詐欺メールをブロックする(amazon)

Amazonを騙るメールの件名には、次のようなものがありました。

• 🔴 Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認
• Amazonアカウントが閉鎖しようとしています！
• Amazon Services Japanアカウントを更新する最後の警告メール
• 緊急：あなたのAmazonアカウントは24時間以内に停止されます！
• アカウント情報検証を完成してください。
• お使いのAMAZON IDがロックされます. サービス番号：233479963211
• Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は
• Amazon Services Japanアカウント：異常な活動
• [緊急の通知] Amazon idプライムのお支払いにご指定のクレジットカード有効期限が切れています！
• [Amazone緊急の通知] プライムのお支払いにご指定のクレジットカード有効期限が切れています！
• Amazon.co.jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認 1:37:42

正規のメールヘッダ(一部抜粋)は次のとおりです。

Received: from a25-4.smtp-out.us-west-2.amazonses.com ([54.240.25.4]:48116)
     by mx1.uchinodomein.jp with esmtps (TLS1.2:ECDHE_RSA_AES_128_CBC_SHA256:128)
     (Exim 4.89)
     (envelope-from <201811171123282cd4207b71c5492eb2bfd7adce80p0fe@bounces.amazon.co.jp>)
     id 1gNyhH-0004PZ-8o
     for usernamae@uchinodomein.jp; Sat, 17 Nov 2018 20:23:33 +0900
From: cs-reply@amazon.co.jp
Subject: Amazon.co.jp パスワードアシスタント

次は詐欺メールのヘッダです

Received: from mail.mail6-amazon.com ([nnn.nnn.nnn.nnn]:59164 helo=mail6-amazon.com)
        by mailsv.uchinodomein.co.jp with esmtp (Exim 4.89)
        (envelope-from <rrlog@mail6-amazon.com>)
        id 1hHumx-0002Zq-1f
        for uchinouser@uchinodomein.co.jp; Sun, 21 Apr 2019 03:32:35 +0900
From: wswdqg <account-update@amazon.co.jp>
Subject: Amazon.co.jpのアカウントの修正

From:のアドレスは、正規のものと同じです。

アマゾンは送信元のメールアドレスを公表していますが、詐称できるFrom:のメールアドレスではなく、envelope-fromのアドレスを公開してほしいものです。

日本国内では、アマゾンのメールは以下のようになっています。

From: ****@amazon.co.jp
Recieved: from ****.amazonses.com
Recieved: envelope-from ****@bounces.amazon.co.jp

第一のルールは、

送信元アドレスが****@amazon.co.jpの場合は、

Recieved: from amazonses.comか

Recieved: envelope-from ****@bounces.amazon.co.jpが無ければならない。

# Amazon.co.jp ##################################################### START #
header   __HDR_FROM_AMAZON_CO_JP             From     =~ /\@amazon\.co\.jp/i
header   __HDR_RCV_FROM_AMAZONSES_COM        Received =~ /from.+\.amazonses\.com/i
header   __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP Received =~ /envelope-from.+\@bounces\.amazon\.co\.jp/i

meta     AUTHENTICATED_AMAZON_CO_JP   __HDR_FROM_AMAZON_CO_JP && !(__HDR_RCV_FROM_AMAZONSES_COM || __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP)
#                                                                               とりあえずorで
score    AUTHENTICATED_AMAZON_CO_JP   6.0
describe AUTHENTICATED_AMAZON_CO_JP   From Fake Amazon.co.jp
# Amazon.co.jp ##################################################### END   #

amazonから送られてくる送信元アドレスは公開されています。

• amazon.co.jp
• amazon.jp
• amazon.com
• amazonbusiness.jp
• email.amazon.com
• marketplace.amazon.co.jp
• m.marketplace.amazon.co.jp
• gc.email.amazon.co.jp
• gc.amazon.co.jp
• payments.amazon.co.jp

です。

件名に”Amazon”か”アマゾン”があるのに、送信元が上記でない場合、警戒します。

しかし、次のスパムサンプルのように、件名にAmazonがなく、送信元(From:)にAmazonが隠れている場合があります。

Received: from spammer.xyz ([nnn.nnn.nnn.nnn]:43350)
        by mailsv.uchinodomein.co.jp with esmtp (Exim 4.89)
        (envelope-from <admin@spammer.xyz>)
        id 1hM11n-0001EZ-8s
        for usernamae@uchinodomein.co.jp; Thu, 02 May 2019 11:00:51 +0900
From: Amazon Services Japan <admin@spammer.xyz.>
Subject: アカウント問題

なので、Subjectも含む全ヘッダをAmazon検索することにします。

# OK Amazon Headers ################################################ START #
header   __HDR_ALL_AMAZON         ALL =~ /amazon/i
header   __HDR_ALL_AMAZON_JP      ALL =~ /アマゾン/
header   __HDR_FROM_AMAZON            From    =~ /\@amazon\.co\.jp|\@amazon\.jp|\@amazon\.com|\@amazonbusiness\.jp|\@email\.amazon\.com|\@marketplace\.amazon\.co\.jp|\@m\.marketplace\.amazon\.co\.jp|\@gc\.email\.amazon\.co\.jp|\@gc\.amazon\.co\.jp|\@payments\.amazon\.co\.jp/i

meta     AUTHENTICATED_AMAZON1   (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && !__HDR_FROM_AMAZON
score    AUTHENTICATED_AMAZON1   3.5
describe AUTHENTICATED_AMAZON1   Fake Amazon Subject
# OK Amazon Headers ################################################ END   #

詐欺メールの件名にあるような、本来、正規の送信元からしか来ないはずのものが、上記の正規アドレス以外から送られてきた場合は、完全拒絶します。

# OK Amazon Subject 2 ############################################## START #
header   __HDR_SUBJECT_AMAZON_JP2  Subject =~ /にご登録のアカウント|名前、パスワード、その他個人情報|アカウントが閉鎖しようとしています！|Amazon Services Japan|アカウントを更新する最後の警告メール|あなたのAmazonアカウント|時間以内に停止されます！|IDがロックされます|プライムを継続してご利用いただく|>会費のお支払い|ご指定いただいたクレジットカード|有効期限が切れています！|ご登録のアカウント|パスワードアシスタント|アカウントの修正/

meta     AUTHENTICATED_AMAZON2   (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __HDR_SUBJECT_AMAZON_JP2 && !__HDR_FROM_AMAZON
score    AUTHENTICATED_AMAZON2   5.0
describe AUTHENTICATED_AMAZON2   Fake Amazon Subject
# OK Amazon Subject 2 ############################################## END   #

Amazon.co.jp からの連絡かどうかの識別についてによれば、

「http://××.amazon.co.jp」または「https://××.amazon.co.jp」で始まらないWebサイトの場合、Amazon.co.jpのサイトではありません。

本文の中にhttpリンクがあり、その中に.amazon.co.jpへのリンクが１つもなければ、警戒します。

詐欺メールの中に次のようなリンクがあることを念頭においてルールを作ります。

https://www.account-update.amazon.co.jp.auntamazoniont.jp/

# Fake Amazon link ################################################ START #
body     __BODY_HTML_LINK       /https?:\/\/.+/
body     __BODY_AMAZON_LINK     /https?:\/\/.+\.amazon\.co\.jp\/.*/

meta     AUTHENTICATED_AMAZON_LINK (__HDR_FROM_AMAZON || __HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __BODY_HTML_LINK && !__BODY_AMAZON_LINK
score    AUTHENTICATED_AMAZON_LINK 2.0
describe AUTHENTICATED_AMAZON_LINK Fake Amazon Links
# Fake Amazon link ################################################ START #

日本以外のAmazonについては問題が出るかもしれませんが、ここでは国内を対象とします。

まとめると、ルールは以下のようになります。

# Amazon.co.jp ##################################################### START #
header   __HDR_FROM_AMAZON_CO_JP             From     =~ /\@amazon\.co\.jp/i
header   __HDR_RCV_FROM_AMAZONSES_COM        Received =~ /from.+\.amazonses\.com/i
header   __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP Received =~ /envelope-from.+\@bounces\.amazon\.co\.jp/i

meta     AUTHENTICATED_AMAZON_CO_JP   __HDR_FROM_AMAZON_CO_JP && !(__HDR_RCV_FROM_AMAZONSES_COM || __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP)
#                                                                               とりあえずorで
score    AUTHENTICATED_AMAZON_CO_JP   6.0
describe AUTHENTICATED_AMAZON_CO_JP   From Fake Amazon.co.jp
# Amazon.co.jp ##################################################### END   #


# OK Amazon Headers ################################################ START #
header   __HDR_ALL_AMAZON         ALL =~ /amazon/i
header   __HDR_ALL_AMAZON_JP      ALL =~ /アマゾン/
header   __HDR_FROM_AMAZON            From    =~ /\@amazon\.co\.jp|\@amazon\.jp|\@amazon\.com|\@amazonbusiness\.jp|\@email\.amazon\.com|\@marketplace\.amazon\.co\.jp|\@m\.marketplace\.amazon\.co\.jp|\@gc\.email\.amazon\.co\.jp|\@gc\.amazon\.co\.jp|\@payments\.amazon\.co\.jp/i

meta     AUTHENTICATED_AMAZON1   (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && !__HDR_FROM_AMAZON
score    AUTHENTICATED_AMAZON1   3.5
describe AUTHENTICATED_AMAZON1   Fake Amazon Subject
# OK Amazon Headers ################################################ END   #

# OK Amazon Subject 2 ############################################## START #
header   __HDR_SUBJECT_AMAZON_JP2  Subject =~ /にご登録のアカウント|名前、パスワード、その他個人情報|アカウントが閉鎖しようとしています！|Amazon Services Japan|アカウントを更新する最後の警告メール|あなたのAmazonアカウント|時間以内に停止されます！|IDがロックされます|プライムを継続してご利用いただく|>会費のお支払い|ご指定いただいたクレジットカード|有効期限が切れています！|ご登録のアカウント|パスワードアシスタント|アカウントの修正/

meta     AUTHENTICATED_AMAZON2   (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __HDR_SUBJECT_AMAZON_JP2 && !__HDR_FROM_AMAZON
score    AUTHENTICATED_AMAZON2   5.0
describe AUTHENTICATED_AMAZON2   Fake Amazon Subject
# OK Amazon Subject 2 ############################################## END   #

# Fake Amazon link ################################################ START #
body     __BODY_HTML_LINK       /https?:\/\/.+/
body     __BODY_AMAZON_LINK     /https?:\/\/.+\.amazon\.co\.jp\/.*/

meta     AUTHENTICATED_AMAZON_LINK (__HDR_FROM_AMAZON || __HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __BODY_HTML_LINK && !__BODY_AMAZON_LINK
score    AUTHENTICATED_AMAZON_LINK 2.0
describe AUTHENTICATED_AMAZON_LINK Fake Amazon Links
# Fake Amazon link ################################################ START #

これで、様子を見てみます。