時々、明らかに悪意のあるペイロード (有害なマクロを含む Word 文書など) を含む電子メールを受信します。
これらの電子メールは認識できるので心配していませんが、送信者とされる人物は全員同じ会社の従業員であり、そのことは私も知っています。いずれにしても、送信者のアドレスは架空のものです。
そこで質問です。どちらがより可能性が高いでしょうか? 相手のメールボックスがハッキングされて悪用された可能性、または私自身のメールボックスがハッキングされた可能性?
知る方法はありますか?
答え1
確実に言うのは難しいですが、これが最も可能性の高いシナリオだと思います。
- 送信者のドメイン名にSPFドメインの電子メールの送信が許可される IP アドレスを制限するレコード。
私の経験から、考えられる他のシナリオを、可能性の高い順に挙げると次のようになります。
- 送信者の電子メール アカウントまたは電子メール サーバーが侵害され、サーバー上の既知の連絡先にスパムが送信されています。
- 送信者のドメイン名には適切な SPF レコードがありますが、メール サーバーのスパム対策ソフトウェアはなりすましメールをチェックしていません。
- あなたのメール サーバーまたはアカウントが侵害され、マルウェア配布者があなたの連絡先リストを使用してマルウェア メールを受信トレイに配置しています。
シナリオ 1 – 送信者の SPF の設定が間違っている
これは最も可能性の高いシナリオです。質問への更新送信者の電子メール アドレスが「架空の」ものであること。なりすましの送信者は、ターゲット ドメインの実際のメールボックスを必ずしも知っているとは限りません。
症状
誰かからメールを受信しましたが、その相手はメールの送信を否定しています。送信済みメッセージ フォルダーや送信元サーバーのメール ログにも一致する記録が見つからない場合があります。
原因
送信者のドメイン名には、なりすましを防止する SPF (Sender Policy Framework) レコードがありません。
診断
example.com次のコマンドでドメインの SPF レコードを確認できます。
nslookup -type=TXT example.com
送信者のドメイン名に置き換えますexample.com。次のようなレコードが表示される場合があります。
"v=spf1 +a +mx +ip4:127.0.0.1 -all"
上記の例では、
+aドメインの A レコードの IP アドレスがこのドメインに代わって電子メールを送信できるようにすることを意味します。+mxドメインの MX レコードを解決し、それらのドメインが電子メールを送信できるようにすることを意味します。+ip4:127.0.0.1IP アドレスが127.0.0.1このドメインの電子メールを送信できるようにすることを意味します。-all他のすべての IP アドレスからのこのドメインへの電子メールの送信を拒否することを意味します。
送信者が SPF レコードに SPF を持っていない場合-all、SPF を検証する受信メール サーバーは、誰でも送信できる偽装メールを受け入れる可能性があります。
Received:受信した悪意のあるメールのヘッダーを読むことで、メールの実際の送信者を確認できます。Received:ヘッダーは、メールが通過した各メール サーバーの逆順になっていますが、メール サーバーによって追加されていないヘッダーは偽装される可能性があることに注意してください。メール ゲートウェイによって追加された最初のヘッダーには、Received:メールの送信元が示されています。例:
Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.91)
(envelope-from <[email protected]>)
id 1gUudZ-00BGJx-L7
for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600
上記の例では、メールは から送信され、スパム送信者のドメイン の40.107.81.54SPF レコード ( ) チェックに合格したため、メールは受け入れられました。"v=spf1 include:spf.protection.outlook.com -all"luxurylifestylereport.net
あるいは、電子メール サーバーのログにアクセスできる場合は、そこから電子メールの送信元を読み取ることができます。
解決
送信者のポストマスターは、スパム送信者がドメインを偽装してメールを送信するのを防ぐために、ドメインの SPF レコードを設定する必要があります。これは、自分で行うことはできません。
ポストマスターがこの問題を修正するまで、スパム対策設定を調整して、悪意のある添付ファイルやスパムコンテンツを含むメールをブロックしてみてください。
シナリオ 2 – 送信者のメールが侵害される
この問題は時々発生するとおっしゃっているので、このシナリオは起こりそうにありませんが、過去に誰かがこれに気づいて報告しているはずです。
症状
メールのヘッダーを見ると、メールが送信者のドメインのメールを送信することが許可されている IP アドレスから送信されたことがわかります。
原因
IP アドレスのメール サーバー、またはそれを経由してメールを送信するサーバーが侵害されています。ハッカーは送信者が知っている連絡先のコピーを見つけ、関係のある人物を見つけるためにそれらの連絡先にメールを送信しようとしている可能性もあります。
診断
シナリオ1と同じプロセス
解決
送信者のポストマスターは、電子メール システムを停止して保護する必要があります。これは、あなたが実行できるものではありません。
ポストマスターがこの問題を修正するまで、スパム対策設定を調整して、悪意のある添付ファイルやスパムコンテンツを含むメールをブロックしてみてください。
シナリオ 3 – 受信メールサーバーが SPF レコードをチェックしない
このシナリオは起こりにくいです。なぜなら、スパマーは、すでになりすましから保護されているドメインのメールを偽装するためにリソースを無駄にしたくないからです。おそらく、他のドメイン名からも偽装メールが大量に届くでしょう。
症状
誰かからメールを受信しましたが、その相手は自分が送信していないことを証明できます。実際、ドメインの SPF レコードが適切に設定されていることは誰でも確認できますが、受信したメールはドメインの SPF レコードで禁止されている IP アドレスから送信されたものです。
原因
電子メール サーバーはなりすましの電子メールをフィルタリングしていません。
診断
シナリオ1と同じプロセスですが、送信者のIPアドレスがSPFチェックに失敗したことがわかります。
解決
SPF 検証を構成する方法については、電子メール サーバーのドキュメントを参照してください。
シナリオ4 – 受信者のメールアカウントが侵害される
このシナリオは、侵害されたという事実を隠して、メール アドレスの評判の良さを利用して他の人にスパムを送信する方が儲かるため、起こりにくいです。また、悪意のあるエンティティは、送信元のメール アドレスを多様化している可能性があります。
症状
受信メールのログに表示されたメールが表示されないか、受信したメールのヘッダーが意味をなさない。
原因
誰かが、実際にメールを送信することなく、すでに侵害されたメール アカウントにマルウェア メールをドロップすることで、さらにアクセスできるようにしたいと考えています。メールは IMAP プロトコル経由で追加できます。
診断
メール サーバーのログで、認識できない認証がないか確認してください。
解決
電子メール アカウントのパスワードを変更します。