20240219-A(必要なアクション: 配信保留中の隔離メッセージが 8 件あります ref:hskPp)

2024年2月19日 15:03

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。
「Return-Path:
xxxxxxxx@hyogo-shinkyu.ac.jp
Received:
from ifmta1019.nifty.com
by ibmta1019.nifty.com
with ESMTP
id 20240219035642973.VJZL.118370.ifmta1019.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900
Received:
from tmta0005.nifty.com([106.153.226.51])
by ifmta1019.nifty.com
with ESMTP
id 20240219035642888.ZVUZ.116378.tmta0005.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900
Received:
from ibmta0005.nifty.com
by tmta0005.nifty.com
with ESMTP
id 20240219035642738.VDTT.1516.ibmta0005.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900
Received:
from ifmta0005.nifty.com
by ibmta0005.nifty.com
with ESMTP
id 20240219035642714.UFPE.49139.ifmta0005.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900
Received:
from sv304.xbiz.ne.jp([183.90.231.85])
by ifmta0005.nifty.com
with ESMTP
id 20240219035642641.PNYM.47203.sv304.xbiz.ne.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900
Received:
from [127.0.0.1] (unknown [20.78.60.62])
by sv304.xbiz.ne.jp (Postfix)
with ESMTPSA
id 64D3BD83FF1327
for xxxxxxxx@nifty.ne.jp;
Mon, 19 Feb 2024 12:56:42 +0900 (JST)
Authentication-Results:
nifty.com; spf=softfail smtp.mailfrom=xxxxxxxx@hyogo-shinkyu.ac.jp;
sender-id=softfail header.From=xxxxxxxx@hyogo-shinkyu.ac.jp; dkim=none;
dkim-adsp=none header.from=xxxxxxxx@hyogo-shinkyu.ac.jp
X-Virus-Status:
clean(F-Secure/fsigk_smtp/521/virusgw201.xbiz.ne.jp)
Content-Type:
text/html; charset=utf-8
X-Ms-Exchange-Organization-Messagedirectionality:
Originating
X-Ms-Exchange-Organization-Authas:
Internal
X-Ms-Exchange-Organization-Authmechanism:
02
X-Ms-Exchange-Organization-Authsource:
MWHPR22MB0014.namprd22.prod.outlook.com
X-Ms-Exchange-Organization-Network-Message-ID:
ffe8bf42-c85a-42c8-a084-08d75b722819
X-Ma4-Node:
false
From:
Nifty メールサポート xxxxxxxx@hyogo-shinkyu.ac.jp
To:
xxxxxxxx@nifty.ne.jp
Subject:
必要なアクション: 配信保留中の隔離メッセージが 8 件あります ref:hskPp
Message-ID:
698b9445-6393-afdc-67e1-fdbeda1712b1@hyogo-shinkyu.ac.jp
Content-Transfer-Encoding:
quoted-printable
Date:
Mon, 19 Feb 2024 03:56:42 +0000
MIME-Version:
1.0」

メールヘッダーの詳細な分析を以下に示します。

Received 行の分析

最初のReceived行（最終受信）
- IPアドレス: 20.78.60.62
- ホスト: sv304.xbiz.ne.jp
- 注目点: このIPアドレスはメールが最初に送信されたサーバーを示します。"127.0.0.1"からの転送が記載されていますが、これは内部ルーティングまたはローカルホストからの送信を意味する可能性があります。外部IPは20.78.60.62です。
その他のReceived行
- nifty.com関連サーバー（ifmta1019.nifty.com, tmta0005.nifty.com, ibmta0005.nifty.com, ifmta0005.nifty.com）: これらは内部の転送プロセスを示し、Niftyの内部メールインフラストラクチャを通過したことを示します。
- IPアドレス106.153.226.51と183.90.231.85はNiftyのメールサーバー、およびsv304.xbiz.ne.jpサーバーを指しています。

SPFとDKIMの結果

SPF (Sender Policy Framework): `softfail`
- これは送信元ドメイン（hyogo-shinkyu.ac.jp）のSPFレコードが、送信元IP（20.78.60.62）に対して完全な許可を与えていないことを意味します。ただし、ポリシーが拒否ではなく「softfail」を指定しているため、メールは通常、スパムとして即座には扱われませんが、追加の検証が必要です。
DKIM (DomainKeys Identified Mail): `none`
- メールがDKIMによって署名されていないことを意味します。これは、メールの改ざんが行われていないことを証明する追加のセキュリティレイヤーが欠けていることを示します。

セキュリティ上の懸念

SPFの`softfail`結果とDKIMの不在は、メールの送信元に関して疑念を抱かせます。特に、送信元ドメインが教育機関を示していながら、メールの内容がNiftyメールサポートからのものであると主張している点は問題です。
送信元IPアドレス（20.78.60.62）は、メールが実際にhyogo-shinkyu.ac.jpのドメインから送信されたかどうかについて疑問を投げかけます。

送信元ドメインの信頼性

`hyogo-shinkyu.ac.jp`は教育機関のドメインである可能性が高く、Niftyメールサポートからの通信に使用されるのは不自然です。この点はフィッシング試みまたは誤解を招く可能性があるため、注意が必要です。

結論

このメールにはいくつかのセキュリティ上の懸念があります。送信元ドメインのSPFポリシーのsoftfailとDKIM署名の不在は、メールの真正性に疑問を投げかけます。さらに、送信元ドメインとメール内容の不一致は、受信者に対して注意を促します。実際のNiftyメールサポートからの通信であるかどうかを確認するためには、追加の検証が必要です。

IPアドレスの場所はここ。

画像から提供されたIPアドレスの情報をもとに、これらのIPアドレスが日本国内、特に東京に位置していることが分かります。これは、メールが日本国内のサーバーを経由していることを示しています。以下は各IPアドレスの詳細です：

20.78.60.62
- 国: 日本
- 地域: 東京
- 緯度・経度: 35.6893, 139.6899
106.153.226.51
- ホスト名: mta-fwd0003.nifty.com
- 国: 日本
- 地域: 東京
- 緯度・経度: 35.6897, 139.6895
183.90.231.85
- ホスト名: sv304.xbiz.ne.jp
- 国: 日本
- 地域: 東京
- 緯度・経度: 35.6897, 139.6895

これらの情報は、メールが日本国内のサーバーを経由していることを確認しています。ただし、IPアドレスが東京に位置していることだけでは、メールの真正性や安全性を完全には証明できません。特に、最初に提供されたIPアドレス20.78.60.62は、元のメールサーバーのIPアドレスとして記載されており、メールがそのサーバーから始まったことを示唆していますが、これが実際の送信元であるかどうかは他の情報によってさらに検証する必要があります。

SPFレコードの`softfail`結果は、このIPアドレスが送信元ドメイン（hyogo-shinkyu.ac.jp）によって完全に信用されていないことを示しています。また、メールにDKIM署名がないため、メールの内容が改ざんされていないことを証明するための一般的な手段が欠けています。

したがって、メールの真正性に関する疑問が残ります。受信者は、疑わしいメールに記載されている指示に従う前に、送信元の正当性を確認するための追加の手順を踏むことをお勧めします。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<table style="-webkit-text-stroke-width:0px; border-collapse:separate; color:#212121; font-family:Arial,Helvetica,sans-serif,serif,EmojiFont; font-size:15px; font-style:normal; font-variant-caps:normal; font-variant-ligatures:normal; font-weight:400; height:435px; letter-spacing:normal; text-align:start; text-decoration-color:initial; text-decoration-style:initial; text-decoration-thickness:initial; text-transform:none; white-space:normal; width:630px; word-spacing:0px"> <tbody> <tr> <td height="16" style="border-bottom: 1px solid rgb(204, 204, 204); display: block !important; max-width: 600px !important; margin: 0px auto !important;">  </td> </tr> <tr> <td align="center"> Nifty Secure Webmail xxxxxxxx@nifty.ne.jp のパスワード有効期限通知   ニフティメールサポートは、受信メール 10 件が不明であると判断され、配信をブロックしました.  これらのメッセージは 12 時間後に完全に削除されるため、削除するか受信箱に戻すかを選択してください。 </td> </tr> <tr> <td height="24">  </td> </tr> <tr> <td align="center"><a href="https://nifmail-usr0339-svr93front.s3.us-east.cloud-object-storage.appdomain.cloud/index.html#xxxxxxxx@nifty.ne.jp" rel="noopener noreferrer" style="text-decoration: none; background-color: rgb(85, 85, 85); border-radius: 2px; color: rgb(255, 255, 255); display: inline-block; font-size: 16px; font-weight: bold; line-height: 40px; text-align: center; width: 306px;" target="_blank">隔離されたメッセージを表示する</a> </td> </tr> <tr> <td height="16">  </td> </tr> <tr> <td align="center"> nifty.ne.jp | © 2024 Secure Webmail </td> </tr> </tbody> </table>         」

ファイルを直接解析することはできませんが、提供されたHTMLコードとスクリーンショットに基づいて、このメッセージはユーザーのNiftyメールアカウントに関するものであることがわかります。HTMLコードは、Nifty Secure Webmailからのパスワード有効期限通知を伝えるメールテンプレートの一部を表しています。

このHTML記述とスクリーンショットは、ユーザーに行動を促すものであり、特に「隔離されたメッセージを表示する」というボタンがあります。このボタンは、ユーザーにリンクをクリックさせて、何らかのアクションを取らせることを目的としています。リンク先のURLは、ユーザーのメールアドレスと関連付けられたクラウドストレージサービスのドメインを使用していますが、これは一般的なNiftyメールのドメインではなく、通常のウェブメールサービスのドメインとは異なります。

このタイプのメッセージは、フィッシング詐欺でよく見られるものです。フィッシングは、ユーザーに正当なサービスや企業からのメッセージであるかのように装い、個人情報やログイン情報を不正に取得しようとする詐欺行為です。ここでのリンクは、ユーザーを偽のログインページに誘導し、そこで認証情報を入力させる可能性があります。

このメールが実際にNiftyからの正当な通信であるかどうかを判断するためには、以下の点を考慮する必要があります：

ドメインの検証：リンク先のドメインがNiftyの公式ドメインと一致するかどうかを確認します。
コンテンツのチェック：メールの言語使用や文体が、Niftyの他の公式通信と一致しているかを見ます。
セキュリティプロトコル：メールに含まれるリンクが安全なプロトコル（https://）を使用しているか、またSSL証明書が有効であるかを検証します。
直接問い合わせ：メールの正当性に疑問がある場合、直接Niftyのサポートに連絡して確認を取ります。

最後に、メールが潜在的なセキュリティリスクを含んでいる場合、リンクをクリックしない、添付ファイルを開かない、そして個人情報を入力しないようにすることが重要です。

おそらくフィッシングメールだな。これはNiftyからのメールじゃない。総務省に転送して、お終いにする。サンクス。

その決断は賢明です。フィッシングメールは一見正規のものに見えることが多いため、見分けるのが難しいことがありますが、疑わしい兆候に気づいた場合には注意を払うことが重要です。総務省に報告することは、他のユーザーが同様の詐欺に遭遇するのを防ぐのに役立ちます。

今後も何かご不明点があれば、お気軽にお問い合わせください。サポートできることがあればいつでもお手伝いします。フィッシング対策としては、常に公式の連絡先を通じて情報を確認し、未知のリンクや添付ファイルを開かないことが肝要です。お気をつけて。

メールが不明になっているのに、その「不明」なメールを、どうやって消すんだよって話。もう、そこだけで、バレバレじゃん。

その通りです。メールの内容に矛盾があるのは、フィッシング詐欺を見破る大きな手がかりとなります。フィッシング詐欺師は様々な手法を使って信用を得ようとしますが、その試みが常に論理的であるとは限りません。メールが「不明」であると主張しながら、それを消去するかどうかの選択をユーザーに迫るのは、まさにそのような矛盾です。

ユーザーがメールを確認していない、または存在を知らないメールに対して行動を要求することは意味がありません。このような論理的矛盾は、メールが正規のサービスプロバイダーからのものではないことの明確な兆候です。

フィッシング詐欺は、急を要するように見せかけたり、ユーザーに不安を感じさせたりすることで、慌ててクリックさせることを狙います。ですが、実際には、正規の企業や組織はこのような不明確な言い回しや緊急性を要求する通信をすることはほとんどありません。

ご指摘のように、このような疑わしい点を見つけたら、そのメールは無視し、関連する機関に報告するのが最善です。フィッシング詐欺の被害に遭わないためにも、常に慎重に行動することが重要です。

いいなと思ったら応援しよう！

この記事が参加している募集

#AIとやってみた

43,391件