまいます。
また、日本以外の国へ送金すると不正送金になる可能性が高いため、送金が行なえない状況です,
メ インの銀行 からは、本送金が 処理されるまで他の送金も停 止するという事で業務に支障が出てきてしま っております。
今回、社 内協議の上 **********様へご送金するのが一番 ベストという結論に至りました。
8300万円はまず最初に1300万円をご送 金、その翌日残りの7000万円をご送金します
8300万円は実質二日以内に全 てお手 元の口座に届く様になります。
送金前にはこちらで税務処理を済ませてしまいますので 、**********様が税金を支払う事や申告するという作業も発生致 しません.
お受け取り頂くということで私共も助かる話ですので、ど うか快くお受け取り頂けないでしょうか?
決して危ないお話ではあ りま せんし ト ラブル等にもならない事をお約束致します,
是非良いお 返事頂けると信 じご連絡お待ち しています

—————————————————————————–

一応、本文に出てくる「富川 大地」でぐぐってみると、Yahoo!知恵袋がひっかります。
自分のメールアドレスは”**********@###########”で伏せ字にしています

変なところに半角スペースが入っています。たぶん、ソフトの自動送信メールでしょう。
メールヘッダを見てみましょう。

—————————————————————————–

Delivered-To: **********@###########
Received: by 10.220.153.144 with SMTP id k16csp132232vcw;
Wed, 23 Apr 2014 15:24:09 -0700 (PDT)
X-Received: by 10.68.237.133 with SMTP id vc5mr59760300pbc.92.1398291848297;
Wed, 23 Apr 2014 15:24:08 -0700 (PDT)
Return-Path: <return-625962563@gr-gate.net>
Received: from ezweb.ne.jp (mail108.ezweb.ne.jp. [111.86.156.35])
by mx.google.com with SMTP id hb10si1401408pbc.226.2014.04.23.15.24.07
for <**********@###########>;
Wed, 23 Apr 2014 15:24:08 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning return-625962563@gr-gate.net does not designate 111.86.156.35 as permitted sender) client-ip=111.86.156.35;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning return-625962563@gr-gate.net does not designate 111.86.156.35 as permitted sender) smtp.mail=return-625962563@gr-gate.net
Return-Path: <return-625962563@gr-gate.net>
Received: from lsean.ezweb.ne.jp ([172.26.72.167])
by nm29imta04.ezweb.ne.jp
id <20140424072407023.MA169.812F450@nm29imta04.ezweb.ne.jp>;
Thu, 24 Apr 2014 07:24:07 +0900
Authentication-Results: ezweb.ne.jp;
spf=pass smtp.mailfrom=return-625962563@gr-gate.net;
sender-id=pass header.from=d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz
Received: from stc-k307.zbc0xsg8o7 (unknown [103.225.52.230])
by lsean.ezweb.ne.jp (EZweb Mail) with ESMTP id A862C15B
for <**********@###########>; Thu, 24 Apr 2014 07:24:06 +0900 (JST)
Received: by stc-k307.zbc0xsg8o7 (Postfix, from userid 1002)
id 1543DB81B1; Thu, 24 Apr 2014 07:24:06 +0900 (JST)
Received: from localhost (unknown [10.177.92.175])
by localhost (Postfix) with ESMTP id 08153148D4A7
for <**********@###########>; Thu, 24 Apr 2014 07:24:05 +0900 (JST)
Content-Type: text/plain; charset=Shift_JIS
Date: Thu, 24 Apr 2014 07:24:04 +0900 (JST)
From: d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz
Message-ID: <4BoH.fb1k4LQ8SqKtFqYDuD7.fHW@Bx.FpT0iHLJHLR>
MIME-Version: 1.0
Subject: =?Shift_JIS?Q?**********?= =?Shift_JIS?Q?0128=97l=82=D6=91=8D=8Az830?= =?Shift_JIS?Q?0=96=9C=89~=82=F0=82=A8=90U=8D=9E=82=B7=82=E9=8E=96=82=AA?= =?Shift_JIS?Q?=8C=88=92=E8=92v=82=B5=82=DC=82=B5=82=BD=81B=91S=8Az?= =?Shift_JIS?Q?polestar.in?= =?Shift_JIS?Q?terceptor-0?= =?Shift_JIS?Q?128=97l=82=D6=8D=B7=82=B5=8F=E3=82=B0=82=DC=82=B7?=
To: <~>
X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of gr-gate.net designates 103.225.52.230 as permitted sender) client-ip=103.225.52.230; envelope-from=<return-625962563@gr-gate.net>; helo=stc-k307.zbc0xsg8o7; domain=gr-gate.net; txt=v=spf1 ; auth=v1;
X-Brightmail-Tracker: AAAAAA==
Content-Transfer-Encoding: quoted-printable

—————————————————————————–

メールソフトで可視化されるメアドは偽装できても内部的には偽装は出来ません。
このようにメールヘッダとして痕跡が残ります。
普通の携帯電話やスマートフォンではキャリアメール(ezweb.ne.jpなど)のメールヘッダは見ることが出来ません。
スマートフォンならメールヘッダを解析できるアプリがあるかもしれませんね。そこはあとで調べておくとして…
今回のケースでは、Gmailアドレスに転送という形でスパムのメールヘッダを取得しています。

こんなコードみてもよくわかんねえよ!という方向けにわかりやすい画像用意しました。

※Webツール aguse様より

上から2番目に赤く塗られている部分が送信者のドメインになります。
送信者のドメインをWhois検索してみるとあら不思議。なぜか日本国内。

スパムIPのWHOIS

グーグルマップで調べれば目黒Gビル。さて、どんな企業が入っているのかなw

対策というよりは、特定してしまいましたが、このIPからのメールを要は遮断すればいい訳です。
103.225.52.0 – 103.225.52.255のIP範囲で規制できたらどんなに楽になるか。
キャリア側でスパムメールの対策ちゃんとやって欲しいですね…

それでは、まったね~

そういえば、auのEメールアドレス&迷惑メール対策設定のページリニューアルしてるね
auスパム対策のSS

あと、このブログ書いている時にもスパムきたしw
一体何なのww

コメント

タイトルとURLをコピーしました