My Blog

流出したメールアドレスに来ていた詐欺メールをフィルターで止めていたのだが，やはりメールアドレスが知られるとあの手この手で送ってくる

以下がメールヘッダー（拙者のメールアドレスは削除）

Return-Path: <smbcjp@duoti57.shop>
X-Original-To: xxx
Delivered-To: xxx
Received: from mail.duoti57.shop (unknown [113.31.114.158])
 by Cubian (Postfix) with ESMTPS id 46D8844A7F
 for <xxx>; Sat, 23 Sep 2023 06:49:11 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=duoti57.shop;
 h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type;
 i=smbcjp@duoti57.shop;
 bh=t67Tziiu0qe3pvTBkXeI4WK82dtukx5Pqg98/zt6T0w=;
 b=Gx8Ar0cSKI2u2q5NSTHPdGnG4ucFweUVLLUyoeRGGXZcWyoewyeI3u6/EZB2L7XHUvAmN/myyIq2
 GCYy21mSWCshQSL+oouFRl7XJEPDF0MftPhymt5UUmcbxoSNS+lISUHQhPphVeYXlPw/b1sR54i5
 J4xfZ1Hv5k7nvV8h+6PfHtZp8BRGXS+YQwfOeKvV4HsYsu1UDLBFRR819cXfUgV7cEXv2cZT+Ztt
 Kjw0zFhW2mJ+mOxaL3GE46VF9AFBTZy5byyoYfDGWHjtiHskVvcA/PFgdv9xsGu+HRFJ+HgR94fh
 w515ZLolC5dEMgRJDOIZBZlK4pSxtPgLSQ+UPQ==
Date: Sat, 23 Sep 2023 05:48:59 +0800
From: =?utf-8?B?5LiJ5LqV5L2P5Y+L44Kr44O844OJ?= <smbcjp@duoti57.shop>
To: <xxx>
Subject: =?utf-8?B?44GK5pSv5omV44GE5pel44Gu44GU5qGI5YaF?=
Message-ID: <20230923054908532308@duoti57.shop>
Mime-Version: 1.0

同じくメールヘッダー（拙者のメールアドレスは削除）

Return-Path: <support@service.kjh8y2483g.com>
X-Original-To: xxx
Delivered-To: xxx
Received: from service.kjh8y2483g.com (unknown [172.245.223.90])
 by Cubian (Postfix) with ESMTP id 3563A44916
 for <xxx>; Sun, 24 Sep 2023 06:23:13 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=service.kjh8y2483g.com;
 h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type;
 bh=+/AVtK2BS5b2YK9D0VOGEZqtpko=;
 b=D1rBSWRRpAdyrpChpcmip1mykjHf/3KwEaY0Ni9D+fjnDlIr2HavZ94+/1CooTHpliJW3p+4Ma6/
 SLeHaU5qcfHN35VCnA0ZbsVtp5YbF6j6+JiiEz0Vn9iquITwPkm51MBm+7HXZuP80IMHojyVM/CF
 IoCnECXJwv5SpK25iGE=
Received: from yahoo2.com.cn (103.252.116.14) by service.kjh8y2483g.com id h1tbk00001g3 for <xxx>; Sat, 23 Sep 2023 17:23:10 -0400 (envelope-from <support@service.kjh8y2483g.com>)
Date: Sun, 24 Sep 2023 05:22:51 +0800
From: =?utf-8?B?5LiJ5LqV5L2P5Y+L44Kr44O844OJ?= <support@service.kjh8y2483g.com>
To: <xxx>
Subject: =?utf-8?B?44GK5pSv5omV44GE5pel44Gu44GU5qGI5YaF?=
Message-ID: <20230924052300245660@service.kjh8y2483g.com>
X-mailer: Foxmail 6, 13, 102, 15 [cn]
Mime-Version: 1.0

連続で２日間送られてきて２つの本文は同様だが発信元が異なるようでアドレスが拡散されてるのかもしれない

面倒だが対策しないとならない

今度は三井住友カードを騙り詐欺メールがきた

流石にこれでは困るので対策したがセキュリティ確保のためどうしたかは記載しない

またAmazonを騙ったフィッシングメール（詐欺メール）が来ていた

メールアドレスが知られてしまったのでメールアドレスを変更しない限り回避は困難だろう

今回はプライム会員更新の確認を餌に送られてきたが日付が異なるのと確認なしに設定したこともありおかしいと判断（文面でも怪しいの判るけど）

今後もAmazonからのメールは細心の注意を！

8日から詐欺メール（フィッシングメール）が4日間連日で送られてきていた

12日に気付き対策を実施

フィッシングメールの内容

「Amazon」と「えきねっと」を偽って送られてきている

どちらも同一メールアドレスへ4日間で2種類入っていた

（Amazon：パターン１）

（Amazon：パターン２）

（えきねっと：パターン１）

（えきねっと：パターン２）

調べてみると去年（2022年）の7～8月から問題になっているようだ

Amazonのメールでも怪しいことは判ったが，えきねっとはそもそも利用していないので速攻で判明

原因について考察

メールアドレスがどこからか漏れて知られてしまった訳だが，拙者の場合メールサーバを自身で運用しているので，迷惑メール対策し易いよう目的別にメールアドレスを設定している

今回知られてしまったメールアドレスは以下のサイトでのみ登録，他では利用していないので漏れたのは以下のサイトからの可能性が高い

• Amazon（昔の出店メーカを含む → 最近はAmazon経由で届いているので知られていないと思う）
• Vastking
• Aliexpress
• aitendo
• 千石電商
• スイッチサイエンス
• RSコンポーネンツ
• ドスパラ
• あきばお

（注）可能性が高いと思われる順にしてある

（2023.04.15追加）

13日（この記事書いた後の23時36分）に千石電商「せんごくネット通販」からメールがあり，2023.4.7に不正アクセスがあってメールアドレスが流出したとの事

とりあえず流出元が判明

対策

メールアドレスを変更するのが良いかと考えるが再登録に時間を要するので，今回は即効性を重視し「postfix」のメールフィルターで対応

送信元メールアドレス

Amazon.co.jp <support@service.cmpvs.cn>
Amazon.co.jp <support@service.qidianyou.cn>
Amazon.co.jp <wwdf@service.706821.cn>
Amazon.co.jp <support@service.agjy5.cn>
えきねっとサポートセンター <support@service.077y.cn>
えきねっとサポートセンター <qme@service.msxdnj.cn>
えきねっとサポートセンター <ljhwp@service.ghng6on.cn>
えきねっとサポートセンター <support@service.eoguqcy.cn>

/etc/postfix/main.cf に以下の行を追加

header_checks = regexp:/etc/postfix/header_checks

/etc/postfix/header_checks にフィルターを記述

/^From:.*@.*\.cn/ REJECT

チャイナドメインからは全て拒否にした

最近の例では「.ci」（コートジボワール）もあるそうだ

設定を反映

# service postfix reload

踏み台

メールのREJECTをログで確認しようと閲覧したところ，情けないことにメールサーバが踏み台にされていたことが判明（対応ミス）

connect from unknown[193.56.29.158]
connect from unknown[193.56.29.192]
connect from unknown[103.151.125.9]

至急対応するためこちらを参考にIPによる制限を設定

また上記のアドレスの接続拒否を実施

# iptables -I INPUT -s 193.56.29.158 -j DROP
# iptables -I INPUT -s 193.56.29.192 -j DROP
# iptables -I INPUT -s 103.151.125.9 -j DROP


# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 103.151.125.9 anywhere
DROP all -- 193.56.29.192 anywhere
DROP all -- 193.56.29.158 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
#

とりあえずログからは消えた