ブログ - 最も魅力的で美人なあなたに。 その2
47件届いていたスパムメールを開封してみた.
まず,ビットコインの振込先が2つある.
19iaNyTBn6mFUx5V6px8CRptnxzoeyyotH
1NhCW6qW3D6bCv8i2Kt2NmptfXkV1f2J7a
そして送信時に使われているメアドは,';--have i been pwned?でピックアップで何件か確認すると漏洩が登録されているものではない.
何通かトヨタ自動車のメアドがあったので,DMARCを確認してみた. DMARCは設定されてない模様.
他にも大阪大学とかどこかの中小企業などのメアドのなりすましがあったけれど,とりあえずはDMARCの設定は無い模様.
スパムアサシンの評価スコアを確認してみる.
まずビットコインに関する項目が含まれているだけで4.5になるんだな.
DATE_IN_FUTURE_03_06は,日付の差が3時間から6時間の未来になっているとのこと.
調べるとこうなっていた.
受信時間が12/28 15:46(JSTつまり+9)だが,送信は12/28 16:01 +4時間となっていてつまり-5時間となる.
ちなみにIPアドレスの202.43.120[.18]を調べるとインド.
世界の時差を調べると,+4時間というエリア的には一致している感じ.
そしてHELO_DYNAMIC_IPADDRがスコアが高いが,AbuseIPDBの調査だとFixed Line ISPとなっているので一致しますね.
時差について.
参考:世界の時差について - シチズンウオッチ
https://citizen.jp/support-jp/manual/terms/deeper_05c.html
スパムアサシンで検出できるくらいなので,素人か,あるいはDDoS的なことか...
まず,ビットコインの振込先が2つある.
19iaNyTBn6mFUx5V6px8CRptnxzoeyyotH
1NhCW6qW3D6bCv8i2Kt2NmptfXkV1f2J7a
そして送信時に使われているメアドは,';--have i been pwned?でピックアップで何件か確認すると漏洩が登録されているものではない.
何通かトヨタ自動車のメアドがあったので,DMARCを確認してみた.
$ dig _dmarc.toyota.co.jp txt @8.8.8.8🆑
; <<>> DiG 9.10.6 <<>> _dmarc.toyota.co.jp txt @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29819
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_dmarc.toyota.co.jp. IN TXT🈁
;; AUTHORITY SECTION:
toyota.co.jp. 900 IN SOA ns1_auth.toyota.co.jp.
postmaster.toyota.co.jp. 2020051948 900 3600 1209600 3600
;; Query time: 24 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Dec 28 15:36:53 JST 2021
;; MSG SIZE rcvd: 104
$
他にも大阪大学とかどこかの中小企業などのメアドのなりすましがあったけれど,とりあえずはDMARCの設定は無い模様.
スパムアサシンの評価スコアを確認してみる.
X-Spam-Status: Yes, score=15.125 tagged_above=2 required=6
tests=[BITCOIN_MALF_HTML=3.499, 🈁
BITCOIN_SPAM_03=1,
BITCOIN_XPRIO=0.001,
DATE_IN_FUTURE_03_06=2.426, 🈁
HELO_DYNAMIC_IPADDR=3.243, 🈁
HTML_EXTRA_CLOSE=0.001,
HTML_MESSAGE=0.001,
MIME_CHARSET_FARAWAY=2.45, 🈁
MPART_ALT_DIFF=0.724,
NO_FM_NAME_IP_HOSTN=0.001,
PDS_BTC_ID=0.499,
RCVD_IN_MSPIKE_BL=0.001,
RCVD_IN_MSPIKE_ZBI=0.001,
RDNS_NONE=1.274,
SPF_HELO_NONE=0.001,
SPF_NONE=0.001,
TVD_SPACE_RATIO_MINFP=0.001,
XPRIO=0.001]
autolearn=no
autolearn_force=no
X-Spam-Score: 15.125
DATE_IN_FUTURE_03_06は,日付の差が3時間から6時間の未来になっているとのこと.
調べるとこうなっていた.
Received: from ws18-120.43.202.rcil[.gov[.in (unknown [202.43.120[.18])
for <迷惑メールをうけとったメルアド>; Tue, 28 Dec 2021 15:46:01 +0900 (JST)
Date: 28 Dec 2021 16:01:49 +0400
ちなみにIPアドレスの202.43.120[.18]を調べるとインド.
世界の時差を調べると,+4時間というエリア的には一致している感じ.
そしてHELO_DYNAMIC_IPADDRがスコアが高いが,AbuseIPDBの調査だとFixed Line ISPとなっているので一致しますね.
時差について.
参考:世界の時差について - シチズンウオッチ
https://citizen.jp/support-jp/manual/terms/deeper_05c.html
スパムアサシンで検出できるくらいなので,素人か,あるいはDDoS的なことか...
