『詐欺メール』「message returner to sender/rcpt(2)」と、来た件

サーバー管理者が標的

英文の件名でこのようなメールが立て続けに3通届きました。
それも差出人が異なるものが…

私、英語からっきしなのでGoogle先生にお願いしてみるとこのように翻訳されました。

「[スパム]メッセージの返信者から送信者へ」…ふぅ～んって感じ(笑)

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] message returner to sender/rcpt(2)」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「bounce@02.postmaster <info@estprime.com>」
「bounce@03.postmaster <info@neoplanning.net>」
「bounce@03.postmaster <info@jugiappone.net>」
どちらのメールも送り主はきっと同一人物です。
このようなメールアドレスは実在するのでしょうか？
次の項でじっくり考察してみましょう。

富山市にあるメールサーバーが発信拠点

ここでは、1つ目に来た”info@estprime.com”というメールアドレスの方について調べます。
メールのヘッダーソースを確認し調査してみましょう。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”estprime.com”について情報を取得してみます。

”117.120.49.144”がこのドメインを割当てているIPアドレス。
”Received”に書かれているのが”117.120.49.144”ですからこの方は、正直に自身の持つ
メールアドレスを使いこのメールを送ってきたことになります。

”Received”のIPアドレス”117.120.49.144”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、「富山県富山市牛島新町」付近です。
あくまでおおよその位置になりますが、このメールは、この付近に設置されたメールサーバーを
介して私に届けられたようです。

クソ長いドメイン

では引き続き本文。

このメールを受け取ったメールアドレスは、わが社の”info”アカウント宛です。
この手のメールは、窓口やサーバー管理者等に宛てられているものでそれ以外にも
”admin”や"support“宛で送られてきます。

ここには、保留中のメールが2通ありのでリンクから確認しろと書かれています。
そのリンクは本文に直書きされていて、このURLで使われているドメインは、サブドメインを含め
”mail-secureweb0qa2ce8ndm9asbhssywklsycmqmybohl.nayyabgroup.com”ってクソ長いもの。

このドメインにまつわる情報を取得してみます。

持ち主は、パキスタンのラホールの方。

このドメインを割当てているIPアドレスは”95.216.42.246”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、フィンランド「トゥースラ」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

これは、メールサーバーを管理するActiveMailへのログイン画面。
ここにアカウントとパスワードを打込んでログインしてしまうと、その時点でアカウント情報が漏洩し
サーバーを乗っ取られてしまう可能性が大きくなります。

まとめ

このようなメールが一般のユーザーに来ることはなく、先程も書きましたが特定の代表的な
アカウントや明らかに管理者が利用するようなアカウント宛に送られてきます。
大抵の場合、メールが保留されているとか、自動的に削除されるとかと管理者の心理を突き
リンクからログインを誘うものです。
このようなメールが届いた際は、必ず差出人のメールアドレスとリンク先のURLにあるドメインが
レンタルサーバー会社のものかどうか確かめてください。
そうでないものは全て悪意のあるメールと判断し無視した上で削除してください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;