最近,Google Adwordsの事務局を騙ったフィッシングのメールがよく来る.

これは結構有名らしい が,とにかく目障りなので捕獲,隔離することにした.

こいつは,メッセージFromを

adwords-noreply@google.com
に偽装しているため,カモランドで既にprocmailを使って実装している, 英文メールのメッセージFromはホワイトリストでチェックする方式では,捕獲できない.「google.com」がホワイトリストに入っているからだ.

こういうメッセージFrom偽装に対しては,本来SPFを使うのが効果的なんだろうが,うちではSPF導入に挫折したという過去がある.

そこで,それに近いものをgoogle.com限定でprocmailの設定として作り込むことにした.

こいつの場合は,Return-Pathが「〜yahoo.com」などgoogleと無関係なデタラメなので,それに着目した. 本物のGoogleからのメールの場合,Return-Pathは以下のようなものになっている.

Return-Path: <adsense-jp@google.com>
Return-Path: <accounts-noreply@google.com>
Return-Path: <api-support@google.com>
Return-Path: <newsletter@hte.google.com>
Return-Path: <gmail-noreply@google.com>
Return-Path: <2jRhORgcKBlg78B_95I08805_Kz86C4x68206x25Kz86@analytics.bounces.google.com>
Return-Path: <3pDPbRxIKBfocfugpug-pqtgrn0-lciqqing.eqogocknmcoqncpf.eqo@adsense.bounces.google.com>
なお,一時期こんなのもあったが,
Return-Path: <bounce-20-28222663@google.trakken.com>
最近(少なくとも今年以降)は,
Return-Path: <bounce-20-231955526@trakken.google.com>
になっているようだ.

結局これらを見ると,

  • 本物のGoogleからのメールは,Return-Pathがgoogle.comドメインもしくはそのサブドメインになる.それ以外は偽物

と言えそうだ(多分).

これをprocmailレシピにすると,こんな感じ.

:0
* ^From:.*@google\.com
* ! ^Return-Path:.*\.google\.com>
spambox

Fromがgoogle.comかつ,Return-Pathがgoogle.comもしくはそのサブドメインでない場合は,spamboxに入れるようにした.

これで無事に,捕獲,隔離に成功したぜ.ウッシッシ♪

なお,このルールが成り立たないことがあるかも知れないので,もし参考にされる場合は注意してください.(本物のメールが偽物に誤判定されてしまう可能性はゼロではない)

kamolandをフォローしましょう


© 2017 KMIソフトウェア