ブログ - SpamAssasinでSUSP_UTF8_WORD_FROMのスコアが加点されたアメックスを騙るフィッシングメール
SpamAssasinでSUSP_UTF8_WORD_FROMのスコアが加点されたアメックスを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/12/25 17:36
総数からすると少ないけど,ポツポツくるAMEXを騙るフィッシングメール.
別に面白味はないのでスルーすることも多いのだけど,今回SpamAssasinのヘッダを見たらSUSP_UTF8_WORD_FROMというのがあったので調べてみた.
調べるとSUSP_UTF8_WORD_FROMは Word in From name using only suspicious UTF-8 characters (不審な UTF-8 文字のみを使用する From 名の単語)という意味.メールの画面を見てみるとFromヘッダの名前欄がイタリック表示されている.
ソースコードを確認.
FromヘッダにUTF-8で記述がある.これをデコードしてみる.
American Expressという文字が浮かび上がってきた.
SUSP_UTF8_WORD_FROMは「不審な」となっているけどこういう装飾のあるFromヘッダは見たことないな,と思ったけど漢字名を入れている人は多いから,メーラーによってはJISじゃなくてUTF-8だったりするのかもしれないね.
なぜこんなことをしているかというと,単純なキーワード検索でヒットしないようにしているだけでしょう.
今回,SpamAssasinで迷惑メール判定で設定しているスコア10に届かなかったけど,このタイプは迷惑メールの数としては少ないので,今回はスコアの変更をせずに様子見って感じかな.
別に面白味はないのでスルーすることも多いのだけど,今回SpamAssasinのヘッダを見たらSUSP_UTF8_WORD_FROMというのがあったので調べてみた.
調べるとSUSP_UTF8_WORD_FROMは Word in From name using only suspicious UTF-8 characters (不審な UTF-8 文字のみを使用する From 名の単語)という意味.メールの画面を見てみるとFromヘッダの名前欄がイタリック表示されている.
ソースコードを確認.
FromヘッダにUTF-8で記述がある.これをデコードしてみる.
American Expressという文字が浮かび上がってきた.
SUSP_UTF8_WORD_FROMは「不審な」となっているけどこういう装飾のあるFromヘッダは見たことないな,と思ったけど漢字名を入れている人は多いから,メーラーによってはJISじゃなくてUTF-8だったりするのかもしれないね.
なぜこんなことをしているかというと,単純なキーワード検索でヒットしないようにしているだけでしょう.
今回,SpamAssasinで迷惑メール判定で設定しているスコア10に届かなかったけど,このタイプは迷惑メールの数としては少ないので,今回はスコアの変更をせずに様子見って感じかな.
