前に、SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きましたが、今回は、実際に筆者に送られてきたスパムメールがSPF判定をパスしている例を示します。
SPF判定をパスするスパムメールは非常に多く、SPF判定は何の意味もないのが現実です。
■ 送られてきたスパムメールの例
From: 【ECショップ】ご注文の確認につきまして <zqtafc5pn5ww8umr0kew8d@virk.dj8eiidz78rxjk.site> To: xxxxx@yahoo.co.jp Subject: 【xxxxx@yahoo.co.jp】様 ご注文の確認につきまして xxxxx@yahoo.co.jp 様 ご注文を頂きまして誠に有難う御座います。きゆおをにろつに お取引終了まで短い間では御座いますが何卒宜しく御願い申し上げます。きゆおをにろつに 今回ご注文を致しました商品のご確認をお願い致します。きゆおをにろつに http://xxxxx.yg58zymnjgh83.com/Q6a0d-NDc2-ODAxMTEy/NTAyMwQ6a0dQ6a0d/ 尚、御発送に際しましては改めてメールにてご案内申し上げます。きゆおをにろつに 何卒宜しく御願い申し上げます。きゆおをにろつに ■配信停止 http://xxxxx.yg58zymnjgh83.com/Q6a0d-NDkz-ODAxMTEy/NTAyMwQ6a0dQ6a0d/ きゆおをにろつに 4374きゆおをにろつに
(ただし、xxxxx は伏せ字)
■ 送られてきたスパムメールのヘッダ解析
Return-Path: <zqtafc5pn5ww8umr0kew8d@virk.dj8eiidz78rxjk.site> X-YahooFilteredBulk: 43.230.55.71 X-YMailISG: GvGdFSgWLDulFS9fa3gKRk268yNm8vrbt.AVas_6VF1nydFk wZHoN2eBgU9FAZuam4y8Eq7jmp9d3nvgMzBkyzA5bj69S31iiawAh8G_1XHT lHCHooeC_QRyJqlYR2dQMcR51gdMVdvMriFgeBXsSuCsAHIK6ZLaac8j70P4 ms6GXQCNfQvPosMF3LrEkJvEvIRoTkmRR2tnJ0oOkDPtVDavs57c7azTv9ja ZtVJq8DfDkhEPJWtmbtivgeAjJtc.aj_Bfw8153WfQsgQ0G8hekuCUqaDd_w LZjFHbXtie4gPaq3Mt0QAChgevH1.iXbzOiSL93beV1zYNq8cGwjX129iOnW yA5mHMKQlHDAIl7QpBKFn.pZv8JaKujUknHfx_3ogSMMdcBL2Ej9yMj_aLrE Seo6d9i7g9fO9x10XWGRt3elWIQrT3jB2t8IOwuenMieA5U5Uq0Fp8b9XmKv KciuCbYiP2Umr6t1B0bSJdHDV7K8K7MQV3CgvG7T0cG5gmTgTEk_3Y_NC499 _wyiDTJD7Ldg4XqkJFob4vQ0MnplG34V2Tn4FBFcLBav5czUUYtbmGOx7vTi Im_53Szfn4k5snFWW8yMQJMSqos1oM5n9hbcuQB2P6iPGBa_eYuajd1QNUmF 0EbXkYfWEetwGQpZkxr4h.I1Lz2FhaSQ5iEFdKEEsLLd1sCSyQxfidwYOKV7 b3WHxWaaIprEsdCCpcE6c8SpakaKmHhUvFe5d_N9V59B3Ktgl51hyj0P1rsL MWIvacP3luAVHZlou0RFx9YyFyNYdQIydAQqzqTNIM_AdxbI9FFHMLoI1Z0A yTQpQOV4Sx5wMb_I62mB00ktYChFrn4qbeC4nhrCbhRaJTEnwG256bVANWRy eYQtHPd9EeAh.wgeDoLFmnIvZlQyMgBAGUIHBdwu2zMgTLRJJPeiRVxIWxWN itGAcEDdOF63tkWWHdCUXAnqA32_OoNrmQ_FGM_CNOS.RSY.bXotSpLpjo5U 304qHDz6dIkbZZRuKfMauFFR9pZV3sGY7YXgKfYS1FtAK2UYCY1ajp2bfb0R 8FF3JdP.K6V9gXE05eJEE0TELhi_sBPZ3f0pCiOShTEoE5KD7xyiyZEvLmBI Ms0vMGcRK4lDRfpELVzHHZg6kdiAOVYn8uUi1W6xmgZA_w3x9s5kXJ1a1lV7 GCdfc7FpAT4_NbJylzOe2TM6w8a8EAldMMPVs1JDt0XSQReUJOAH_FkDJON9 5lq1ISirFGgQ6bJRx8973j69BS32eeR7SMDFnWTAWaAjeIQiUCw23wpqU4Z. nSaUumt3BI3KSBKdlPVHst1f8_.7Z1PKpnQ.2HvGEx1yt.6kQtyp6S54HuH7 zSgICI8- X-Originating-IP: [43.230.55.71] Received-SPF: pass (localhost: domain of zqtafc5pn5ww8umr0kew8d@virk.dj8eiidz78rxjk.site designates 43.230.55.71 as permitted sender) receiver=localhost; client-ip=43.230.55.71; envelope-from=zqtafc5pn5ww8umr0kew8d@virk.dj8eiidz78rxjk.site; Authentication-Results: mta731.mail.djm.yahoo.co.jp from=virk.dj8eiidz78rxjk.site; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@virk.dj8eiidz78rxjk.site Received: from 43.230.55.71 (HELO localhost) (43.230.55.71) by mta731.mail.djm.yahoo.co.jp with SMTP; Sun, 02 Apr 2017 04:10:50 +0900 Received: from fAY3nIrrUC4CEWX (fAY3nIrrUC4CEWX [127.0.0.1]) by StvOJBiKdC48ZQO29 (Postfix) with ESMTP id IPN45YA9HG3 for <xxxxx@yahoo.co.jp>; Sun, 2 Apr 2017 03:18:28 +0900 (JST) From: 【ECショップ】ご注文の確認につきまして <zqtafc5pn5ww8umr0kew8d@virk.dj8eiidz78rxjk.site> To: xxxxx@yahoo.co.jp Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit Subject: 【xxxxx@yahoo.co.jp】様 ご注文の確認につきまして Date: Sun, 02 Apr 2017 04:10:00 +0900 (JST) Message-ID: <6B8AA690394-28041801-1801182804@2nWwyPMbNokEdaHU6wh.vZhB8cQ>
(ただし、xxxxx は伏せ字)
ここで注目すべきは、Received-SPF: pass になっていることです。
Received-SPF: pass ・・・これは、SPF判定がパス(Fromの@マークの右ドメインがDNSでSPFレコードが正しく設定されており、それがメール送信サーバーとして正当であると判定)されていることです。
確認してみます。
nslookup -type=txt virk.dj8eiidz78rxjk.site
...
権限のない回答:
irk.dj8eiidz78rxjk.site text =
"v=spf1 "
"ip4:218.253.21.237/26 "
"ip4:103.244.222.242/11 "
"ip4:121.58.194.120/24 "
"ip4:121.25.133.194/30 "
"ip4:43.230.55.234/19 "
"~all"
確かに、SPFレコードが正しく設定されています。
スパムメールを大量に送る輩はこういうことが得意なのです。このように抜かりなくパスするようにサーバーとドメインを用意して短期間使用して使い捨てることが多いです。
だから、SPF判定をすることでスパムメールはほとんど減りません。
■ 結論
SPFでスパムメールは減りません。
改めて例は示しませんが同様のことがDKIMにも言えます。
DKIM-Signature が入っているスパムメールは多いです。
メールの仕組み上、どんな対策をしても辿れるのはサーバーまでであって、送信者は辿れないのが実情です。
だから送信者を辿れる仕組みができるまでは、絶対にスパムメールは減るはずがないのです。
裏を返すとフリーメールが存在する限り、絶対にスパムメールは減るはずがないとも言えます。