なりすましの可能性のある電子メールに返信する
同僚は、以下の行に沿って一方的な電子メールを受信しました。
親愛なるスミスさん
プロジェクトYに関するドキュメントXを受け取るには、次のリンクをクリックしてください。
あなたの、
私は同僚にEveNobodyに返信し、その電子メールが正当かどうかを尋ねるように提案しました。返信先ヘッダーを改ざんする可能性があるため、EveNobodyのアドレスを入力したことに注意してください。
私は3つの可能なシナリオを想定しています:
- イブ誰も存在せず、彼女はメールを送信しました
- イブ誰も存在しませんが、彼女はメールを送信しませんでした
- Eve誰も存在せず、company.comの電子メールサーバーがエラーメッセージで返信します
考えられるすべてのシナリオで、company.comとのみやり取りし、潜在的ななりすましとはやり取りしません。したがって、私はこの一連の行動は安全だと考えています。
私のアドバイスは適切でしたか、それとも他に考慮すべき側面がありますか?
コンテキストの場合:
- 私たちは学界や産業界と研究を行っている企業であるため、現在のプロジェクトに関する情報とそれに対応する研究者が豊富にいます。したがって、最初の電子メールに含まれる情報(ドキュメントXの適切なタイトルとプロジェクトYのタイトル)は、当社のホームページから収集できます。
- company.comは合法的な会社であり、私たちの調査に関与しています。
回答
あなたは、アカウントではなく、存在する人に焦点を合わせています。Eveが存在し、電子メールを送信しなかったが、彼女のアカウントにアクセスできる誰かが送信し、電子メールが受信トレイに届かないように電子メールルールを入力したとします。そのアカウントと会話を続けることはできますが、イブ自身はできません。
だから私は追加します:
- アカウントが存在し、メールはアカウントから送信されましたが、イブはメールを送信しませんでした(侵害されたアカウント)
- アカウントは存在し、メールはアカウントから送信されましたが、イブは存在しません(ダミーアカウント)
どちらの場合も、返信する場合は、イブではなく悪意のあるアクターで返信している可能性があります。
最善の対応は、電子メール以外の方法(電話、その他の連絡先情報など)でイブに連絡することです。
イブを知らなければ、フォローアップする理由はありません。
彼女が代表していると主張する会社と取引をしている場合は、その会社で使用している定期的な連絡先に連絡することができます。見た目とは異なる可能性があるため、そのアカウントを直接使用しようとしないでください(たとえば、侵害されたアカウントや、電子メールクライアントをだますためのなりすましのトリック)。
メッセージのDMARC、SPF、DKIMを調べて、メッセージが正当かどうかを確認することもできます。まず、Fromドメインが正しいことを確認します。次にAuthentication-Results、メッセージ内のヘッダーを探します。それはによって追加ヘッダに囲まれている場合にのみ、それを信頼し、あなたの電子メールインフラストラクチャ(システムあなたの会社があなたのメールを受信するために使用しています)。合格したDMARC、SPF、DKIMの内容がわかります。あなたは探しているDMARCアライメント(そのDKIMヘッダーd=値と一致するFrom手段がためにSPFレコードを見つけ、ヘッダーのドメインまたはSPFの承認を、FromドメインとMXレコードに接続しているシステムのIPが承認されていることを確認します)。これを検索できるGSuite Toolbox Messageheaderのようなツールがあります(ただし、Google中心になります)。SPFまたはDKIMが整合性を持って合格した場合、メッセージはおそらくそのドメインのインフラストラクチャによって合法的に送信されます(ただし、侵害されたアカウントによって送信されたかどうかはわかりません)。
ずっと前に、私が短いズボンを脱いで、システム管理者として最初のギグをしていたとき、私は彼らに私をスパムするのをやめるように頼むスパムメールに返信しました。
FROMアドレスは実際にはスパム配信リストであり、何千人もの人々が私からスパムの送信を停止するように求める電子メールを受信しました。その後、彼らは私にメールを送り返し、スパムを送信していないと言った。どうしてそんなことを考えられるだろうか。
それ以来、私はそれらをベイジアンフィルターに渡すだけです。