読者です 読者をやめる 読者になる 読者になる

Source Channel

ざっくばらんに書きます

support@ftndex.us からのメールはスパムなのか検証

コンピュータ

 

久しぶりにGmailの迷惑メールフォルダを漁ってみたところ、下のようなメールが。。。

f:id:a211issei:20160813100026p:plain

いつもならスルーしていた内容だったのですが、Googleのロゴを堂々と使っていることと、心当たりが一つありました。

つい先日、Google Adwordsにホームページを登録していたのです。しかも独自ドメインで運用していたこともあり、上の画像では青く塗りつぶしているのですがそこに書いてあったドメインがビンゴだったので、ちょっとだけ信憑性があったのです。

という訳で検証してみました。とは言えGoogleの公式サービスであるAdwordsの関連サービスから送られてくるEmailなのに迷惑メールフィルタにかかる時点でほぼ間違いなくスパムなんですけどねw

support@ftndex.usとは何ぞや

まずはGoogleでこのアドレスごと検索してみました。

結果は日本語の記事無し。これがスパムであるかどうかを検証したブログもありませんでした。んんー案外スパムじゃなかった?

http://ftndex.us/でアクセスしてみる

試しにftndex.usドメインで、どんなホームページを公開しているのか調べてみることに。結果・・・

f:id:a211issei:20160813100533p:plain

cgi・・・とな?!

まあ、普通の企業ならindexにcgiプログラムが格納されたディレクトリを格納することはありませんよね(笑)

試しに中身を見てみることに。

f:id:a211issei:20160813100925p:plain

なんだ、つまんないの。

まあ、何というか、この流れからスパム確定して良さそうですね。

メールヘッダを確認

念のため、メールヘッダを確認してみることに。

Delivered-To: *************** Received: by 10.103.116.135 with SMTP id p129csp2373519vsc; Mon, 1 Aug 2016 01:43:30 -0700 (PDT) X-Received: by 10.98.18.221 with SMTP id 90mr94529577pfs.3.1470041010744; Mon, 01 Aug 2016 01:43:30 -0700 (PDT) Return-Path: <010101564545acf3-51f11911-bf2d-4324-b9c7-7ecfb1199d41-000000@us-west-2.amazonses.com> Received: from a27-123.smtp-out.us-west-2.amazonses.com (a27-123.smtp-out.us-west-2.amazonses.com. [54.240.27.123]) by mx.google.com with ESMTPS id r11si33985751pag.260.2016.08.01.01.43.30 for <******@gmail.com> (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128); Mon, 01 Aug 2016 01:43:30 -0700 (PDT) Received-SPF: pass (google.com: domain of 010101564545acf3-51f11911-bf2d-4324-b9c7-7ecfb1199d41-000000@us-west-2.amazonses.com designates 54.240.27.123 as permitted sender) client-ip=54.240.27.123; Authentication-Results: mx.google.com; dkim=pass header.i=@ftndex.us; dkim=fail header.i=@amazonses.com; spf=pass (google.com: domain of 010101564545acf3-51f11911-bf2d-4324-b9c7-7ecfb1199d41-000000@us-west-2.amazonses.com designates 54.240.27.123 as permitted sender) smtp.mailfrom=010101564545acf3-51f11911-bf2d-4324-b9c7-7ecfb1199d41-000000@us-west-2.amazonses.com DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=hkdp7v73ecdljgaznrczuag6dswgxn7p; d=ftndex.us; t=1470041009; h=Message-id:Date:Subject:From:Reply-To:To:MIME-Version:Content-Type:List-Unsubscribe:List-Id; bh=pxVDfkWSJlsA6kmbNeW6aq4t1kKnprkNqU6Yxbk2bZk=; b=VZwyuG+QlGsdgqqW06PsyUC8h1HmNEhnM244qd9Ervbw+YOWkYMuTHI38jIqPbgm ffTRJ2vXxFMvZX0d1x+L8iW87eqfRI6JAlvrnbXzG+VqUGELyQi9BiRk+3X0KQO4aUT tttoP6SBRugZtxIxltQefNVApbLwloHbIGmQgATw= DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=gdwg2y3kokkkj5a55z2ilkup5wp5hhxx; d=amazonses.com; t=1470041009; h=Message-id:Date:Subject:From:Reply-To:To:MIME-Version:Content-Type:List-Unsubscribe:List-id:Feedback-ID:Feedback-ID; bh=pxVDfkWSJlsA6kmbNeW6aq4t1kKnprkNqU6Yxbk2bZk=; b=Y4RzE2Vs8tTghxlgJeWKJlP/vHqoQ7KHPNQkV9ijHed7zPHg5r1CLn2llUoMzKEO HgjnGWAxR3KfEDQwS/9PXlIR+ODV//2XrxLPkqhiuLD4hgdP7+mNUKlG/oHBWeKqJ2h 8Mot88/tV7c/9bYFBqlkTJfN1YTki2hhUx9RJD20= Message-ID: <010101564545acf3-51f11911-bf2d-4324-b9c7-7ecfb1199d41-000000@us-west-2.amazonses.com> Date: Mon, 1 Aug 2016 08:43:29 +0000 Subject: Website Confirmation From: Support <support@ftndex.us> Reply-To: Support <support@ftndex.us> To: *********@gmail.com MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="_=_swift_v4_1470040992_67e713b6aeb7cf5d0deeaef82fa7e5ea_=_" X-Sender: support@ftndex.us X-Report-Abuse: Please report abuse for this campaign here: http://tracking.ftndex.us/campaigns/vt22195j1pb57/report-abuse/am73261yt781b/nc4067xcn0a3e X-Receiver: ********@gmail.com X-Mw-Tracking-Did: 710 X-Mw-Subscriber-Uid: nc4067xcn0a3e X-Mw-Mailer: SwiftMailer - 4.14.6 X-Mw-Delivery-Sid: 1351 X-Mw-Customer-Uid: hs559m5h0ze0d X-Mw-Customer-Gid: 32 X-Mw-Campaign-Uid: vt22195j1pb57 List-Unsubscribe: <http://tracking.ftndex.us/lists/am73261yt781b/unsubscribe/nc4067xcn0a3e/vt22195j1pb57/unsubscribe-direct?source=email-client-unsubscribe-button> List-Id: am73261yt781b <7-10> Feedback-ID: 1.us-west-2.j9/V2S3qzMzegmuDnxgsT843TDTgHmhlFeZ5aIN8i9g=:AmazonSES X-SES-Outgoing: 2016.08.01-54.240.27.123

 

とまあこんな調子で。
このヘッダーの解析は、面倒くさいんで諦めました(笑)

興味がある方は調べてみてはいかがでしょう。