過去にやっていた仕事の経験を活かし(というわけではありませんが)、キャリアメール宛に送り付けられるスパムメールのヘッダを調べて送信元(経験上、awsとgcpが大半)にabuse report、というのをやっています。
が、対応できないのが1つ。docomoのSPモードメールです。正規の方法で送信されたメールヘッダを見られる人は一度見てください。eFromがなく、FromアドレスのIPが全部固定。つまり…spammerのおもちゃです。
不定期に大量に送りつけられてはweb画面で対処…が1週間続くこともありましたが、今回は酷かった。数日前から数えて50通近くきており(岩田とか斉藤とかのアレです)、さすがにうんざり。
FromアドレスのIPは一律なので、当然使えません。どのマシンが送りつけてるかhintになりそうなものがないかヘッダを見てもさっぱり
(ヘッダのSPF情報も多分本物)じゃ本文の(spammer好みの)ドメインでwhois…引いたらdomain reuse業社orz
ということでdig(確か)で引いたら大当たり!今回はawsが収容先と判明し、awsのabuse reportに件のspammerのメールのsrcをプレゼントしました。
今の所、awsから「うちの顧客でしたので処理してます」というメールが来たのでほっとしてます。
マシンの親アカウント(という言い方で良かったんだっけ?)ごと /dev/null されてもらいたいですね。
ちなみにspam mailのFromのIPからwhoisを引いた際に散見するところを列挙すると
・awsやgcp,sakura:序の口
・IDCFや国内の中小ホスティング会社:報告窓口代わりに代表問い合わせフォームを使わざるを得ないこともあり面倒。
・「かの国」系列と東南アジア:後者の場合、ダミー企業がIP取得した?のかと思うくらい。
最後に…
・スパムメールの参照はweb上でsrcだけ見ましょう(重要)。プライベートで使用してるスマホやタブレットのメールアプリでは絶対受信しないように
てかISP各社も同じようにしてほしい。
・何がしこまれてるかわからないので、セキュリティソフトを最新化したPCかmacでやりましょう。会社からの支給品ではやらないように(違う意味で問題になるので)。
・ヘッダ情報は https://mha.azurewebsites.net に貼り付けてから見るのが簡単。