金融機関やネットショップを装ったスパムメール対策
レジットカード・Amazonなどを装ったスパムメールの特徴
最近、クレジットカードやAmazonなどのネットショップを装ったスパムメールがとても多いです。
拝啓、
Amazonプライムをご利用いただき、誠にありがとうございます。この度、お客様のAmazonプライム会費のお支払い方法に問題が発生していることをお知らせいたします。
お客様のAmazonプライム会費は、過去数ヶ月にわたってご登録いただいたクレジットカードの情報によりお支払いいただいておりました。しかしながら、最近弊社のシステム上において、お客様のクレジットカード情報が正常に反映されていなかったため、会費のお支払いができていなかったことが判明いたしました。
このままでは、お客様のAmazonプライム会員資格が停止され、プライム会員特典のご利用ができなくなる恐れがございます。誠に申し訳ございませんが、早急にお支払い手続きをお願いいたします。
お支払い方法につきましては、以下の手順に従っていただきますようお願い申し上げます
※本メールは重要なお知らせのため、メールを受け取らない設定をされている方にも。
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。
お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
三井住友カードをご利用のお客様へ
このたびは三井住友カードをご利用いただき、誠にありがとうございます。
下記のご利用照会がございましたので、お知らせいたします。
※本メールは、ご利用・請求を確定するものではありません。
ご利用日時:2024/06/03 23:50
ご利用場所:ヤマダデンキ掛川店
ご利用金額:8, 060円
カードを使用した覚えがない場合は、以下 の リ ン ク をクリ ッ ク し てカ ー ド使用の詳細を確認してください。
ご本人様の確認はこちらへ
上記のように身に覚えのないメールで有り得そうなので思わず本文中のURLをクリックしそうになります。
PCからでしたらメールのソースを開いて確認できるのですが、スマートフォンからですとそうも行きません。
スパムメールの特徴
該当するスパムメールの特徴を調べました。
IPアドレスは毎回変わる
まず、IPアドレスで個別に拒否しようと考えました。しかし、リストにするには骨の折れる作業です。どうやら送信元IPアドレスは無限にあるようです。
IPアドレスなどでの個別の拒否は現実的ではないと考えました。
逆引きの出来ないIPからの送信が多い
該当スパムメールの特徴として逆引きが出来ないメールアドレスからメール送信していることがわかりました。
逆引きの出来ないIPアドレスからのメールを拒否
Postfixの設定
上記のようなスパムメール対策として逆引きの出来ないIPアドレスからのメールは拒否するよう以下のように設定しました。
/etc/postfix/main.cf
smtpd_client_restrictions =
permit_mynetworks,
+ reject_unknown_client,
permit上記を設定するだけでかなりの数のメールを拒否してくれているようです。
Swatchの設定
Postfixのみでも良いとは思うのですが、こういうスパムメールを大量に送りつけてくるようなIPアドレスは遮断してしまいたいです。
そこで、Swatchに以下の記述も追記しました。
watchfor /postfix\/smtpd.*SASL .* connect from unknown/
pipe "/usr/local/bin/swatch_action.sh '\\\\[|\\\\]' 4"
threshold track_by=/postfix\/smtpd.*SASL .* authentication failed:/,type=threshold,count=10,seconds=10