“Important changes to OneDrive” という Subject のメールが来た

スポンサーリンク

 昨日に届いた表題の通りの E-Mail だが、ドメインパートが “@microsoftemails.com” となっている。なんだかいかにもフィッシングメール臭がプンプンするのだが、メールヘッダを読み解くと余計悩ましい事となった。

メールヘッダを覗く

 筆者のメールアドレスは適当に置換して伏せた。
 MTA としては Amavis 経由でウィルスチェック後に Spamassassin で SPAM チェックをしている。SPF や DKIM といった物も実装させているから合わせて見ていきたい。

Return-Path: <bounce-25_HTML-129543319-3443-7231722-2050@bounce.microsoftemails.com>
X-Virus-Scanned: amavisd-new at example.com
X-Spam-Flag: NO
X-Spam-Score: 3.727
X-Spam-Level: ***
X-Spam-Status: No, score=3.727 tagged_above=-999 required=6.2
    tests=[BAYES_50=0.8, CONTENT_TYPE_PRESENT=-0.1, DKIM_SIGNED=0.1,
    DKIM_VALID=-0.1, HTML_MESSAGE=1, MULTIPART_ALTERNATIVE=0.1,
    ONLY1HOPDIRECT=1, QENCPTR1=0.2, QENCPTR2=0.2,
    RCVD_IN_DNSWL_NONE=-0.0001, RP_MATCHES_RCVD=-0.996, SPF_PASS=-0.001,
    T_REMOTE_IMAGE=0.01, URIBL_RHS_DOB=1.514]
    autolearn=no autolearn_force=no
Authentication-Results: mx.example.com (amavisd-new); dkim=pass (1024-bit key)
    header.d=email2.microsoft.com
Received-SPF: spf-pass
DKIM-Filter: OpenDKIM Filter v2.10.3 mx.example.com E0C421DC63
Received: from mta31.microsoftemails.com (mta31.microsoftemails.com [136.147.186.31])
    by mx.example.com (Postfix) with ESMTP id E0C421DC63
    for <hoge@example.com>; Thu, 21 Apr 2016 09:35:20 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=msft20151201; d=email2.microsoft.com;
 h=From:To:Subject:Date:List-Unsubscribe:MIME-Version:Reply-To:Message-ID:Content-Type;
 bh=TiiVI6OLPWnSYR9MM4SSXGTwXTw=;
 b=CTb0xsNi/851BFGecAcAPmGuQ/L811Jp27EtWmCDlghNPgKsF8yare4QwZHsB+paQPcK0vc0cWVG
   1wSxP5+JdjuyDwMeBzpXwkMF5mSTAJpA3VeH25tYl7qbI6DcDGf0yiVBqxvzREqHdHKAuN/c2EFd
   EZv7hutm9aWwy+2eT2U=
Received: by mta31.microsoftemails.com id h30g4i163hst for <hoge@example.com>; Thu, 21 Apr 2016 00:35:17 +0000 (envelope-from <bounce-25_HTML-129543319-3443-7231722-2050@bounce.microsoftemails.com>)
From: "Microsoft OneDrive" <onedrive@microsoftemails.com>
To: <hoge@example.com>
Subject: Important changes to OneDrive
Date: Wed, 20 Apr 2016 18:35:18 -0600
List-Unsubscribe: <mailto:leave-fd8416751a3c402029-fe2a15727c61007e761579-ff3117747167-fe9713727665037f77-ff3816707064@leave.microsoftemails.com>
MIME-Version: 1.0
Reply-To: "No Reply OneDrive" <reply-ff3117747167-25_HTML-129543319-7231722-2050@microsoftemails.com>
x-job: 7231722_3443
Message-ID: <30fd2a31-64ec-40ec-826a-7e816f08bf85@atl1s07mta660.xt.local>
Content-Type: multipart/alternative;
    boundary="U0Awj5L0j0u4=_?:"

 先ず、E-Mail がどこから発信されたかを見ると次のホストを経由なりしている事に。

Received: by mta31.microsoftemails.com id h30g4i163hst for <hoge@example.com>; Thu, 21 Apr 2016 00:35:17 +0000 (envelope-from <bounce-25_HTML-129543319-3443-7231722-2050@bounce.microsoftemails.com>)

 この “mta31.microsoftemails.com” とは誰だと調べてみる。

$ dig @localhost mta31.microsoftemails.com. in any

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.3 <<>> @localhost mta31.microsoftemails.com. in any
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60828
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mta31.microsoftemails.com.     IN      ANY

;; ANSWER SECTION:
mta31.microsoftemails.com. 3600 IN      A       136.147.186.31

;; AUTHORITY SECTION:
microsoftemails.com.    3600    IN      NS      ns3.exacttarget.com.
microsoftemails.com.    3600    IN      NS      ns2.exacttarget.com.
microsoftemails.com.    3600    IN      NS      ns4.exacttarget.com.
microsoftemails.com.    3600    IN      NS      ns1.exacttarget.com.

;; ADDITIONAL SECTION:
ns1.exacttarget.com.    126996  IN      A       66.231.91.222
ns2.exacttarget.com.    126996  IN      A       66.231.94.222
ns3.exacttarget.com.    126996  IN      A       68.232.203.115
ns4.exacttarget.com.    126996  IN      A       136.147.129.78

;; Query time: 121 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 金  4月 22 01:18:56 JST 2016
;; MSG SIZE  rcvd: 218

 すると “mta31.microsoftemails.com” は “136.147.186.31” という A レコードを持っており、権威を持っている DNS は “exacttarget.com” というホストであると分かった。
 それじゃ “exacttarget.com” って誰!? ってそのままアクセスしてみるとマーケティングを行っている企業であると判明する。こう言った企業が変なメールを送る物なのかなと疑問を持つ。

 ではまたメールヘッダを読み解くことに戻って次のパートを見てみよう。

Authentication-Results: mx.example.com (amavisd-new); dkim=pass (1024-bit key)
    header.d=email2.microsoft.com
(中略
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=msft20151201; d=email2.microsoft.com;
 h=From:To:Subject:Date:List-Unsubscribe:MIME-Version:Reply-To:Message-ID:Content-Type;
 bh=TiiVI6OLPWnSYR9MM4SSXGTwXTw=;
 b=CTb0xsNi/851BFGecAcAPmGuQ/L811Jp27EtWmCDlghNPgKsF8yare4QwZHsB+paQPcK0vc0cWVG
   1wSxP5+JdjuyDwMeBzpXwkMF5mSTAJpA3VeH25tYl7qbI6DcDGf0yiVBqxvzREqHdHKAuN/c2EFd
   EZv7hutm9aWwy+2eT2U=

 DKIM によるメッセージの署名が行われており、それを検証した結果 “dkim=pass” として表示されている。
 これはつまり DKIM のセレクタ “s=msft20151201” とドメイン “d=email2.microsoft.com” に示される公開鍵を取得して検証した結果、正しく署名されているという事を示す。”email2.microsoft.com” は正しく Microsoft の物であるから、Microsoft の秘密鍵で署名されたメッセージを検証できると言う事は即ちこの E-Mail は Microsoft の物であるとも判断する事が出来る。

 次の通り、上述のセレクタとドメインを与えて公開鍵を取得すると、得られる物は当然 Microsoft 直轄の権威サーバーからの応答であった。

$ dig @localhost msft20151201._domainkey.email2.microsoft.com. in txt

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.3 <<>> @localhost msft20151201._domainkey.email2.microsoft.com. in txt
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52827
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;msft20151201._domainkey.email2.microsoft.com. IN TXT

;; ANSWER SECTION:
msft20151201._domainkey.email2.microsoft.com. 3600 IN TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDr2wmkpIKY++iuzMB5HPi1nEG8oNax+2Aw1Joz4vjuXQ5JatdRbmMg5mBU614DWf7VAdUnjsV75IBZhuJNgwrOv9nQ+0pPmb+baXPlHiTJdPfHpxk9eS/g+pX6ZmW1FHGQRpmEEkdp2F2Jk9h/XiLLR+sod3v8Mc+6Aokyx/KIzwIDAQAB"

;; AUTHORITY SECTION:
microsoft.com.          70364   IN      NS      ns2.msft.net.
microsoft.com.          70364   IN      NS      ns4.msft.net.
microsoft.com.          70364   IN      NS      ns1.msft.net.
microsoft.com.          70364   IN      NS      ns3.msft.net.

;; ADDITIONAL SECTION:
ns3.msft.net.           128985  IN      A       193.221.113.53
ns3.msft.net.           69167   IN      AAAA    2620:0:34::53
ns1.msft.net.           89      IN      A       208.84.0.53
ns1.msft.net.           69167   IN      AAAA    2620:0:30::53
ns2.msft.net.           69167   IN      A       208.84.2.53
ns2.msft.net.           69167   IN      AAAA    2620:0:32::53
ns4.msft.net.           69167   IN      A       208.76.45.53
ns4.msft.net.           69167   IN      AAAA    2620:0:37::53

;; Query time: 10 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 金  4月 22 01:29:40 JST 2016
;; MSG SIZE  rcvd: 576

それで結局どうなのかと

 筆者としては microsoftemail.com は Microsoft のドメインだとは知っているが microsoftemails.com と TLD の前に s が付いている物は初見だ。
 ググってあちこち検索しても「怪しい」とか「フィッシング」だとか言う情報でしか無いので、少し掘り下げては見た物の最終的な判断にはちょっとたどり着けては居ない。
 仮想マシン上で microsoftemails.com から来たメールのリンク先にアクセスしては見た物の、行き着く先は OneDrive その物であり URL も正しい物だった。
 考えられる事としては、結局 Microsoft がマーケティング企業に委託しているのかどうか。と言った所だろうか。

 まぁ、分からないのであれば無難に触れないのが一番なのだけど、興味があったので少し掘り下げて調べてみた。

スポンサーリンク