なりすまし
fromが”Rakuten.co.jp”
このままじゃアカウントが切れちゃうぞ!という
ご丁寧な連絡メールが届いておりました。ww
もちろんなりすましなので、この手のやつは
フィルターに引っ掛けて、即迷惑メールフォルダ行き
なのですが、なぜかハムメールとして受信フォルダに
残っていたので、ゴミ箱ポイの前にヘッダを覗いてみました。
Return-Path: <admin@panel020400.buzz>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on **.***.jp
X-Spam-Level: 0
X-Spam-Status: No, score=** required=** tests=BAYES_00,CONTENT_TYPE_PRESENT,
HTML_FONT_FACE_BAD,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MULTIPART_ALTERNATIVE,
RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_CBL,RCVD_IN_DNSWL_BLOCKED,SPAMCOP00,
SPF_HELO_PASS,SPF_PASS,T_REMOTE_IMAGE,URIBL_BLOCKED,UTF8 autolearn=ham
autolearn_force=no version=3.4.0
X-Original-To: **@****.jp
Delivered-To: **@***.jp
Received: from panel020400.buzz (hwsrv-819795.hostwindsdns.com [192.119.110.93])
by mail.***.jp (Postfix) with ESMTP id AFEEC1405D3
for <**@***.jp>; Fri, 5 Feb 2021 06:49:12 +0900 (JST)
Authentication-Results:mail.***.jp; dkim=permerror (bad message/signature format)
Received: from TJE.Amazon.co.jp (li1883-40.members.linode.com [172.105.229.40])
by panel020400.buzz (Postfix) with ESMTPA id 78A6C5F0844
for <**@***.jp>; Fri, 5 Feb 2021 05:31:34 +0800 (CST)
Authentication-Results: panel020400.buzz; dkim=permerror (bad message/signature format)
Sender: admin@panel020400.buzz
Message-ID: <20210205053134320542@panel020400.buzz>
From: “Rakuten.co.jp” <Rakuten.co.jp>
To: <**@***.jp>
受信したメールサーバやメルアド、Spamと判定する
スコアなどは伏せてあります。
Fromは “Rakuten.co.jp” <Rakuten.co.jp>となっていて
メルアドの記載はありません。
panel020400.buzz
というなんとも怪しいドメインです。
と言っても.buzzは正式なgTLD(ジェネリック
トップレベルドメイン)で、日本では最近バズってる
などとよく言いますが、そのbuzzです。ww
panel020400で検索してもナニも出てきません。
プロバイダの供給ではなく独自ドメインのようなので
whoisしてみる・・・
Domain Name: panel020400.buzz
Registry Domain ID: ***
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: www.namesilo.com
Updated Date: 2021-02-04T13:31:11Z
Creation Date: 2021-02-04T13:20:44Z
Registry Expiry Date: 2022-02-04T13:20:44Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: See PrivacyGuardian.org
Registrant Street: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: AZ
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registry Admin ID: REDACTED FOR PRIVACY
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Phone Ext: REDACTED FOR PRIVACY
Admin Fax: REDACTED FOR PRIVACY
Admin Fax Ext: REDACTED FOR PRIVACY
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registry Tech ID: REDACTED FOR PRIVACY
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Phone Ext: REDACTED FOR PRIVACY
Tech Fax: REDACTED FOR PRIVACY
Tech Fax Ext: REDACTED FOR PRIVACY
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: ns2.alidns.com
Name Server: ns1.alidns.com
DNSSEC: unsigned
NameSiloというレジスタから得たドメインですね。
しかし肝心な管理者・技術者の項目は
REDACTED FOR PRIVACY
となっています。
スパマーがアメリカのレジスタから格安で
ゲットしたドメインを使用してスパムメールを
ばらまいている以外はナ〜ンにもわかりません。。。
では話にならないので正引きと逆引きしてみる。
元ネタ panel020400.buzz
正引き 192.119.110.93
それを逆引き hwsrv-819795.hostwindsdns.com
ヘッダと一致してるのでダマシはなさそうです。
そうそう、バーチャルドメインだから気づきませんが
このhostwindsdns.comサーバーから配信される
スパムメールが激増しているんですね。
調べるとhostwindsdns.comはIPアドレスを
192.119.63 〜 192.119.127までですから
14592持っているようです。
プロバイダにしては小規模すぎと思いまますが、
企業や個人の趣味などで14592個の固定IPアドレスを
高い金を払って持っていることは考えにくいですよね。
それぞれのIPアドレスにサブドメインが振ってあり
独自ドメイン使用の際はバーチャルドメインで
貸し出している感じでしょうか。
書けば長いので割愛しますが、深く探ろうとすると
DNSの書き方もかなり怪しいものとなっています。
メール自体は・・
pamassassinのスコア合計で引っかからない程度なので
スパム扱いにはなっていません。
DKIMのpermerror
認証不可能@認証情報の記述に間違いがある。
ということなのですが、送られてきちゃうシステムの
方にも問題あり?w
処理
皆さんはこのようなメールどぉされています?
自動で迷惑マールのフォルダに振り分けるか、または
手動でゴミ箱に捨てているだけではありませんか?
拙生は日本データ通信協会迷惑メール相談センターへ
そのまま転送しています。
この業務は総務省より委託を受けて行っています。
同様の業務を行っていた日産協は現在はやっておらず
日本データ通信協会のみのようです。
気長に待っているとそこそこの確率で止まります。
気長に待たなきゃならないのは、業者から調査報告が上がり、
総務省が動いて行政指導に至るまでにかなりの時間が
かかるってことです。w
フォワードするだけなので簡単です。
報告先は ⇒ こちら から
よほど頭にきた場合は3点セットで以下にも通報します。
・ホスティング メールサーバーを貸している
・NameSilo プロバイダ(メール送信のための接続手段)
・レジストラ ドメイン付与
プロバイダがホスティング・レジストラだったりもします。
ホスティングではなく自前サーバーもありえます。
通信事業者の3点セットへの通報は多少面倒ですが
即効性は日本データ通信協会と比べ物になりません。
ただし相手がまともな通信業者である場合に限ります。ww
あちこちに報告したことをスパマーに知らしめるという
猛者もいらっしゃいますが、ドメインやネットワーク、
メールの仕組みに対する知識がしっかりしていないと
藪蛇になります。
迷惑メールには返信しない!これに限ります。
最近のコメント