差分表示


最近,Google Adwordsの事務局を騙ったフィッシングのメールがよく来る.

//title=Adwordsのフィッシングメールをprocmailで捕獲する
//parent=時事,その他/Blog
//parent=メールサーバ
//mdate=2008-04-10
これは&link(結構有名らしい,http://www.google.com/search?hl=ja&inlang=ja&q=Adwords+%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0&btnG=%E6%A4%9C%E7%B4%A2&lr=lang_ja) が,とにかく目障りなので捕獲,隔離することにした.

こいつは,メッセージFromを
--(
adwords-noreply@google.com
--)
に偽装しているため,カモランドで既にprocmailを使って実装している,
[[英文メールのメッセージFromはホワイトリストでチェックする方式>スパムメール対策(procmail)]]では,捕獲できない.「google.com」がホワイトリストに入っているからだ.

こういうメッセージFrom偽装に対しては,本来&link(SPF,http://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%B3%E3%83%80%E3%83%BC%E3%83%BB%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%83%BB%E3%83%95%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%AF%E3%83%BC%E3%82%AF);を使うのが効果的なんだろうが,うちではSPF導入に挫折したという過去がある.

そこで,それに近いものをgoogle.com限定でprocmailの設定として作り込むことにした.

こいつの場合は,Return-Pathが「〜yahoo.com」などgoogleと無関係なデタラメなので,それに着目した.
本物のGoogleからのメールの場合,Return-Pathは以下のようなものになっている.
--(
Return-Path: <adsense-jp@google.com>
Return-Path: <accounts-noreply@google.com>
Return-Path: <api-support@google.com>
Return-Path: <newsletter@hte.google.com>
Return-Path: <gmail-noreply@google.com>
Return-Path: <2jRhORgcKBlg78B_95I08805_Kz86C4x68206x25Kz86@analytics.bounces.google.com>
Return-Path: <3pDPbRxIKBfocfugpug-pqtgrn0-lciqqing.eqogocknmcoqncpf.eqo@adsense.bounces.google.com>
--)
なお,一時期こんなのもあったが,
--(
Return-Path: <bounce-20-28222663@google.trakken.com>
--)
最近(少なくとも今年以降)は,
--(
Return-Path: <bounce-20-231955526@trakken.google.com>
--)
になっているようだ.

結局これらを見ると,
-本物のGoogleからのメールは,Return-Pathがgoogle.comドメインもしくはそのサブドメインになる.それ以外は偽物

と言えそうだ(多分).

これをprocmailレシピにすると,こんな感じ.
--(
:0
* ^From:.*@google\.com
* ! ^Return-Path:.*\.google\.com>
spambox
--)

Fromがgoogle.comかつ,Return-Pathがgoogle.comもしくはそのサブドメインでない場合は,spamboxに入れるようにした.

これで無事に,捕獲,隔離に成功したぜ.ウッシッシ♪

なお,このルールが成り立たないことがあるかも知れないので,もし参考にされる場合は注意してください.(本物のメールが偽物に誤判定されてしまう可能性はゼロではない)



© 2021 KMIソフトウェア