spamassassin

alias転送されるメールをブロックする

投稿日:2019年4月28日 更新日:

aliasで転送されてくる、 スパムや犯罪被害につながるメールをブロックするレシピです。

以前役員を努めていた団体宛のメールが転送されてくるのです。

現在、その転送は必要なくなったのですが、設定変更がされないまま、いまだに送られてきます。

加えて、そのメールアドレスが団体のホームページに掲載されているので、スパムメールの標的にされているのです。

メール転送の状況は次のようなものです。

webmaster@arudantai.org(団体の代表メールアドレス )宛のメール

     @団体のメールサーバー ↓              

arusyain@somedomain.co.jp(うちの職員)に転送

※ arusyain@somedomain.co.jpの外に、うちのドメインに転送されているものはない。

転送されるメールから、メーリングリストではなく、aliasで転送されていると考えられます。

今回送られてきたメールは、日本サイバー犯罪対策センターで報告されている、「犯罪被害につながるメール 」でした

ヘッダの一部は次のようなものです(nkf出力)。

Received: from arudantai.org ([123.123.123.123]:46108)
        by mailsv.somedomain.co.jp with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
        (Exim 4.89)
        (envelope-from <educatedo090@leto.spamsite.ne.jp>)
        id 1hIri3-0000Jp-HC
        for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900
Received: (qmail 18564 invoked by uid 18000000); 23 Apr 2019 18:00:46 +0900
Delivered-To: m18000000-webmaster@arudantai.org
Received: (qmail 18287 invoked by SAV 20190422.002 by uid 0); 23 Apr 2019 18:00:43 +0900
Received: from unknown (HELO ?122.122.122.122?) (122.122.122.122)
  by hosting-mailsv.jp (123.123.123.123) with SMTP; 23 Apr 2019 18:00:43 +0900
Received: from EUQOPUX.EVOWGEG.jjg (EUQOPUX.EVOWGEG.jjg
 [121.121.121.121])        by  with SMTP id
 56B21c8E; Tue, 23 Apr 2019 10:00:43 +0100
From: hoaidokk.inf@ina.qibb.jp
To: <webmaster@arudantai.org>
Message-ID: <188369.c699350e@EUQOPUX.EVOWGEG.jjg>
Date: Tue, 23 Apr 2019 10:00:43 +0100
MIME-Version: 1.0
Received-SPF: softfail client-ip=123.123.123.123; envelope-from=educatedo090@leto.spamsite.ne.jp; helo=arudantai.org
X-Host-Lookup: pass 123.123.123.123 --> arudantai.org
X-SA-Exim-Connect-IP: 123.123.123.123
X-SA-Exim-Mail-From: educatedo090@leto.spamsite.ne.jp
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on
        mailsv.somedomain.co.jp
X-Spam-Level: ***
X-Spam-Status: No, score=4.0 required=5.0 tests=HEADER_FROM_DIFFERENT_DOMAINS,
        HTML_MESSAGE,MS_FILE_ATTACHED_1,SPF_HELO_PASS,SPF_SOFTFAIL,
        T_TVD_MIME_NO_HEADERS,XLS_ATTACHED_1 autolearn=no autolearn_force=no
        version=3.4.2
Subject: 写真
Content-Type: multipart/mixed; boundary=--952/6izWebG3dGdtJY19
X-SA-Exim-Version: 4.2.1 (built Tue, 02 Aug 2016 21:08:31 +0000)
X-SA-Exim-Scanned: Yes (on mailsv.somedomain.co.jp)

内容を確認していきます。

To: <webmaster@arudantai.org>

ヘッダの宛先(送信者が意図した宛先)は、webmaster@arudantai.orgです。

Received: from arudantai.org ([123.123.123.123]:46108)
        by mailsv.somedomain.co.jp with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
        (Exim 4.89)
        (envelope-from <educatedo090@leto.spamsite.ne.jp>)
        id 1hIri3-0000Jp-HC
        for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900

うちのサーバーにアクセスしてきたのは、arudantai.orgです。

Received: from arudantai.org ([123.123.123.123]:46108)

mailsv.somedomain.co.jpはうちのサーバーです。

        by mailsv.somedomain.co.jp with esmtps

エンベロープの送信者(arudantai.orgサーバーが通知した送信者)はeducatedo090@leto.spamsite.ne.jpです。

        (envelope-from <educatedo090@leto.spamsite.ne.jp>)

エンベロープの宛先(arudantai.orgサーバーが指定した宛先)はarusyain@somedomain.co.jpです。

        for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900

このメールが辿ってきたサーバーのipアドレスを辿ってみます。

121.121.121.121

122.122.122.122
< arudantai.orgにメールを送ったサーバー >

123.123.123.123
< arudantai.org(逆引きホスト名:hosting-mailsv.jp)、つまりうちのサーバーにメールを届けたサーバー >

mailsv.somedomain.co.jp
< うちのサーバー >

arudantai.orgがメールを受け取った122.122.122.122より前は、信頼できる情報ではありません。

偽装されているかもしれません。

alias転送の怖いところは、送信元を偽装できるという点です。

メールの送信者は自らの存在を隠してeducatedo090@leto.spamsite.ne.jpからのメールを、団体のサーバー123.123.123.123(arudantai.org)で送信することができたことになります。

X-Host-Lookup: pass 123.123.123.123 --> arudantai.org

DNS逆引きもできましたので、うちのメールサーバーは、123.123.123.123(arudantai.org)を信用します。

本来ならSPF(Sender Policy Framework)がこのようなメールをブロックするはずなのですが、これが機能していません。

Received-SPF: softfail client-ip=123.123.123.123; envelope-from=educatedo090@leto.spamsite.ne.jp; helo=arudantai.org

どうしてでしょうか?

SPFの詳細は下記が詳しいので参照してください。
一般財団法人インターネット協会

educatedo090@leto.spamsite.ne.jpのSPF情報をDNSで確認してみます。

$ dig leto.spamsite.ne.jp txt
leto.spamsite.ne.jp.    21599   IN  TXT "v=spf1 include:_mailspf.spamsite.ne.jp ~all"

leto.spamsite.ne.jpドメインの管理者はSPF情報を広告しているのですが、

~all

があるので、leto.spamsite.ne.jpドメインのメールがどこから送信されてもエラーにはなりません。

利便性を重視することに偏りすぎて、SPFに~allや+allを設定する管理者が多いのですが、これではSPFを設定すること自体が無意味になってしまします。

管理するドメインがメールを送信するipアドレスを限定して、それ以外から偽装送信されないように

-all

で締めるべきだと思います。

今回のように転送と合わせて使うことで、オープンリレー(第三者中継)化してしまいます。

~allは、推奨はしないまでも、そのドメインのメールがどこからでも送られることを許可します。

そのドメインのメールが、見知らぬアドレスから送られてきても、そのメールを即座に受信拒否すべきではないとされているからです。

さて、ルールをどう作るか?

まず思いつくのが、webmaster@arudantai.org宛のメールがうちに届くのを破棄することです。

To: webmaster@arudantai.org

がヘッダにあればは拒否する。

しかし、

 To: webmaster@arudantai.org

しかし、次のように他の宛先があわせてTo:に指定されている場合もあります。

To: webmaster@arudantai.org, namae1@arudomein1.co.jp, namae2@aduromein2.co.jp,
        namae3@arudomein3.co.jp, banae4@somedomain.co.jp,
        namae6@arudomein.co.jp, namae7@somedomain.co.jp,
        namae8@arudomein8.co.jp

ただ、このように宛先指定された場合、webmaster@arudantai.org以外はarudantai.orgサーバーを経由しません。

それでは、arudantai.orgを経由してうちに届くものを破棄するのはどうか?

Received: from arudantai.org ([123.123.123.123]:xxxxx)

がある場合は破棄です。

しかし、団体自体が送信者の場合、たとえばusername@arudantai.orgが送信者の場合は、arudantai.orgを経由します。団体からのメールをすべて破棄するわけにはいきません。

であれば、arudantai.orgを経由しても、そのメールの送信元(envelope-from)がxxxx@arudantai.orgだった場合は問題ない、

  Received:
          ...
          envelope-from xxxx@arudantai.org

それ以外でarudantai.orgを経由しているものは拒否します。

しかし、これでは、@arudantai.org以外のものがarudantai.orgサーバーを使って送信したものを全て破棄してしまします。

レンタルサーバーでは、このように別ドメインのサーバーを使ってメールを送ることはよくあります。

それを全て拒否していいものではありません。

条件を加えましょう。

webmaster@arudantai.org宛

 To: webmaster@arudantai.org

で、

arusyain@somedomain.co.jpに転送されるもの

 Received:
          ...
          for arusyain@somedomain.co.jp

の場合は拒否する。

こんなルールで良いでしょうか?

まとめると、

  • arudantai.org ([123.123.123.123])サーバーを経由するもので、
  • webmaster@arudantai.org宛で、
  • arusyain@somedomain.co.jpに転送されるもので、
  • @arudantai.org送信元でないもの

を破棄する。

From: @arudantai.orgは検査しなくてもよいか?

@arudantai.org以外のメールがarudantai.orgから送られるても問題はありません。

うちでは5.0位上でスパム扱い、12.0位上で破棄(送信元になんの通知もしません)です。
取引先や関係者のメールに拒否(送信不能のメッセージを返す)で答えるのは気が引けますので、スコアは15をつけて完全に破棄(無視)します。

# REJECT REDIRECT FROM ARUDANTAI ############################################## START #
header   __RECIEVED_FROM_ARUDANTAI    Received =~ /from.+(?:arudantai\.org|123\.123\.123\.123)/i
header   __TO_ARUDANTAI_WEBMASTER     To =~ /webmaster\@arudantai\.org/i
header   __RECIEVED_FOR_ARUDANTAI     Received =~ /for.+arusyain\@somedomain\.co\.jp/i
header   __RECIEVED_ENVFROM_ARUDANTAI Received =~ /envelope-from.+\@arudantai\.org/i

meta     REDIRECT_FROM_ARUDANTAI      __RECIEVED_FROM_ARUDANTAI && __TO_ARUDANTAI_WEBMASTER && __RECIEVED_FOR_ARUDANTAI && (!__RECIEVED_ENVFROM_ARUDANTAI)
score    REDIRECT_FROM_ARUDANTAI      15.0
describe REDIRECT_FROM_ARUDANTAI      Redirect from arudantai_jp to arusyain
# REJECT REDIRECT FROM ARUDANTAI ############################################## END   #

このルールでしばらく様子を見てみます。

このサイトについて


検索

このサイトについて


検索

-spamassassin

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

詐欺メールをブロックする(apple)

Appleの詐欺メイル対策レシピです。 まずは、Apple IDを考えてみます。 正規のメールヘッダを見てみます(nkf出力)。 Received: from mdn-txn-msbadger0901 …

詐欺メールをブロックする(LINE)

Apple、Amazon、楽天についで多いのが、LINEのフィッシング詐欺メールです。 これらのメールの特徴は、 送信者のアドレスが正規のものと同じ DKIMチェックpass SPFチェックpass …

Trojanメール対策

 鉄壁の防御をしているつもりでも、やっぱりウイルスメールはやってきます。 送られてくるウイルスはいつも最新です。 商用のウイルスソフトでもすべてトラップできないでしょう。 ましてフリーのウイルスソフト …

PYZOR_CHECKを無効にする

zipやrarファイルが添付されたメールを警戒して、ルールを作りました。 Trojanメール対策 その1 ところが、他にも危険なファイルがたくさんあります。 ダブルクリックで実行されるファイルの拡張子 …

SpamAssassinの設定ファイル読込み順序

電子メールで送りつけられるウイルスはいつも新種か新亜種です。 既存のウイルススキャナは、新種のウイルスが見つかってから、そのワクチンを作ります。 わたしたちは配布されたワクチンでウイルスを駆除するわけ …

PREV
詐欺メールをブロックする(LINE)
NEXT
詐欺メールをブロックする(amazon)