メールヘッダを読み取り、スパムメール対策を考える

2022-04-23

URLをコピーしました！

こういうメールって大抵がメールアドレスを偽装しています。

メールヘッダを見れば偽装していることがわかります。

—————————————————————————–

From:d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz

件名:**********様へ総額8300万円をお振込する事が決定致しました。全額~様へ差し上げます

本文:

突然のご連絡お許し下さい・私は富川大地と申します

私は、香港在住で十年程前から現地で会社を経営しております。

日本での震災の際もこちらにおりました。あの状況でしたのですぐに帰国も出来ずこちらで残念な気持ちでおりました。

香港にいる私にも何か出来る事はないか考え、毎年売上の一部を被災者の方へ寄付を行なっておりますが、今回日本でいう所の損金の算入限度を超過した為、8300万円程の送金が上海の銀行で停止してしまっております,

香港で既に処理をしている為、戻してしまうと逆に外貨収入扱いとなり , 高額な税金等が掛かってしまいます。

また、日本以外の国へ送金すると不正送金になる可能性が高いため、送金が行なえない状況です,

メインの銀行からは、本送金が処理されるまで他の送金も停止するという事で業務に支障が出てきてしまっております。

今回、社内協議の上 **********様へご送金するのが一番ベストという結論に至りました。

8300万円はまず最初に1300万円をご送金、その翌日残りの7000万円をご送金します

8300万円は実質二日以内に全てお手元の口座に届く様になります。

送金前にはこちらで税務処理を済ませてしまいますので、**********様が税金を支払う事や申告するという作業も発生致しません.

お受け取り頂くということで私共も助かる話ですので、どうか快くお受け取り頂けないでしょうか？

決して危ないお話ではありませんしトラブル等にもならない事をお約束致します,

是非良いお返事頂けると信じご連絡お待ちしています

—————————————————————————–

一応、本文に出てくる「富川大地」でぐぐってみると、Yahoo!知恵袋がひっかります。

自分のメールアドレスは”**********@###########”で伏せ字にしています

変なところに半角スペースが入っています。たぶん、ソフトの自動送信メールでしょう。

メールヘッダを見てみましょう。

—————————————————————————–

Delivered-To: **********@###########

Received: by 10.220.153.144 with SMTP id k16csp132232vcw;

Wed, 23 Apr 2014 15:24:09 -0700 (PDT)

X-Received: by 10.68.237.133 with SMTP id vc5mr59760300pbc.92.1398291848297;

Wed, 23 Apr 2014 15:24:08 -0700 (PDT)

Return-Path:

Received: from ezweb.ne.jp (mail108.ezweb.ne.jp. [111.86.156.35])

by mx.google.com with SMTP id hb10si1401408pbc.226.2014.04.23.15.24.07

for <**********@###########>;

Wed, 23 Apr 2014 15:24:08 -0700 (PDT)

Received-SPF: softfail (google.com: domain of transitioning return-625962563@gr-gate.net does not designate 111.86.156.35 as permitted sender) client-ip=111.86.156.35;

Authentication-Results: mx.google.com;

spf=softfail (google.com: domain of transitioning return-625962563@gr-gate.net does not designate 111.86.156.35 as permitted sender) smtp.mail=return-625962563@gr-gate.net

Return-Path:

Received: from lsean.ezweb.ne.jp ([172.26.72.167])

by nm29imta04.ezweb.ne.jp

id <20140424072407023.MA169.812F450@nm29imta04.ezweb.ne.jp>;

Thu, 24 Apr 2014 07:24:07 +0900

Authentication-Results: ezweb.ne.jp;

spf=pass smtp.mailfrom=return-625962563@gr-gate.net;

sender-id=pass header.from=d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz

Received: from stc-k307.zbc0xsg8o7 (unknown [103.225.52.230])

by lsean.ezweb.ne.jp (EZweb Mail) with ESMTP id A862C15B

for <**********@###########>; Thu, 24 Apr 2014 07:24:06 +0900 (JST)

Received: by stc-k307.zbc0xsg8o7 (Postfix, from userid 1002)

id 1543DB81B1; Thu, 24 Apr 2014 07:24:06 +0900 (JST)

Received: from localhost (unknown [10.177.92.175])

by localhost (Postfix) with ESMTP id 08153148D4A7

for <**********@###########>; Thu, 24 Apr 2014 07:24:05 +0900 (JST)

Content-Type: text/plain; charset=Shift_JIS

Date: Thu, 24 Apr 2014 07:24:04 +0900 (JST)

From: d.tomi-kawa@7cod4o6.wh67wq22rv20qr.biz

Message-ID: <4BoH.fb1k4LQ8SqKtFqYDuD7.fHW@Bx.FpT0iHLJHLR>

MIME-Version: 1.0

Subject: =?Shift_JIS?Q?**********?= =?Shift_JIS?Q?0128=97l=82=D6=91=8D=8Az830?= =?Shift_JIS?Q?0=96=9C=89~=82=F0=82=A8=90U=8D=9E=82=B7=82=E9=8E=96=82=AA?= =?Shift_JIS?Q?=8C=88=92=E8=92v=82=B5=82=DC=82=B5=82=BD=81B=91S=8Az?= =?Shift_JIS?Q?polestar.in?= =?Shift_JIS?Q?terceptor-0?= =?Shift_JIS?Q?128=97l=82=D6=8D=B7=82=B5=8F=E3=82=B0=82=DC=82=B7?=

To: <~>

X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of gr-gate.net designates 103.225.52.230 as permitted sender) client-ip=103.225.52.230; envelope-from=; helo=stc-k307.zbc0xsg8o7; domain=gr-gate.net; txt=v=spf1 ; auth=v1;

X-Brightmail-Tracker: AAAAAA==

Content-Transfer-Encoding: quoted-printable

—————————————————————————–

メールソフトで可視化されるメアドは偽装できても内部的には偽装は出来ません。

このようにメールヘッダとして痕跡が残ります。

普通の携帯電話やスマートフォンではキャリアメール（ezweb.ne.jpなど）のメールヘッダは見ることが出来ません。

スマートフォンならメールヘッダを解析できるアプリがあるかもしれませんね。そこはあとで調べておくとして…

今回のケースでは、Gmailアドレスに転送という形でスパムのメールヘッダを取得しています。

こんなコードみてもよくわかんねえよ！という方向けにわかりやすい画像用意しました。

※Webツール aguse様より

上から2番目に赤く塗られている部分が送信者のドメインになります。

送信者のドメインをWhois検索してみるとあら不思議。なぜか日本国内。