読者です 読者をやめる 読者になる 読者になる

MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

投資系詐欺サイト 株式会社プログレスマインド その2

投資系詐欺サイト 株式会社プログレスマインドの2回目です。
今回は徹底的に調べ上げます。

まず、メールヘッダを晒します。



From - Wed Apr 15 08:43:35 2015
Received-SPF: none (114.111.99.224: domain of dmn-info@dmn.co.jp does not designate permitted sender hosts)
Authentication-Results: mta524.mail.kks.yahoo.co.jp  from=dmn.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@dmn.jp
Received: from 150.107.214.242  (HELO 114.111.99.224) (150.107.214.242)
  by mta524.mail.kks.yahoo.co.jp with SMTP; Wed, 15 Apr 2015 08:43:18 +0900
To: atis3210atis@yahoo.co.jp
Date: Wed, 15 Apr 2015 09:43:25 -0800

 



では詳しく見ていきます。

送信メールアドレスは dmn-info@dmn.co.jp
SPF認証は引っかかってますね、noneになっています。DKIM認証も無しと判定されています。

今回、日時とTo、Dateヘッダも書いています。一番上の行と、一番下の行の日時が合っていませんね。
一番下の行が偽装されたんだと思います。

2015年4月15日8時43分に受信したのは、他の行を見ても明らかです。
一番下のDateヘッダのみ1時間ずれている上、-0800という表記があります。
これはGMTグリニッジ標準時)より時差がー8時間という意味です。
これはアメリカ西海岸の標準時になります。

では、Received-SPFの行を詳しく見ていきます。
判定noneの後ろの括弧内すぐに、114.111.99.224の表記があります。
Yahoo!のメールサーバーは、ここにHELOで名乗ってきたサーバー名を書くようです。
Receivedの行をみると(HELO 114.111.99.224)とありますね。
ところがこれは嘘です。実際の送信サーバーはReceived: fromのすぐ後ろに書かれている150.107.214.242です。
ちなみに114.111.99.224はYahoo!のサーバーのIPアドレスです。

SPF認証でdmn.co.jpのSPFレコードを問い合わせにいくんですが、SPFレコードが存在しないためnoneになっています。
参考までにdigの結果を書いておきます。



$ dig dmn.co.jp any

;; QUESTION SECTION:
;dmn.co.jp.            IN    ANY

;; ANSWER SECTION:
dmn.co.jp.        86160    IN    MX    10 eagle.dmn.co.jp.
dmn.co.jp.        86160    IN    SOA    ns6-tk01.ocn.ad.jp. root.ocn.ad.jp. 2014082201 10800 3600 604800 86400
dmn.co.jp.        86153    IN    NS    ns6-tk02.ocn.ad.jp.
dmn.co.jp.        86153    IN    NS    ns6-tk01.ocn.ad.jp.

;; AUTHORITY SECTION:
dmn.co.jp.        86153    IN    NS    ns6-tk02.ocn.ad.jp.
dmn.co.jp.        86153    IN    NS    ns6-tk01.ocn.ad.jp.

;; ADDITIONAL SECTION:
eagle.dmn.co.jp.    86206    IN    A    220.110.213.243

 



MXレコードにeagle.dmn.co.jp、SOAレコードにOCNのDNSサーバーが設定されています。
また、eagle.dmn.co.jpのIPアドレスは220.110.213.243だとわかりますね。

で、この220.110.213.243の情報を辿ってとある会社に行き着いたんですが・・・
ホームページを見に行くとしっかりとした会社概要が載っていたり、ちゃんとした製品を売っていたり・・・

詐欺師が適当にdmn.co.jpを無断で使ったが、偶然にも実際にこのドメインを取得しているまっとうな会社が存在した。
というのが私の推測です。

確証が無いですが、自社のドメインを堂々と使うなら、下手な偽装はしないと思います。

では、150.107.214.242のサーバーを調べてみます。

aguse.jp : 調査結果


こちらは非常に怪しいです。
aguse.jpではあまり情報がでてきませんね、こちらでも調べてみましょう。

150.107.214.242 - bgp.he.net


どうやらインドにあるサーバーから送信されているようです。単なる中継サーバーの可能性もあります。
すでに相当ブラックリストに載っていますね、これならSPF認証以前に迷惑メールフィルタに引っかかると思われます。

Webサーバーも調べてみます。

aguse.jp : 調査結果


amazonと出てきましたね、間違いないようです。

AS16509 Amazon.com, Inc. - bgp.he.net


クレームを入れるところが見つかりましたね。