本日もきました。おおいねー。
ヘッダはこちら
Received: from smtp502.mail.kks.yahoo.co.jp (smtp502.mail.kks.yahoo.co.jp [114.111.99.163]) by mx0.example.jp (Postfix) with SMTP id 19BE87282B1 for <tomo@example.jp>; Thu, 9 Jan 2014 00:47:00 +0900 (JST) Received: (qmail 65990 invoked by alias); 8 Jan 2014 15:47:00 -0000 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.co.jp; s=yj20110701; t=1389196020; bh=yUOrEB46X1nZ5RDkX0cVQQD0BOl5JZhIXnjKYz3+lHI=; DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=yj20110701; d=yahoo.co.jp; Received: from unknown (HELO afbz) (113.237.67.240 with login) by smtp502.mail.kks.yahoo.co.jp with SMTP; 8 Jan 2014 15:46:59 -0000 X-Apparently-From: <ryou_and_akira@yahoo.co.jp> X-YMail-OSG: DIoE.t4VM1nsSeD680qgY2FTPt47dRwGkeY8G8xdzVhyB62A36HO8K5NzMUPdKtC8Q_WTzs.bjN Cf3DXF8BIayytO8qKl_n1eSiL.0VdqJizm3buebEDdFQuS3WTvGU089vTWCedSUgsbFobD6xhn5 1rqL80_8.dteIk3a8qS8er.Og_mGCqUhGgZLWuRp580B.9X7bH7w2X3fiKeTHppGyYqRaBBNz0z Ru4NiHPCCFhfK8Qu2LVsMe.jASML51B0_5ZBOrvHIyu3gEJJA4x8eoea.EInytWDhLAEEw6bzNJ oi.MfPEXh4O2JA1T4OHCYXr_ost0T.Bkyo2KpNT5qPBcj8p15wyJUf.oWRmxPUYSYqGTvESOXa3 pPT8.WOqRqqz0ovyLs.qrXIqmOVy00JngFrCJJcbKqJKalzdIEvC2svTFZUq2rI39er5lmRq11u v7kE.WpSXWs0WOn6SDYKZPTz9dWtMf Message-ID: <17A178B50A4D5A5C4757B304F732E22D@afbz> From: 三菱東京UFJ銀行 <ryou_and_akira@yahoo.co.jp> To: <tomo.yamada@jcom.home.ne.jp> Subject: 「三菱東京UFJ銀行」本人認証サービス Date: Wed, 8 Jan 2014 08:49:06 +0800 MIME-Version: 1.0 Content-Type: text/html; charset="utf-8" Content-Transfer-Encoding: base64 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512 X-URIRBL: No, test=check_uri.pl, version=1.50
今回は、uft-8できてますし、アカウントをどうやって取得したのかというのは置いておいて、yahooの正規ルートで送信されたメールですかね。ヘッダには、spamの送信者のIPが記載があり、 113.237.67.240 で中国からでした。
※ DKIM-Signature と DomainKey-Signature は省略済み
本文の内容は以下の通り
こんにちは! 最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、 利用者の個人情報漏洩事件が起こりました。 お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」 がアップグレードされましたが、お客様はアカウントが凍結されないように 直ちにご登録のうえご確認ください。 以下のページより登録を続けてください。 https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 ――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――
リンク先のドメインは下記の通り
mm162.cn 114.80.100.68
URLをクリックしたところ、前回同様転送されたので、転送先は次の通り
$ w3m -dump_source http://mm162.cn/ images/ | gunzip - <html> <head> <meta http-equiv="Content-Language" content="zh-CN"> <meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312"> <meta http-equiv="refresh" content="0.0;url=http://bk.mufg.jp.rvr.cn.com/ ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001"> <title></title> </head> <body> </body>
bk.mufg.jp.rvr.cn.com 126.65.132.174
上記IPは昨日、
日記に書いたエントリーで、SoftbankBBに通報したのと同じところ。
ちなみに受領し、顧客に連絡をしたというメールはいただいたが、本日現在まだ、未対応。