更新日更新内容
2025/02/22"あやしいメール"と判断する振り分けの条件を追加/修正
2024/01/30"あやしいメール"と判断する振り分けの条件を追加


よく、Amazonなどの有名な企業を騙ったメールが来たりします。
みなさま、どうしていますか?

プロバイダーや、メールソフト(メーラー)の
迷惑メール対策機能などに頼っていたりするのでしょうか?

文面を見ても、見分けがつかないメールが、最近多くなってきていますので、
私が見分けている方法について記載いたしますので、参考にしてください。

お約束ですが、これをやっていれば、
絶対に安心というわけではありませんので、悪しからず。


まずは、下図を見ていただきたいのですが、
  • 差出人(From:)
  • "amazon pay"などの画像
  • "マイストア"のリンク(画像上ではわかりませんが・・・)
どれを見ても、普通に見えます。
あやしいメール1
あやしいメール2

それもそのはず、
  • 差出人(From:)は、Amazonのドメイン
  • "amazon pay"などの画像は、Amazonのサイトにある画像
  • "マイストア"のリンク先は、AmazonのサイトのURL
です。
本物をコピーして作ったのかもしれません。

このメールを確認した結果が、下記になります。
タイプ個数問題なし *1要確認問題あり詳細
画像
img		414100
画像リンク
a + img		191801 [Amazonギフト券がもらえる]画像
 画像自身 - 正規URL
 リンク先 - あやしいURL
テキストリンク
a		5401 [支払い方法を更新する]ボタン
 リンク先 - あやしいURL
メールヘッダー--12 Date:
 タイムゾーンが+0800
 日本は+0900、中国,台湾,香港などは+0800
 あやしいメールが、+0800の場合が多いので要確認

最後にあるReceived:
 .local - 正式にドメインを取得していない
 (昔はあったが、流石に現在では問題あり

Message-ID:
 @IPアドレス - 正式にドメインを取得していない
 (昔はあったが、流石に現在では問題あり
下図は、抜粋であり、"Received:"はすごく長いので、短くしています。
あやしいメール3
*1 ここでいう"問題なし"とは、"Amazonの正規なコンテンツを使用している"を指しており、
 このメールを送信している方が、
 "Amazonのコンテンツを不正に利用している"ことは問題です。

上記の結果を見てもらうとわかる通り、
リンク全部を確認するには、数が多すぎますが、
メールヘッダーで判別したうえで、
本当に関係しそうなメールだけ、リンクを確認したほうが、
手間が少なくなると思います。

下記は、私が使っているメーラーに設定している、
"あやしいメール"と判断する振り分けの条件です。
項目条件備考
Date:+0800を含む
Received-SPF:failで始まる2024/01/30 追加
Received-SPF:softfailで始まる2025/02/22 追加
Received-SPF:neutralで始まる2025/02/22 追加
Received-SPF:temperrorで始まる2025/02/22 修正
Received-SPF:permerror で始まる2025/02/22 修正
Received-SPF:noneで始まる2024/01/30 追加
Received:+0800を含む2024/01/30 追加
Received:.localを含む*1
Message-ID:@[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}を含む(正規表現)
X-Mailer:Supmailerを含む
X-Mailer:Foxmailを含む
X-Mailer:NetEase FlashMailを含む2024/01/30 追加
など
*1 あやしくないところでも、まだ使っている所あり。条件にするかは検討してください。

いずれかに該当したからと言って、
必ずしもあやしいとは言い切れませんので、
本当に関係しそうなメールだけ、
リンクをチェックするようにしております。

ヘッダー情報での振り分けができるメーラーとまでは言いませんが、
最低でも、ヘッダー情報が確認できるメーラーをお勧めいたします。
以上になります。