Thunderbirdのメールフィルタを使っての、ECやクレカ会社偽装系フィッシング詐欺メールの振り分け方法の概要
- 簡単だが大ざっぱでいい加減なやり方
『FiltaQuilla』というフィルターに正規表現が使えるようになるアドオンを導入し
『(APLUS|アプラス|三井住友|三菱UFJ|JACCS|CUBIC|ORICO|Mastercard|マスターカード|SAISON|セゾン|AEON|イオンカード|VIEWCARD|ビューカード|ETC|ETC|UCS|さくらのクラウド|アマゾン|新冠|NHKプラス)』
というような感じで、自分が使用していないサービスを正規表現にて一括詐欺メールと決めつけて振り分ける。 - 面倒だが本物と偽物を一応チェックするやり方
Receivedに正規のサーバー名が入ってないメールを詐欺メールと判断して振り分ける。
(例:AmazonならReceivedに『.amazonses.com』が入ってないものを偽物と判断する)
振り分けのやり方(などをだらだら)解説
MozillaのThunderbirdというメーラーは学習型の迷惑メールフィルターを装備していますが、最近急増しているECサイトやクレジットカード会社に偽装したメールを偽物だと見抜けるようにさせるのはかなり難しいと思われます。
ですがThunderbirdには学習型メールフィルタ以外にも、ユーザーが任意に振り分け条件を指定できる便利なフィルター機能も備わっており、『FiltaQuilla』というアドオンを利用すれば複数の条件を兼ねて記述できる正規表現をも利用することも出来ます。
そういった方法を用いれば最近とみに多いAmazonなどネット通販サイトを偽装したものや、クレジットカード会社を偽装したフィッシング詐欺メールも一括で迷惑メールとして振り分けることが可能です。
最初に紹介するやりかたは正直かなりおおざっぱな方法ですが、その分設定方法も簡単です。
まず正規表現をフィルターに使えるようにするアドオンの『FiltaQuilla』を導入し、メニューバーの『ツール』>『メッセージフィルター』からフィルターの設定画面を開き
『いずれかの条件に一致』>『Subject Regex Match』を選択、そこに自分が利用していないサービスの名前を以下のように正規表現で記入します。
『(APLUS|アプラス|三井住友|三菱UFJ|JACCS|CUBIC|ORICO|Mastercard|マスターカード|SAISON|セゾン|AEON|イオンカード|VIEWCARD|ビューカード|ETC|ETC|UCS|さくらのクラウド|アマゾン|新冠|NHKプラス)』
(『』は必要ありません)
『以下の動作を実行する』にて、上記画像のように実行させたい動作を指定します。
ちなみに上では迷惑メールフラグをメールに付与した後、あらかじめ作成してある迷惑メールフォルダーに移動するようにしてあります。
これはメールタイトルに上記の名前が含まれている物を自動的に迷惑メールとして振り分けるものですが、もちろん自分が使っているサービスは間違えて振り分けないように上の記述から取り除く必要があります。
私の場合Amazon以外は使っていないので上記の一行で大体のフィッシング詐欺メールを振り分けられますが、上の1行にある他のサービスを複数使っている場合、本物のメールと詐欺メールの区別を厳密に行う形のフィルタリングが必要になります。
その方法とはThunderbirdのフィルター機能に備わっている『カスタムヘッダー』を利用することです。
こちらは先程の方法とは異なり、本物と偽物の差異をチェックすることで振り分けを行いますが、その分設定の方法は面倒です。
以下はAmazon.co.jpを例に説明致します。(Amazon.co.jpから発送されているものであれば、マーケットプレイス出品でも多分大丈夫…だと思います)
まずはその為に本物のAmazonからのメールのソースを確認します。
本物のAmazonからのメールを選択後、画面右端にある『その他』から『ソースを表示』を選択するとメールのソースを参照できます。
メールのヘッダー部分には以下の画像のように、Receivedという名前でAmazonのメールが自分のメールアドレスへ届くまでに経由してきたサーバーが記録されています。
上記の場合並んでいるReceivedの中で一番下にある『Received: from ほにゃほにゃほにゃ.amazonses.com (ほにゃほにゃ)』が発信元になります。
次にメールフィルターの設定画面を開き『差出人』『に次を含む』に『Amazon』と入力(メールの差出人にAmazonという名前が入っているという条件を指定)します。
そのまま画面右端の『+』ボタンを押して2つ目の条件を指定します。
画面左端のプルダウンメニューから『カスタムヘッダー...』を選択
カスタムヘッダーには『Received』と入力して『追加』し
この様になったら『OK』を押して一つ前の画面に戻り、
二つ目の条件として『Received』『に次を含まない』『.amazonses.com』と指定、その後の"以下の動作を実行する"に『迷惑メールかどうかを設定する』『迷惑メール』と『メッセージを移動する』『迷惑メール』と迷惑メールを捨てたいごみ箱(任意のフォルダ)を指定します。
OKを押して設定を終える前に、中央ラジオボタンが『すべての条件に一致』の状態になっていることを念のため確認しましょう。
これで『差出人がAmazon』を名乗っているけれど、本物のAmazonからのメールなら通っているはずの『.amazonses.com』を経由していないメールは『迷惑メールと判定』して『迷惑メールフォルダに投げ捨てる』というフィルターの完成です。
既に通販履歴などでAmazonからのメールをフィルターで振り分けている場合は、その振り分けより優先順位を上にしないと機能しないのでお気を付け下さい。
もちろんAmazon以外でもそのサービス名(差出人)と、本物の該当サービスであれば通っているであろうサーバーを指定してやることで、そこを通ることがない偽の詐欺メールだけを迷惑メールとして判別できるようになります。
これならば間違って本物のメールを詐欺メールとして弾いてしまうことはまずありませんが、各々のサービスのReceivedの値を逐一調べたりする必要があり、またメールの発信元サーバーが受けるサービスによって異なるような場合(例えば売買通知とサポートセンターから送られるメールの発信元が異なるサーバーを使っているなど)には、それぞれフィルターを個別に作らなければならないという欠点があります。
FiltaQuillaの正規表現を利用すれば一行で記述できそうな気もするのですが、少し調べた限りですがReceivedを参照する方法が無いっぽいのですよ。
他にもFiltaQuillaはメールの題名部分は正規表現を使えるのですが、差出人(Subject)はアドレス部分しか見てなかったりとか(原因は分かってるのですが)動作がちぐはぐで現状では対処のしようがないため、カスタムヘッダーで指定してやるしか方法がありません。
一応自分の環境で望んだ形でフィルタリングできるようになったので、備忘録とtips共有としてblogに残しておきます。