aliasで転送されてくる、 スパムや犯罪被害につながるメールをブロックするレシピです。
以前役員を努めていた団体宛のメールが転送されてくるのです。
現在、その転送は必要なくなったのですが、設定変更がされないまま、いまだに送られてきます。
加えて、そのメールアドレスが団体のホームページに掲載されているので、スパムメールの標的にされているのです。
メール転送の状況は次のようなものです。
webmaster@arudantai.org(団体の代表メールアドレス )宛のメール
@団体のメールサーバー ↓
arusyain@somedomain.co.jp(うちの職員)に転送
※ arusyain@somedomain.co.jpの外に、うちのドメインに転送されているものはない。
転送されるメールから、メーリングリストではなく、aliasで転送されていると考えられます。
今回送られてきたメールは、日本サイバー犯罪対策センターで報告されている、「犯罪被害につながるメール 」でした
ヘッダの一部は次のようなものです(nkf出力)。
Received: from arudantai.org ([123.123.123.123]:46108) by mailsv.somedomain.co.jp with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.89) (envelope-from <educatedo090@leto.spamsite.ne.jp>) id 1hIri3-0000Jp-HC for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900 Received: (qmail 18564 invoked by uid 18000000); 23 Apr 2019 18:00:46 +0900 Delivered-To: m18000000-webmaster@arudantai.org Received: (qmail 18287 invoked by SAV 20190422.002 by uid 0); 23 Apr 2019 18:00:43 +0900 Received: from unknown (HELO ?122.122.122.122?) (122.122.122.122) by hosting-mailsv.jp (123.123.123.123) with SMTP; 23 Apr 2019 18:00:43 +0900 Received: from EUQOPUX.EVOWGEG.jjg (EUQOPUX.EVOWGEG.jjg [121.121.121.121]) by with SMTP id 56B21c8E; Tue, 23 Apr 2019 10:00:43 +0100 From: hoaidokk.inf@ina.qibb.jp To: <webmaster@arudantai.org> Message-ID: <188369.c699350e@EUQOPUX.EVOWGEG.jjg> Date: Tue, 23 Apr 2019 10:00:43 +0100 MIME-Version: 1.0 Received-SPF: softfail client-ip=123.123.123.123; envelope-from=educatedo090@leto.spamsite.ne.jp; helo=arudantai.org X-Host-Lookup: pass 123.123.123.123 --> arudantai.org X-SA-Exim-Connect-IP: 123.123.123.123 X-SA-Exim-Mail-From: educatedo090@leto.spamsite.ne.jp X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on mailsv.somedomain.co.jp X-Spam-Level: *** X-Spam-Status: No, score=4.0 required=5.0 tests=HEADER_FROM_DIFFERENT_DOMAINS, HTML_MESSAGE,MS_FILE_ATTACHED_1,SPF_HELO_PASS,SPF_SOFTFAIL, T_TVD_MIME_NO_HEADERS,XLS_ATTACHED_1 autolearn=no autolearn_force=no version=3.4.2 Subject: 写真 Content-Type: multipart/mixed; boundary=--952/6izWebG3dGdtJY19 X-SA-Exim-Version: 4.2.1 (built Tue, 02 Aug 2016 21:08:31 +0000) X-SA-Exim-Scanned: Yes (on mailsv.somedomain.co.jp)
内容を確認していきます。
To: <webmaster@arudantai.org>
ヘッダの宛先(送信者が意図した宛先)は、webmaster@arudantai.orgです。
Received: from arudantai.org ([123.123.123.123]:46108) by mailsv.somedomain.co.jp with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.89) (envelope-from <educatedo090@leto.spamsite.ne.jp>) id 1hIri3-0000Jp-HC for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900
うちのサーバーにアクセスしてきたのは、arudantai.orgです。
Received: from arudantai.org ([123.123.123.123]:46108)
mailsv.somedomain.co.jpはうちのサーバーです。
by mailsv.somedomain.co.jp with esmtps
エンベロープの送信者(arudantai.orgサーバーが通知した送信者)はeducatedo090@leto.spamsite.ne.jpです。
(envelope-from <educatedo090@leto.spamsite.ne.jp>)
エンベロープの宛先(arudantai.orgサーバーが指定した宛先)はarusyain@somedomain.co.jpです。
for arusyain@somedomain.co.jp; Tue, 23 Apr 2019 18:27:30 +0900
このメールが辿ってきたサーバーのipアドレスを辿ってみます。
121.121.121.121
↓
122.122.122.122
< arudantai.orgにメールを送ったサーバー >
↓
123.123.123.123
< arudantai.org(逆引きホスト名:hosting-mailsv.jp)、つまりうちのサーバーにメールを届けたサーバー >
↓
mailsv.somedomain.co.jp
< うちのサーバー >
arudantai.orgがメールを受け取った122.122.122.122より前は、信頼できる情報ではありません。
偽装されているかもしれません。
alias転送の怖いところは、送信元を偽装できるという点です。
メールの送信者は自らの存在を隠してeducatedo090@leto.spamsite.ne.jpからのメールを、団体のサーバー123.123.123.123(arudantai.org)で送信することができたことになります。
X-Host-Lookup: pass 123.123.123.123 --> arudantai.org
DNS逆引きもできましたので、うちのメールサーバーは、123.123.123.123(arudantai.org)を信用します。
本来ならSPF(Sender Policy Framework)がこのようなメールをブロックするはずなのですが、これが機能していません。
Received-SPF: softfail client-ip=123.123.123.123; envelope-from=educatedo090@leto.spamsite.ne.jp; helo=arudantai.org
どうしてでしょうか?
SPFの詳細は下記が詳しいので参照してください。
一般財団法人インターネット協会
educatedo090@leto.spamsite.ne.jpのSPF情報をDNSで確認してみます。
$ dig leto.spamsite.ne.jp txt
leto.spamsite.ne.jp. 21599 IN TXT "v=spf1 include:_mailspf.spamsite.ne.jp ~all"
leto.spamsite.ne.jpドメインの管理者はSPF情報を広告しているのですが、
~all
があるので、leto.spamsite.ne.jpドメインのメールがどこから送信されてもエラーにはなりません。
利便性を重視することに偏りすぎて、SPFに~allや+allを設定する管理者が多いのですが、これではSPFを設定すること自体が無意味になってしまします。
管理するドメインがメールを送信するipアドレスを限定して、それ以外から偽装送信されないように
-all
で締めるべきだと思います。
今回のように転送と合わせて使うことで、オープンリレー(第三者中継)化してしまいます。
~allは、推奨はしないまでも、そのドメインのメールがどこからでも送られることを許可します。
そのドメインのメールが、見知らぬアドレスから送られてきても、そのメールを即座に受信拒否すべきではないとされているからです。
さて、ルールをどう作るか?
まず思いつくのが、webmaster@arudantai.org宛のメールがうちに届くのを破棄することです。
To: webmaster@arudantai.org
がヘッダにあればは拒否する。
しかし、
To: webmaster@arudantai.org
しかし、次のように他の宛先があわせてTo:に指定されている場合もあります。
To: webmaster@arudantai.org, namae1@arudomein1.co.jp, namae2@aduromein2.co.jp, namae3@arudomein3.co.jp, banae4@somedomain.co.jp, namae6@arudomein.co.jp, namae7@somedomain.co.jp, namae8@arudomein8.co.jp
ただ、このように宛先指定された場合、webmaster@arudantai.org以外はarudantai.orgサーバーを経由しません。
それでは、arudantai.orgを経由してうちに届くものを破棄するのはどうか?
Received: from arudantai.org ([123.123.123.123]:xxxxx)
がある場合は破棄です。
しかし、団体自体が送信者の場合、たとえばusername@arudantai.orgが送信者の場合は、arudantai.orgを経由します。団体からのメールをすべて破棄するわけにはいきません。
であれば、arudantai.orgを経由しても、そのメールの送信元(envelope-from)がxxxx@arudantai.orgだった場合は問題ない、
Received: ... envelope-from xxxx@arudantai.org
それ以外でarudantai.orgを経由しているものは拒否します。
しかし、これでは、@arudantai.org以外のものがarudantai.orgサーバーを使って送信したものを全て破棄してしまします。
レンタルサーバーでは、このように別ドメインのサーバーを使ってメールを送ることはよくあります。
それを全て拒否していいものではありません。
条件を加えましょう。
webmaster@arudantai.org宛
To: webmaster@arudantai.org
で、
arusyain@somedomain.co.jpに転送されるもの
Received: ... for arusyain@somedomain.co.jp
の場合は拒否する。
こんなルールで良いでしょうか?
まとめると、
- arudantai.org ([123.123.123.123])サーバーを経由するもので、
- webmaster@arudantai.org宛で、
- arusyain@somedomain.co.jpに転送されるもので、
- @arudantai.org送信元でないもの
を破棄する。
From: @arudantai.orgは検査しなくてもよいか?
@arudantai.org以外のメールがarudantai.orgから送られるても問題はありません。
うちでは5.0位上でスパム扱い、12.0位上で破棄(送信元になんの通知もしません)です。
取引先や関係者のメールに拒否(送信不能のメッセージを返す)で答えるのは気が引けますので、スコアは15をつけて完全に破棄(無視)します。
# REJECT REDIRECT FROM ARUDANTAI ############################################## START # header __RECIEVED_FROM_ARUDANTAI Received =~ /from.+(?:arudantai\.org|123\.123\.123\.123)/i header __TO_ARUDANTAI_WEBMASTER To =~ /webmaster\@arudantai\.org/i header __RECIEVED_FOR_ARUDANTAI Received =~ /for.+arusyain\@somedomain\.co\.jp/i header __RECIEVED_ENVFROM_ARUDANTAI Received =~ /envelope-from.+\@arudantai\.org/i meta REDIRECT_FROM_ARUDANTAI __RECIEVED_FROM_ARUDANTAI && __TO_ARUDANTAI_WEBMASTER && __RECIEVED_FOR_ARUDANTAI && (!__RECIEVED_ENVFROM_ARUDANTAI) score REDIRECT_FROM_ARUDANTAI 15.0 describe REDIRECT_FROM_ARUDANTAI Redirect from arudantai_jp to arusyain # REJECT REDIRECT FROM ARUDANTAI ############################################## END #
このルールでしばらく様子を見てみます。