Thunderbirdでの偽装メール・なりすましメールの判別方法

概要

どこかからメールアドレスが流出したようで，2日に1回くらいの頻度でAmazon.co.jpや楽天の偽装メール・なりすましメールが届くようになった。

最初は差出元 (From) のメールアドレスのドメインが明らかに違うものだったのですぐにわかった。しかし，最近はFromのメールアドレスが公式と同じ表示になっており，Fromから偽装メールの判断ができなくなった。

例えば，最近は以下のような偽装メールを受信している。

Fromのメールアドレスが，account-update@amazon.co.jpと，Amazon.co.jpの公式のドメインになっており，一見すると公式のメールと誤解してしまう。

そこで，Thunderbirdでの偽装メール・なりすましメールの見分け方，確認方法を整理する。

Ubuntu 20.04のThunderbird 68.10.0で確認した。

方法

「本当の差出人のメールアドレスを知ることはできますか？ : 迷惑メール対策委員会」に書かれている方法に従い，メールヘッダーの [Return-Path] フィールドを確認することで，偽装メールを見分ける。

[View]>[Headers]>[All] か [View]>[Message Source] を選ぶと，メールヘッダーを確認できる。

例えば，今回の場合，[Message Source] は以下のようになっていた。

Return-Path: <kdb@amazon.server.co.jp>
Delivered-To: 自分のメールアドレス
Received: (qmail 176749 invoked by uid 89); 29 Dec 2020 13:36:13 +0900
Delivered-To: 転送元メールアドレス
Received: (qmail 176737 invoked by uid 89); 29 Dec 2020 13:36:13 +0900
Received: from ik1-314-17438.vs.sakura.ne.jp (HELO amazon.server.co.jp) (153.126.157.192)
  by m9.coreserver.jp with SMTP; 29 Dec 2020 13:36:13 +0900
Received-SPF: none (m9.coreserver.jp: domain at amazon.server.co.jp does not designate permitted sender hosts)
From: amazon.co.jp <account-update@amazon.co.jp>

1行目に記載されている通り，Return-Path: <kdb@amazon.server.co.jp>となっている。From: amazon.co.jp <account-update@amazon.co.jp>とアドレスが異なっている。

迷惑メール対策委員会のサイトに書かれている通り，FromとToのメールアドレスはメール本文の情報であり，ユーザーが自由に変更可能な情報となっている。実際のメールの送信にはReturn-PathやDelivered-Toが使われている。したがって，Return-Pathを確認することで，本当の送信元メールアドレスがわかる。

そのため，今回の本当の送信元はaccount-update@amazon.co.jpではなく，kdb@amazon.server.co.jpとなる。server.co.jpという立派なドメインを取得しているが，やっていることは迷惑行為・詐欺行為だ。

なお，本物のAmazon.co.jpのReturn-Pathは，Return-Path: <20201219171307d39713549f7743ef9910f9375680p0fe@bounces.amazon.co.jp>のように，ドメインがamazon.co.jpになっている。

結論

Thunderbirdでのなりすましメール，偽装メールの判別方法を記した。

基本的に，Fromのメールアドレスのドメイン→Return-Pathのメールアドレスのドメインの順番に確認していけば問題ない。

少しでもメール本文の内容を怪しく感じたら，まずはこれらの情報を確認し，公式のドメインと違えば，メール本文内のリンクをクリックせずに，そのまま削除しよう。