カテゴリー: メール

このカテゴリではメールに関連する話を扱います。
迷惑メール、スパムメール、詐欺メールなどの内容に関する話、
メールプロトコルなどの技術面の話、
活用方法、代替技術など

最近増えている謎メール dmarc25? 実質スパム

最近、まとめて何通も送られてくる謎メールを解析してみた。 サンプルのメッセージソースは下に張り付けました。

GPTの解析結果はつぎ。

とても良い観察です。
この2通目(noreply-dmarc-support@google.com からのもの)は、
先ほどの「dmarc25.jp」メールとはまったく性質が異なります

✅ 結論から言うと

こちらは本物のGoogleから送信されたDMARC集計レポートメールです。
偽装スパムではありません。安全です。
ただし、開封や解析は不要で、そのまま削除して問題ありません。

🔍 技術解析(要点)

項目評価
Return-Path<noreply-dmarc-support@google.com>Google公式ドメイン
送信サーバーmail-qv1-f73.google.com [209.85.219.73]正規のGoogleメールサーバー
SPFpassGoogleのサーバーが正しく認証
DKIMpass (header.d=google.com)Google公式署名あり
DMARCpass (policy=reject)Googleのポリシーが適用済み
件名/本文構成DMARCレポート(XML添付)形式DMARC集計通知として正常
スパムスコアscore=-13.5(極めて低い)SpamAssassinが「安全」と判定

📄 どういうメールか?

あなたのドメインを名乗るメールが世界中でどう扱われたかを、
Gmailが自動でまとめて送信してくれる「DMARC Aggregate Report(集計レポート)」です。

送信元:
noreply-dmarc-support@google.com

添付ファイル名は通常:

google.com!***.***!<日付範囲>!<識別ID>.xml.gz

中には XML 形式で次のようなデータが入っています:

<feedback>
  <report_metadata>
    <org_name>Google Inc.</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <report_id>...</report_id>
  </report_metadata>
  <policy_published>
    <domain>***.***</domain>
    <p>none</p>
  </policy_published>
  ...
</feedback>

🚫 「dmarc25.jp」との違い

比較項目Google(今回)dmarc25.jp(前回)
ドメインgoogle.comdmarc25.jp(偽装)
送信元IP209.85.xxx(Google公式)59.106.xxx(GMO共用)
DKIM署名header.d=google.comheader.d=dmarc25.jp
SPF結果passpass(だが独自ドメイン)
内容正規のDMARCレポートDMARCレポート風スパム
対応放置・削除OK受信拒否推奨

💡 今後のおすすめ運用

もしあなたのドメインで
DMARCを設定済みであれば、世界中の主要メールサーバー(Google、Microsoft、Yahoo!など)が
定期的にレポート(XML.gz)を送ってきます。

これらは通常:

  • 安全(ただし開かなくてよい)
  • 内容は認証統計(なりすまし対策用)
  • 保存・放置しても問題なし

必要な場合のみ解析する

もし「自社ドメインのなりすまし状況を把握したい」場合、
以下のような無料ツールでレポートをまとめて可視化できます:

✳️ まとめ

種類ドメイン正体対応
@google.comGoogle正規サーバー正規DMARCレポート放置・削除OK
@dmarc25.jp偽装(docomo風)DMARCレポート風スパム受信拒否・開封禁止

以下は「偽DMARCレポート」と「正規レポート」の処置方法案

処置方針まとめ

レポート種別特徴推奨処置コメント
偽DMARCレポート差出人偽装、怪しい添付・リンクの可能性拒否 or 破棄SPF/DKIM fail、差出元不明なIPが多い場合は偽と判断可
正規DMARCレポート正規送信サーバーから、XML形式で集計破棄(中身を見ない場合)受信が煩雑な場合は破棄でOK
正規DMARCレポート正規送信サーバーから解析(中身を見る場合)偽装メール検出、送信経路確認、DMARC強化判断、監査目的で利用可能

正規レポートを解析するケース

自ドメインの偽装・スプーフィングの有無確認
  • 外部IPから SPF/DKIM fail があれば偽装メールあり
  • 対応策:SPF/DKIM/DMARC強化、受信者への注意喚起
メール送信経路の確認
  • 自社送信サーバーの SPF/DKIM/MX 設定が正しいか確認
DMARCポリシー強化の判断材料
  • p=nonep=quarantinep=reject の段階的運用
  • p=reject で偽装メールは受信者サーバーで自動的に破棄される
セキュリティ監査・リスク管理
  • 偽装メールの監視、ドメイン悪用の傾向把握

運用上の具体例

  • 偽DMARCレポート:メールサーバーで「SPF/DKIM fail」「差出元不明IP」の場合、自動破棄
  • 正規DMARCレポート:受信は継続
  • 中身を見ない場合:迷惑メール振り分けで破棄
  • 中身を解析する場合:XMLを専用ツール(dmarcianなど)に取り込み、送信状況を監視

まったく別観点からの対処案

このメールは、DMARCレポートは 送信されるメール自体ではなく、受信側サーバーが作成する通知 です。よって 通常の個人宛メールのように偶然届くものではなく、ドメイン管理者宛に体系的に届くもの です。もしレポートを受け取りたくない場合は、DMARC TXTレコードから rua / ruf を削除する(rua/rufフィールドを空にする)ことで送信先をなくせます。

dmarc25 からのほぼスパム

X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <docomoreport-bounceback@dmarc25.jp>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***
****.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=0.9 required=30.0 tests=DKIM_SIGNED,DKIM_VALID,
	DKIM_VALID_AU,SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,X_NONJAPANESE_SUBJECT
	autolearn=no autolearn_force=no version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=6901a979
	a=4nyRffA/pZpJxf3jz/ccCw==:17 a=x6icFKpwvdMA:10 a=z2Y1GidkDKYA:10
	a=tclcd6dtLQvEqt9_mmAA:9 a=CjuIK1q_8ugA:10 a=4Hp3Za8rNZdGw2VEeB8A:9
	a=49ladYHvHUoA:10
Delivered-To: **@****.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mta01d.dmarc25.jp (mta01d.dmarc25.jp [59.106.216.209])
	by ***.xserver.jp (Postfix) with ESMTPS id 457AD281968215
	for <**@***.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
Authentication-Results: ****.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=****.or.jp;
	s=default; t=1761716601;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=HYzQ8SKPW/mTSd0zhR4TrhYT01Ep9m0fGtwaDt5UigYc=;
	b=nzJ4bQYZ5DF3X4MEkTlUVZbwka6l8ss6H0mpAWFXXVG5hK7jJALJLMNkY9Bwe9ICdOH8jiO
	fe0RawqZYSbzp4bl8MGc3QHBHuCucjiNqOPCxOC8x+u/kHvk/ZP3pOfZj8OQzjOefZStkD
	2MngfNdrn1pbMGOcDk/7ShmVs185ca87soFPhoNKX1gGdgUFi89GHVjxHt2GAdNi2NxcuF
	LdMFdMQWDCxJjaKDNPjGPBHe8Z0ccJ6Y69PKQZQuSBtICykOAN/sFs4bSHv3X62iPxHkL
	w8PbHQNUal1lhfQqF6bmRSpZmP895I3HGrHFgt3Ah67RAEOVy+ycQSDT3HJm5w==
ARC-Authentication-Results: i=1;
	***.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Seal: i=1; s=default; d=**.or.jp; t=1761716601; a=rsa-sha256;
	cv=none;
	b=KHep4fsgpeT1mhiFdziq/LgRb39yMdlYqoIuK8evM2vbafKp4rVAVO2P9Ey81khMzF/Z4r
	crd7YKwrIlvBUyp1XRE6nB76hDQCRbDgNOsZ1+KBNM85SN5PUMA+9qeTAJwx8wd9Sa43sQ
	nv6aAssOakDL/4S2e0IsUsYb9Tur/At0oK7kaJbnQX+Yd/1wFZmkjiRfuT1YUHdrShYu8W
	sOCIt15QbELfWumXp1pVbuVRBe4dXprMgan6eTe40VO7fjiI1d1pWRInuZ0WWXgWhnmhJ5
	aO8L9L1Z89aGWAg13w8Txyb/BHyzZ7jTBzn9S8pgswKLm5f45xe3vy9VbNphqg==
Received: from [153.125.224.196] (unknown [172.16.0.99])
	by dmarc25docomomta-01.dmarc25.jp (Postfix) with ESMTPSA id 0CB56A3808
	for <***@**.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dmarc25docomomta-01.dmarc25.jp 0CB56A3808
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=dmarc25.jp;
	s=mta202206r; t=1761716601;
	bh=HYzQ8SKPW/mTSd0zhR4TrhYT1Ep9m0fGtwaDt5UigYc=;
	h=Subject:From:Date:To:From;
	b=goEzNkAQSdNEHFDF/aEqbsVYzSORdKoSo/d/3Lw52R7VhzSWm7Ahd/6vIs1jZLlG
	 QYmoT7MjAoWtqlIl9xTIJ2z4GI86LvS3uiF+GTbVn3aHTrcPLbP55UZHaLkoLilBxP
	 V6y5RnKXLBP8RPz56Ch0m0RFUxKoNn7EPRGrphRn7lJbyUXf1/Lwt0ADB2QKOjGva5
	 5gKAz2hLBB22lU8lOr7hhxvj5xyLr+x/R79IMNvOfnfkctau4xK7Ej4az7OQ5G0iyG
	 jseEZ7jhZkeEbVyFJBpitFgQ2fdY8Tc+MpM4Su2dNTLD+rGt272FQoL81es+ArG0+f
	 lAF0H6nv+XpHQ==
Content-Type: multipart/mixed; boundary="===============0657281041604779379=="
MIME-Version: 1.0
Subject: Report Domain: ***.or.jp
 Submitter: docomo.ne.jp
 Report-ID: <0579b07583e429af1ed1a5fe567b58c8>
From: "docomo.ne.jp by DMARC/25" <reporting@dmarc25.jp>
Date: Wed, 29 Oct 2025 05:43:21 -0000
To: ***@**.or.jp
TLS-Required: No
Message-ID: 
 <0579b07583e429af1ed1a5fe567b58c8.d074edf066b753a93afbc05bd4df0c91e7b0b70d.dcmdb-11@docomomta.dmarc25.jp>
X-Dmarc25-Report-Info: d074edf066b753a93afbc05bd4df0c91e7b0b70d
X-Dmarc25-BounceBack-Forward-To: docomoreport-bounceback@dmarc25.jp
XSRV-Filter: ***@**.or.jp

--===============0657281041604779379==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit


--===============0657281041604779379==
Content-Type: application/gzip
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="docomo.ne.jp!**.or.jp!1761609600!1761695999!079b07583e429af1ed1a5fe567b58c8.xml.gz"

H4sICHmpAWkC/2RvY29tby5uZS5qcCFtaWMub3IuanAhMTc2MTYwOTYwMCExNzYxNjk1OTk5ITA1
NzliMDc1ODNlNDI5YWYxZWQxYTVmZTU2N2I1OGM4LnhtbAB8Utty4yAM/ZVO3tfY6fo2o9L9Ew8G
kbA1lwLubv++smmyyWRmnxBH0tE5Anj9a5enD4zJePdyaKr68IROemXc6eWwZv1jOLxy0IhqFvKN
Q8TgY54sZqFEFhx8PE1OWOTKS2995bD6HYBdYUArzMJLH7H+UlZEeWz3qpK7kBrF67Yf57pvh2f8
eRyFblA1otXYdv3cDnIA9q8WSABOUbgTTZnxZBxv+q7p6rGra2AFAXSqwGM7jiONpDuw21b24Cn4xcjPKazzYtIZqUGoN25BFYCUJ6UO26NrHzcrXwjIFLQe+F2QuDvq6A55ByBBQJk5s0mbwsg3efp
SomH4RGlj9vp/1CLX6PEyQSi6aqmea6Ox6Eae+q+ZkD61dEcYCW4GMIPsazkfNudScEnk+nZ7yTc
4rB71fREhO+2N0/lvrtjj7xsF2kUEp829K84nFEojJOO3t4u7BYGdtch1nyeIqZ1yakM/c/CSx1P
Xuci7Ru4aLwnY5dlsuuf/gIAAP//AwCg03oZBAMAAA==

--===============0657281041604779379==--

類似の、googleからのもの。

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <noreply-dmarc-support@google.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=-13.5 required=30.0 tests=DATE_IN_PAST_06_12,
	DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,ENV_AND_HDR_SPF_MATCH,
	SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,USER_IN_DEF_DKIM_WL,
	USER_IN_DEF_SPF_WL,X_NONJAPANESE_SUBJECT autolearn=no autolearn_force=no
	version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=68f0d3d6
	a=Fqz2ctiUAAAA:8 a=1XWaLZrsAAAA:8 a=x6icFKpwvdMA:10 a=3vObA125-ToA:10
	a=flsTg8gXeVLoRtu52pQA:9 a=IKIoO-ieCDEA:10 a=wDOl-8IaFK0A:10
	a=Yy2xoct6d_2ZlxTvqP-Z:22 a=2GJp8AGDeS-V4P2SbgYv:22
Delivered-To: **@***.com
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mail-qv1-f73.google.com (mail-qv1-f73.google.com [209.85.219.73])
	by ***.xserver.jp (Postfix) with ESMTPS id F33BE2811D7AFD
	for <***@***.com>; Thu, 16 Oct 2025 20:15:33 +0900 (JST)
Authentication-Results: ***.xserver.jp;
	dkim=pass header.d=google.com header.s=20230601 header.b=YRAEr3n5;
	spf=pass (****.xserver.jp: domain of noreply-dmarc-support@google.com designates 209.85.219.73 as permitted sender) smtp.mailfrom=noreply-dmarc-support@google.com;
	dmarc=pass (policy=reject) header.from=google.com
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=**.com;
	s=default; t=1760613334;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=JQF0fljcxSuoRS124ENe3cCdw4WeLzoayaVg3d1sVu8=;
	b=EgDtYvv5nZU2cpPezn5cfHsnBhIFJLX1csaOBAfa0LwSi3Os2Biaoxx3Mkme4kKO6qTboV
	7AGSE/6wSUf/NDQSoTAyK2/2WK8d4mF628fVJ+2bfNnDvqdVoRHQKXEA+lCOEPpY+c3/Ul
	bXM8diD9TT

難解になってきた、スパム(詐欺)メールの読み解き。

以下、 いっぱい来ている詐欺メール(怪しいメール)のうち、ひとつを生成AIに判別してもらいました。
プロンプトは次のように入れました。「***」は伏字にしています。

メールの調査依頼 怪しいメールが来ました。調査をお願いします 文面は以下の通りです
--------------------------------------------
 社長からの指示で発注書を送付いたします。 ご確認よろしくお願いいたします。https://***.zh-oulu.com/article/ppt

GPT4、 Grok4ともに「そのメールは 非常に高い確率でフィッシング(詐欺)メール です。」の判定です。

これのメールについては正解(True Positive)に違いないのでしょうが、問題はFalse Positive (スパムメールと誤判定してしまう)こともありました。 具体的には税務署からの物理郵送物でした。 GPT4は、 それは詐欺メールだと判定してしまいました。 税金支払わなかったたら追徴課税が来てしまいします。まるで、詐欺メールのように、恐ろしい。。。 税務署にはGPTに聞いても詐欺メールと判定されないように努力してほしい。  しかし、 どういう判定基準なのかは、税務署など正式な役所の人よりも、詐欺側のほうが研究して、改善?して攻撃してくるので恐ろしい。
 20年以上前から電子署名などの仕組みはあるが、うまく活用できていない。 証明書のお値段が年間何万円もかかるのも、広まらない理由でもあるが、もう一つは1通ごとに証明書を計算しないといけないので配信処理のCPUコストが高くなってしまうこともあるだろう。 なかなか難しい。 ただ、スパムフィルターも通り抜けている。。。
参考になるのは「https://ymg.nagoya/spam-mail-3057/」同じ攻撃を受けている人の投稿の存在。 この情報があれば、確実に詐欺と判断できますね。

以下、今回のメールのGrokの読み解き

調査結果の概要

ご提供いただいたメールの内容を調査しました。このメールは、典型的なフィッシング詐欺の特徴を強く示しており、絶対にリンクをクリックしたり、情報を入力したりしないよう強くおすすめします。以下に詳細をまとめます。

メールの特徴と危険性

  • 内容の不自然さ: 「社長からの指示で発注書を送付いたします」という文言は、ビジネスメールとして一見普通ですが、送信元が不明瞭で、具体的な会社名や詳細が欠如しています。こうした曖昧な表現は、受信者を油断させてリンクをクリックさせるための典型的な手口です。
  • リンクのURL: https://www.zh-oulu.com/article/ppt
  • このドメイン(zh-oulu.com)は、フィンランドのオウル大学(University of Oulu)と関連づけられた偽装名ですが、実際には正規の大学サイトではありません。類似ドメイン(例: web-zh-oulu.com)は、信頼性評価サイトで極めて低いスコアを付けられており、詐欺サイトの可能性が高いと判定されています。
  • ページの内容を直接確認したところ、ほとんど有用な情報がなく(「Insufficient relevant content」)、これはフィッシングサイトの典型的な兆候です。こうしたページは、アクセス後にリダイレクトやスクリプトを実行し、個人情報を盗むためのトラップを仕掛けています。
  • 特に、このURLは携帯電話番号の奪取を狙った不正サイトとして、X(旧Twitter)上で明確に警告が出されています。ページに表示されるフォームなどで番号を入力させるよう誘導する可能性が高いです。

なぜフィッシング詐欺か?

  • 類似事例の多さ: オウル大学関連のドメインを悪用したフィッシング攻撃は過去に複数報告されており、大学側もスパムやフィッシングの注意喚起を繰り返しています。 これは、信頼できる機関の名前を借りて信用を偽装する手口です。
  • 一般的なリスク: クリックすると、マルウェア感染、個人情報(電話番号、メールアドレス、パスワード)の盗用、またはさらなる詐欺メールの連鎖を引き起こす可能性があります。FTC(米連邦取引委員会)も、こうした「発注書」や「確認依頼」を装ったメールをフィッシングの典型例として警告しています。

推奨アクション

  1. リンクを無視: 絶対にクリックせず、URLをコピーしてブラウザのアドレスバーに直接貼り付けないでください。メール全体を削除するか、迷惑メールフォルダに移動。
  2. 送信元を確認: メールヘッダーをチェックし、送信元ドメインが本物の会社(例: @yourcompany.com)と一致するか確認。疑わしい場合は、直接会社に電話で問い合わせを。
  3. 報告する:
  • Gmail/Outlookなどのメールクライアントで「スパム報告」。
  • 日本国内の場合、警察のサイバー犯罪相談窓口(#9110)やIPA(情報処理推進機構)のフィッシング報告フォームへ。
  • 国際的に、PhishTank(https://phishtank.org/)にURLを登録。
  1. 予防策:
  • 2段階認証を有効化。
  • アンチウイルスソフトでメールをスキャン。
  • 疑わしいメールは常に上司やIT部門に相談。

このようなメールは増加傾向にあり、2024-2025年でも同様の事例がRedditなどで報告されています。 追加の詳細が必要でしたら、メールのヘッダー情報などを共有いただければ、さらに深掘りします。ご注意ください!

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。

スパムメール対策 、おや多いと思ったら設定し漏れ…

最近スパムメールが増えてきたので、設定の見直しをしてみた。いくつかのパターンに分けて対策を試みる。

fromが自分のメールアドレスに偽装されているもの

このパターンは、一目でスパムとわかるので、まとめて削除できるが、事前に何とかならないか設定方法を見直してみる。
 このパターンは、サーバーで拒否してほしい。これは、送信元IPや送信元サーバーのドメインで判断できる。しかし、ここのレンタルサーバサービスでは提供されていない。仕方ないので、メーラで受信後に自動削除してみよう。
 メーラによって設定方法や設定ができるかどうか変わりますが、以下はThunderbirdでの設定方法です。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件で”カスタムヘッダ”「Received」 に”次を含む”「.XXXX (unknown」を指定し、 動作に「メッセージ削除」を指定する。
  この設定で、 *.XXXX ドメインと語るサーバー(本当のドメイン名unknownつまりDNSで逆引きできない)から送信されたメールを削除する。

特定IPからの送信を拒否

特定IPからの送信を拒否するより、送信元のメールアドレスが自分で、送信元のIPが自分以外のものを拒否するほうが効果的だろう。このパターンも レンタルサーバサービスでは拒否方法が提供されていない。同様に、メーラーで削除設定してみよう。上と、同様に
 仕方ないので、メーラで受信後に自動削除してみよう。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件でカスタムヘッダ「差出人」に「次を含む」・「自分のメールアドレス」とand条件で「Received」 に「次を含む」、「unknown」を指定し、 動作に「メッセージ削除」を指定する。 「Received」 に「次を含む」、「(unknown」を指定し、 動作に「メッセージ削除」を指定する。※2019/12/26更新 普通にサービスされている正式なものにも意外に送信元名が設定されていないサーバーがあるので、IP逆引きできないものに限定することにした。これだけでも半数以上のスパムを処置できそうです。

以上の設定で、かなりの数のスパムメールが減るハズ。
とりあえず、1週間くらいこれで様子を見てみよう

spamの配信ツールはDNSキャッシュがずっと残る?

サーバが切り替わったので、古いサーバ宛のメールはほとんど来なくなりましたが、今日もまだ古いサーバに1件メールが来ていたので確認してみました。

”Security Notice. ……”というタイトルのspamメールでした。
送信ツールから、直接古いメースサーバ宛に送信されていました。普通のメールクライアントからの送信なら、送信用メールサーバーを経由するので、2段階以上の送受信となるはずですが、つぎのように、1段階だけでした。
 この部分をチェックするだけでも、何らかのツールを使って送信していることが分かります。

メールのソース
:省略
X-Mozilla-Keys:                                                                                 
Return-Path: <xxx@mic.or.jp>
Received: from tm.82.192.61.119.dc.telemach.net (tm.82.192.61.119.dc.telemach.net [82.192.61.119])
 by mic.or.jp (Postfix) with ESMTP id 7070911002A03
 for <xxxx@mic.or.jp>; Wed,  9 Oct 2019 10:25:50 +0900 (JST)
From: xxxx@mic.or.jp>
To: <xxxx@mic.or.jp>
Subject: 
:省略

  そして、DNSを切り替えて、1週間程度経過しているにも関わらず、古いサーバ宛に送信されています。 どこかにキャッシュされていたDNS情報を取得して古いサーバ宛に送信されたことが考えられます。しかし、今回のケースだと、1週間以上前にもメール送信した実績があり、その時に取得したDNS情報をキャッシュしていて、昨日メール送信する際にその情報を使ってメール送信したと考えるのが妥当でしょう。 メールマガジンの配信など大量メール送信ツールにはDNS情報のようにキャッシュできるものはキャッシュして性能を稼ぐ実装を採用しているものもあります。そのような技術をspam送信に利用しているのでしょう。

Pythonで日本語メール送信

定期実行タスクの機能を使ってメール送信していましたが、content-typeを次のようにcharsetを指定したいのに、

Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: en-US

つぎのように指定されています。
Content-Type: text/plain; charset=ANSI_X3.4-1968

このcharset指定のメールでは、日本語の文面が文字化けしてしまいます。受信したメーラーで明示的に文字コードを指定することで文字化けは解消しますが、いちいち指定する手間が大変です。そこで定期実行タスクのメール送信機能は使わずに、Pythonから直接送信するように変更します。

Python2.6で使用するので、 Uchida さんのコードを参考にさせていただきました。

参考のための補足情報:

・デバック方法
smtp = smtplib.SMTP(c[‘host’], c[‘port’])
の次の行に 「 smtp.set_debuglevel(True) 」を追加することで、メールサーバとの通信内容を確認できます。

・ユーザー名、パスワードの指定にはダブルクオーテーションでくくるのはNGです。ダブルクオーテーションもユーザー名、パスワードとして送信されます。

user = <アカウント名>
password = <パスワード>

このPython実装でのメールでは、charsetは次のように設定されます。

Content-Type: text/plain; charset="iso-2022-jp"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

以上の設定により 、メールの日本語文面を文字化けせずに参照することができます。 これをベースに、脆弱性情報の通知メールに送信機能を組み込みます。

脆弱性情報の通知メールの仕掛けの更新

結構、動的に更新されるのか、頻繁に脆弱性ページが更新されています。
このため、先に作成した(5/9)、バージョンアップ情報や脆弱性対処を含むパッチの提供情報の通知メールが2,3日おきに飛んできます。WordPress5.3の作業も始まって、この更新分もあります。デイリーなのか更新頻度がどの程度なのかで、チェック方法を検討しなおします。
とりあえずメール文面を強化して簡単に更新内容をチェックできるようにしました。
今後、Webページの更新内容自体が、動的更新によるものかどうかを自動チェックして、通知するかどうかを切り分けるように強化します。※