ブログ - DMARCレポートがGoogle Microsoft Docomoから送られてきた
DMARCレポートがGoogle Microsoft Docomoから送られてきた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/11/11 23:28
うちの場合,DMARCレポートは毎日送られてこないのだけど,立て続けに送られてくる事態に.そしてそれらのドメインに対してメールを送った覚えがないので,これはスパムメールで送信ドメインを騙るように使われたのだろうなって思った.
まず最初は,GoogleからのDMARCレポートメール. これをみてわかるのは,さくらインターネットとXSERVERから私の管理するドメインを騙ったメールが出されようとしたけど,Googleはメールを隔離した模様.
今回見ていて分からなかったのは,DKIMセレクターという部分に Asuusgw とか Packq の意味のなさそうなキーワードが入っているけど,うちではDKIMを設定してないからデタラメが設定されてるってことかな.
次にMicrosoftのOutlookから送られてきたDMARCレポート.
これもXSERVERを使って私の管理するドメインを騙ったメールが出されようとしたけど,拒否したという事.ここでもデタラメなselectorが設定されていますな.
最後にドコモからのDMARCレポート.
他にもDMARCレポートが来ているけど,省略.どのレポートを見てもcountが1ばかりなのでエラーになっているから大量配信を諦めているのだろうと推測.
まず最初は,GoogleからのDMARCレポートメール.
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>8275731102590171692</report_id>
<date_range>
<begin>1699315200</begin>
<end>1699401599</end>
</date_range>
</report_metadata>
<policy_published>
<domain>私の管理しているドメイン.jp</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>reject</p>
<sp>reject</sp>
<pct>100</pct>
<np>reject</np>
</policy_published>
<record>
<row>
<source_ip>112.78.125.108</source_ip> 🈁さくらインターネット
<count>1</count>
<policy_evaluated>
<disposition>quarantine</disposition> 🈁隔離
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>forwarded</type>
<comment>looks forwarded, downgrade to quarantine with phishing warning</comment>
🈁転送されたように見えるが、フィッシング警告とともに隔離にダウングレードされる
</reason>
</policy_evaluated>
</row>
<identifiers>
<header_from>私の管理しているドメイン.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>私の管理しているドメイン.jp</domain>
<result>fail</result>
<selector>Asuusgw</selector> 🈁selectorってなんだ?
</dkim>
<spf>
<domain>私の管理しているドメイン.jp</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>162.43.112.9</source_ip> 🈁XSERVER
<count>1</count>
<policy_evaluated>
<disposition>quarantine</disposition> 🈁隔離
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>forwarded</type>
<comment>looks forwarded, downgrade to quarantine with phishing warning</comment>
</reason>
</policy_evaluated>
</row>
<identifiers>
<header_from>私の管理しているドメイン.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>私の管理しているドメイン.jp</domain>
<result>fail</result>
<selector>Packq</selector> 🈁selectorってなんだ?
</dkim>
<spf>
<domain>sv8.minibird.netowl.jp</domain> 🈁XSERVER
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
今回見ていて分からなかったのは,DKIMセレクターという部分に Asuusgw とか Packq の意味のなさそうなキーワードが入っているけど,うちではDKIMを設定してないからデタラメが設定されてるってことかな.
次にMicrosoftのOutlookから送られてきたDMARCレポート.
<feedback xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<version>1.0</version>
<report_metadata>
<org_name>Outlook.com</org_name>
<email>dmarcreport@microsoft.com</email>
<report_id>6a6e676753ad4d2996501ad1dc8e3201</report_id>
<date_range>
<begin>1699401600</begin>
<end>1699488000</end>
</date_range>
</report_metadata>
<policy_published>
<domain>私の管理しているドメイン.jp</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>reject</p>
<sp>reject</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip>120.136.14.34</source_ip> 🈁XSERVER
<count>1</count>
<policy_evaluated>
<disposition>reject</disposition> 🈁拒否
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<envelope_to>outlook.jp</envelope_to>
<envelope_from><></envelope_from>
<header_from>私の管理しているドメイン.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>私の管理しているドメイン.jp</domain>
<selector>Cxgmbvruzztkjeunz</selector>🈁selectorってなんだ?
<result>fail</result>
</dkim>
<spf>
<domain>sv733.xserver.jp</domain> 🈁XSERVER
<scope>helo</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>最後にドコモからのDMARCレポート.
<feedback>
<report_metadata>
<org_name>docomo.ne.jp</org_name>
<email>reporting@dmarc25.jp</email>
<report_id>8ebccc48e698276d64154e943a6edc7b</report_id>
<date_range>
<begin>1699315200</begin>
<end>1699401599</end>
</date_range>
</report_metadata>
<policy_published>
<adkim>r</adkim>
<domain>私の管理しているドメイン.jp</domain>
<aspf>r</aspf>
<p>reject</p>
<pct>100</pct>
<sp>reject</sp>
</policy_published>
<record>
<row>
<source_ip>123.188.39.124</source_ip> 🈁China Unicom
<count>1</count>
<policy_evaluated>
<disposition>reject</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>私の管理しているドメイン.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<result>fail</result>
<domain/>
<selector/>
</dkim>
<spf>
<domain>私の管理しているドメイン.jp</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>123.188.36.30</source_ip> 🈁China Unicom
<count>1</count>
<policy_evaluated>
<disposition>reject</disposition> 🈁拒否
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>私の管理しているドメイン.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<result>fail</result>
<domain/>
<selector/>
</dkim>
<spf>
<domain>私の管理しているドメイン.jp</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
</feedback>