今日の迷惑メール3(Amazon偽装)

最近、高頻度で迷惑メールフィルタをすり抜けて届く迷惑メールが多いため、こちらで紹介していきます。
迷惑メールフィルタ設定の参考にでもなればと思います。

続々と迷惑メール届きます。
今日届いたのがこちらのメール。

開封確認のビーコンを踏みたくないため、画像は非表示にしてます。

件名: Amazon Services Japan重要！AmazonID情報問題

普段お客様がご利用になられていない環境からAmazonへのログインがありました。

Amazon ID：*********
ログイン日時 ： 2019/12/18 23:11:28
IPアドレス ： 133.203.160.160（滋賀）

不正なユーザーがAmazonアカウントにアクセスした可能性があると考えています。したがって、アカウントへのアクセスを一時的にブロックし、オファーを無効にします。相手がどのようにあなたのアカウント情報を取得したのかわかりませんが、次の方法が考えられます。

-マルウェアを使用して、ユーザーのキーボード入力アクションを検出します。
-頻繁に使用するパスワードを使用します。

したがって、個人情報を再登録し、私たちにIPおよびログイン環境の監視を許可する必要があります。その後、不正なログインがブロックされ、パスワードを変更せずにAmazonアカウントを安全に使用できるようになります。

個人情報の再登録

Amazonに対する信頼に感謝し、より良いサービスの提供に努めていきます。

※ このメールはお客様のAmazon IDに登録されているメールアドレスあてに自動的に送信しています。

□発行:アマゾン株式会社
□発行日:2019年12月19日
1996-2019, Amazon.com, Inc. or its affiliates

だそうです。
Amazonからのメールを偽装しています。
なんとこのメール、いつものフィッシングかと思いきや、フィッシングの誘導リンクがありません。
何の目的で送ってきているのでしょうか？メアドの有効性確認のため？

ではいつも通りヘッダを見てみましょう。

X-DTI-Virus-Check: checked
X-DTI-Recipient: <xxxx@xxxx.dti.ne.jp>
Return-Path: <service13@dd12.milai888.com>
Received: from mx05.cm.dti.ne.jp (mx05-fbp.cm.dti.ne.jp [10.236.71.123]) by store48-fbp.cm.dti.ne.jp (3.10pn) with ESMTP id 06MDYqGv017457 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 22:34:52 +0900 (JST)
Received: from imx22.cm2.dti.ne.jp (imx22.silk.dream.jp [59.157.133.73]) by mx05.cm.dti.ne.jp (3.11g) with ESMTP id 06MDYq14007433 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 22:34:52 +0900 (JST)
Received: from scpa316.cm2.dti.ne.jp (scpa316.cm2.dti.ne.jp [10.32.11.63]) by imx22.cm2.dti.ne.jp (3.11g) with ESMTP id 06MDYqnF022524 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 22:34:52 +0900 (JST)
Received: from pps.filterd (scpa316.cm2.dti.ne.jp [127.0.0.1])
   by scpa316.cm2.dti.ne.jp (8.16.0.42/8.16.0.42) with SMTP id 06MDFFSC027011
   for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 22:34:52 +0900
Authentication-Results: cm2.dti.ne.jp;
   spf=pass smtp.mailfrom=service13@dd12.milai888.com;
   dkim=pass header.d=dd12.milai888.com header.s=milai888;
   dmarc=none
Received: from dd12.milai888.com ([103.106.202.117])
   by scpa316.cm2.dti.ne.jp with ESMTP id 32bsbru7bp-1
   for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 22:34:51 +0900
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=milai888; d=dd12.milai888.com;
   h=Message-ID:From:To:Date:Subject:MIME-Version:Content-Type; i=service13@dd12.milai888.com;
   bh=uiN+skmksRKSP6K1owlHCROeteI=;
   b=RxbGFmzEbOaPjHjerD78nqFgvm6DDRij8MP0XajvtgsvJZPJsOblj88IgNPp9Hct5zUbgvxK3rYH
   cROxixZWbv0BqZZ/jhsmQV0SJDSonTcU3NMFT3k0t+xsjfyqpAenD5EMnMwBGd+2Mm2QqHqi/OBb
   LPJv9PWCeq73lgvY298=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=milai888; d=dd12.milai888.com;
   b=OG5u/etUq09f9VqekR1JHaOUTnNLPwfL5qFTA01YCCwhS+HcNsNW9aQuAtsk2kCRcb7cg8JSRLNJ
   VNnqx2rpj0GZyRA5N1R0XD5IaQa+gnZpJ+qoNdxS0O9CTT+TqBA+6AWZNaARyQw0KUNJGsEkjI5t
   GAh3JFWrio9hUi9bSiE=;
Received: by dd12.milai888.com id h312100e97cs for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 21:50:08 +0800 (envelope-from <service13@dd12.milai888.com>)
Message-ID: <00c45af8974f$3107580d$41fe093a$@qu>
From: Amazon Services Japan <service13@dd12.milai888.com>
To: hatta <xxxx@xxxx.dti.ne.jp>
Date: Wed, 22 Jul 2020 21:34:49 +0800
Subject: Amazon Services =?utf-8?B?SmFwYW7ph43opoHvvIFBbWF6?=
   =?utf-8?B?b25JROaDheWgseWVj+mhjA==?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="----=_NextPart_000_00B9_01B87A7E.19194E50"
X-Priority: 3
X-Mailer: Microsoft Outlook 16.0

届いたメールアドレスはxxxxでマスクしてます。
"From:"のメールアドレスがAmazonではないため、すぐに偽装メールだとわかるメールでした。
迷惑メールのブロック方法の一つとして、Recievedヘッダに怪しいホストがあればブロックするという方法がありますが、おそらく送信元と思われるRecievedヘッダは、"dd12.milai888.com ([103.106.202.117])" です。

この送信元ドメイン"milai888.com"をwhoisで調べてみると、なんと"Registry Registrant ID: Not Available From Registry"とか言ってます。

Domain Name: milai888.com
Registry Domain ID: 2165132888_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Updated Date: 2020-07-21T09:06:56Z
Creation Date: 2017-09-20T06:36:01Z
Registrar Registration Expiration Date: 2020-09-20T06:36:01Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Reseller:
Domain Status: ok https://icann.org/epp#ok
Registrant City:
Registrant State/Province: guang dong
Registrant Country: CN
Registrant Email:https://whois.aliyun.com/whois/whoisForm
Registry Registrant ID: Not Available From Registry
Name Server: DNS23.HICHINA.COM
Name Server: DNS24.HICHINA.COM
DNSSEC: unsigned
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>>Last update of WHOIS database: 2020-07-22T16:02:45Z <<<

レジストラはアリババのようですが、レジストラに問い合わせないと教えてくれないのでしょうか。
"Registrant Email:"にはURLが書かれていますが、このURLを踏むとアリババクラウドのお問合せフォームでした。

ドメイン所有者がわからず、レジストラはアリババということで、これ以上は調べようが無くなってしまいました。

このメールのフィルタ方法ですが、Recievedをチェックして"milai888.com"があればブロックするような設定で問題ないでしょう。

ということで皆さん、今後も迷惑メールのフィッシングに気を付けましょう。