tinamiドメインを偽装したスパムまとめ
ふと普段使っている Gmail の迷惑メールフォルダを見たら、エラーメールらしきメールが大量に届いていました。「あれ?エラーメールのテストなんてしたかな」と思いつつ調べてみると、全て
cocoa.tinami.co.jp (221.186.76.17)
というサーバから配信されたメールでした。なんだろうと思いつつとりあえずメモ。
先ほど改めてメールを確認すると tinami さんからお詫びメールが届いていました。
【重要】お詫びとご報告:tinamiドメインを偽装したスパムについて
これによると、
本日9:20〜11:30まで、tinami.co.jpのドメインを偽装したスパムメールが、大量に送信される事態が起こりました。
これは、Fromアドレスをtinami.co.jpのアドレスに偽装していたものです。スパムを送られた先のメールアドレスがすでに存在しない場合、相手サーバがFromアドレス宛に、不着のリターンメールを返して来ます。この一部が、user-news-going@tinami.co.jpに指定されており、それがなんからかの穴を抜けて、ふだんユーザーニュースを配信しているユーザーの元へ送られてしまった、という形です。
などと説明されていました。
一体何が起こったのか?
ここで問題が発生した状況を簡単に推測してみます。
まず、スパマーが迷惑メールを送信しようとします。スパマーはメールの Envelope from(ヘッダFromじゃないよ!)を自分の所有するドメインにする必要はありません。今回、ここにたまたま user-news-going@tinami.co.jp が指定されたスパムメールが発信されたと考えられます。
いかなるメールも、宛先に配信できない場合は、受け側のメールサーバによってバウンスメールが生成される事になります。
バウンスメールは「配送できない理由」および「オリジナルのメール本文」によって構成されます。このバウンスメールは Envelope from である user-news-going@tinami.co.jp 宛に発信されることになります。
恐らく今回の宛先である user-news-going@tinami.co.jp は誰でも投稿可能なアドレスだったのでしょうか。これにより、スパムメールのバウンスメールが TINAMI会員に配信された… と言うのが今回の顛末なんじゃないかな?と思います。バウンスメールには、「オリジナルのメール本文」が付与されていますので、スパムメールの一部が実際に配信先まで届いてしまうことになります。
今回の事故では TINAMI会員のメールアドレスが漏れるわけではなかったみたいですが、誰でも投稿可能なアドレスを放置していたのは問題だと思います。まさかTINAMIスタッフが自宅からでもメールマガジンを配信できるように穴を開けておいたのではないか…などとも邪推してしまいます。
バウンスメールの発生を抑制する
今回のバウンスメールの生成元は、私のところに届く限り ocn などの大手プロバイダでした。
バウンスメールを生成する場合、まず「送信元が詐称されていないかどうか」調べて、その上で詐称されていないメールにだけバウンスメールを生成するような仕組みであれば、今回のような被害も少なかったはずです。
もちろん、今回の事故では TINAMI に 100% 問題があるとしても差し支えないですが、無駄なメールを生まないと言う意味でも、大手ISPやESPは「「送信元が詐称されていないメール」のみバウンスメールを生成してもらいたいものです。
送信元が詐称されていないかどうかを調べるためには、前述の SPF などが役立ちます。ISPにはSPF認証の機能を付与してもらうことに加え、TINAMI などのメール配信側には SPFレコードの設定を強く求めたいと思います。(ちなみに tinami.co.jp ドメインはSPFレコード未記述でした。早急に設定しましょう。)
もう一つ言いたかったこと
私は TINAMIと何の関係もありませんが、メールの知識のない人間が不安を煽っているようだったので、それは違うんじゃない?と言う意味を込めてこのエントリを書きました。