最近,Google Adwordsの事務局を騙ったフィッシングのメールがよく来る. これは結構有名らしい が,とにかく目障りなので捕獲,隔離することにした. こいつは,メッセージFromを adwords-noreply@google.com こういうメッセージFrom偽装に対しては,本来SPFを使うのが効果的なんだろうが,うちではSPF導入に挫折したという過去がある. そこで,それに近いものをgoogle.com限定でprocmailの設定として作り込むことにした. こいつの場合は,Return-Pathが「〜yahoo.com」などgoogleと無関係なデタラメなので,それに着目した. 本物のGoogleからのメールの場合,Return-Pathは以下のようなものになっている. Return-Path: <adsense-jp@google.com> Return-Path: <accounts-noreply@google.com> Return-Path: <api-support@google.com> Return-Path: <newsletter@hte.google.com> Return-Path: <gmail-noreply@google.com> Return-Path: <2jRhORgcKBlg78B_95I08805_Kz86C4x68206x25Kz86@analytics.bounces.google.com> Return-Path: <3pDPbRxIKBfocfugpug-pqtgrn0-lciqqing.eqogocknmcoqncpf.eqo@adsense.bounces.google.com> Return-Path: <bounce-20-28222663@google.trakken.com> Return-Path: <bounce-20-231955526@trakken.google.com> 結局これらを見ると,
と言えそうだ(多分). これをprocmailレシピにすると,こんな感じ. :0 * ^From:.*@google\.com * ! ^Return-Path:.*\.google\.com> spambox Fromがgoogle.comかつ,Return-Pathがgoogle.comもしくはそのサブドメインでない場合は,spamboxに入れるようにした. これで無事に,捕獲,隔離に成功したぜ.ウッシッシ♪ なお,このルールが成り立たないことがあるかも知れないので,もし参考にされる場合は注意してください.(本物のメールが偽物に誤判定されてしまう可能性はゼロではない) |