大手企業に似せたドメイン名を使う迷惑メールを弾く

少なくともこの半年ほどは迷惑メールが減ったなぁという印象。特に日本語の迷惑メール。もしかしたら100%迷惑メールしか送らないホストを弾くようにしたからかもしれないけど。
そんな中で気になるのがマスコミや大きな企業・サービスの名前に似せたようなドメイン名を使っている迷惑メール。メールヘッダを見てみると特定のドメイン名が入り混じっているという特徴がある。あと、SPFがPassになるのも特徴かしら。メールの内容は様々なので迷惑メールを送信することをビジネスとしている個人/グループのよう。
「クセがすごい」(ノブ風)ので迷惑メールフィルタで100%迷惑メールに振るい分けられるのだが、そもそもこんなメールをメールサーバで受けるのが嫌だ。受けないためにはメールサーバでこれらのメールサーバーからの通信を受付けさせない設定が必要。
その情報を調べるため2日ほど溜めた迷惑メールの中からこの特徴的なメールだけメールヘッダを見てみた。

envelope-from <ihasxhgow+err214395s2228@bsjapan9.com>
Received: from og3gxx4pl.nka (unknown [103.20.36.197])
header.from=amazonprim.net
R_SPF_ALLOW(-0.20)[+ip4:103.20.36.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <nyxptcfl+err167230s498@yomiurinewz.com>
Received: from shxt0b.fwb (unknown [103.41.240.25])
header.from=tpointcard.com
R_SPF_ALLOW(-0.20)[+ip4:103.41.240.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <nvyclsyvtu+err166801s489@yomiurinewz.com>
Received: from ex0o9v4.ftz (unknown [103.41.241.130])
header.from=yomiurinewz.com
R_SPF_ALLOW(-0.20)[+ip4:103.41.240.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <dbdvjugfa+err1279s61@system505.com>
Received: from o3t7k1zs.jrz (unknown [103.40.126.215])
header.from=gooogly.net
R_SPF_ALLOW(-0.20)[+ip4:103.40.124.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <nvyclsyvtu+err166602s487@yomiurinewz.com>
Received: from 99wdo.tod (unknown [103.41.240.201])
header.from=tvasahi5.com
R_SPF_ALLOW(-0.20)[+ip4:103.41.240.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <kplrwgdjt+err212615s2251@bsjapan9.com>
Received: from bl2pqr0.sha (unknown [103.20.36.116])
header.from=nttdocomos.com
R_SPF_ALLOW(-0.20)[+ip4:103.20.36.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <ilusutivi+err212398s2256@bsjapan9.com>
Received: from rnwcti8.fgx (unknown [103.20.38.18])
header.from=rakutenservice.com
R_SPF_ALLOW(-0.20)[+ip4:103.20.36.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

envelope-from <mtjrdv+err163908s511@yomiurinewz.com>
Received: from 9agar9g.lzc (unknown [103.41.242.148])
header.from=nhkservice.com
R_SPF_ALLOW(-0.20)[+ip4:103.41.240.0/22];
v=spf1 include:spf-iwv.burn-oxygen.com ~all

実際にはもっと大量に来ているがそれぞれ3行目のheader.fromのドメイン名がユニークなものを1つずつ挙げた。伏せ字無しでIPアドレスなどもそのまま掲載している。
それぞれ1, 2行目はどのメールでもおなじみのもの。2行目は複数あるなら自分のメールサーバが通信した相手の行を抽出。 3行目はAuthentication-ResultsでSPFの判断結果の中から抜き出した。4行目は迷惑メールの振り分けに利用しているRspamdが追加した診断結果の一部。5行目はheader.fromに書かれているドメイン名のSPFレコードを調べたもの。
一応8ドメインは迷惑メールの送信に利用されていることが確認できた。他に、日経っぽい名前のドメインもあったような記憶があるけど、この2日で溜めた中には無かった。
また、この2日で溜めた中には無かったが、上のメールヘッダに度々登場しているbsjapan9.comも迷惑メール送信に使用されていると考えるのが妥当。そこでbsjapan9.com, system505.comもSPFレコードを調べる。FreeBSDの端末だったのでdrillを使ったが、digあたりを使うのが普通かしら。

% drill txt bsjapan9.com | grep TXT
;; bsjapan9.com.        IN      TXT
bsjapan9.com.   3599    IN      TXT     "v=spf1 include:spf-iwv.burn-oxygen.com ~all"
予想どおり、同じ結果となった。 上で登場した全てのドメインのSPFレコードのincludeで外部のメール送信サービス?としてspf-iwv.burn-oxygen.comを指定しているのでそのSPFレコードを調べる。
% drill txt spf-iwv.burn-oxygen.com | grep TXT 
;; spf-iwv.burn-oxygen.com.     IN      TXT
spf-iwv.burn-oxygen.com.        3600    IN      TXT     "v=spf1 ip4:103.20.8.0/22 ip4:103.41.240.0/22 ip4:103.20.36.0/22 ip4:103.40.124.0/22 ip4:103.242.7.0/24 ip4:45.117.142.0/24 ip4:103.255.0.0/22 ip4:45.121.151.0/24 ip4:103.251.158.0/24 ip4:36.255.217.0/24 ~all"

登場するCIDRをwhoisで調べる。(以下)

36.255.217.0/24 netname: YELLOWCAP-AS-AP 日本
45.117.142.0/24 netname: MESSINALLC3 日本
45.121.151.0/24 netname: MAINZLLC-JP 日本
103.20.8.0/22 netname: ENGINENET1〜ENGINENET4 日本
x103.20.36.0/22 netname: YELLOWCAP1〜YELLOWCAP4 日本
x103.40.124.0/22 netname: SWL-JP 日本
x103.41.240.0/22 netname: TTTLLC-JP 日本
103.242.7.0/24 netname: GIGABITLINELLC-JP 日本
103.251.158.0/24 netname: SKYBLUEPOINTLLC-JP 日本
103.255.0.0/22 netname: SLFLLC-JP 日本

行頭にxがついているCIDRはこの2日で溜めた迷惑メールの送信に使用されたもの。
とりあえず、このxの付いたネットワークは迷惑メールの判定以前にSMTPでリジェクトが良さげかな。おそらく他のもその内に追加することになるんだろうけど。それに、SPFレコードと迷惑メールの送信サーバのIPアドレスが変わるかも知れないし別なドメインが登場するかもなのでイタチごっこになるかもしれない。
ちなみにこの手のネットワークはSMTPサーバにリジェクトさせるのではなくSMTPサーバのファイアウォールでブロックの方が良いかも。メールサーバの負荷が高めの場合は特に。

2018年10月29日追記:
運動関係の迷惑メールが上のリストのENGINENET2つまり103.20.8.0/22の中の103.20.9.0/24から、下半身の悩み系っぽい内容の迷惑メールがENGINENET3つまり103.20.8.0/22の中の103.20.10.0/24から、健康関係っぽい内容のメールで送信元が詐称の迷惑メールがENGINENET4つまり103.20.8.0/22の中の103.20.11.0/24から多く届いてた。この記事の「大企業っぽい名前を騙る」とは別の種類の迷惑メールではあるが、ブロックが良さそう。やはりspf-iwv.burn-oxygen.comのSPFレコードに書かれたIPアドレスは迷惑メールの巣とみて間違いなさそう。