2012年4月20日金曜日

「Facebookアカウントへのログインに問題が発生したというご連絡をいただいたため、このメールをお送りしています」 by facebookmail.com。これは釣りなの?

こんなメールが来た。


見た目はFacebookからのメールっぽい。しかし、Facebookにログインの問題を申請した覚えは全くない。あやしすぎる。

と思ってヘッダーを見ると、こんな感じ。

Delivered-To: xxxxxxxxxx@gmail.com
Received: by 10.231.224.26 with SMTP id im26csp2373ibb;
        Thu, 19 Apr 2012 18:29:38 -0700 (PDT)
Received: by 10.68.211.104 with SMTP id nb8mr9029568pbc.40.1334885377970;
        Thu, 19 Apr 2012 18:29:37 -0700 (PDT)
Return-Path: 
Received: from mx-out.facebook.com (outmail022.snc7.facebook.com. [69.171.232.156])
        by mx.google.com with ESMTP id pf9si4505815pbc.356.2012.04.19.18.29.37;
        Thu, 19 Apr 2012 18:29:37 -0700 (PDT)
Received-SPF: pass (google.com: domain of update+zrdozdpehhfe@facebookmail.com designates 69.171.232.156 as permitted sender) client-ip=69.171.232.156;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of update+zrdozdpehhfe@facebookmail.com designates 69.171.232.156 as permitted sender) smtp.mail=update+zrdozdpehhfe@facebookmail.com; dkim=pass header.i=@facebookmail.com
Return-Path: 
DKIM-Signature: v=1; a=rsa-sha256; d=facebookmail.com; s=s1024-2011-q2; c=relaxed/simple;
 q=dns/txt; i=@facebookmail.com; t=1334885377;
 h=From:Subject:Date:To:MIME-Version:Content-Type;
 bh=hxSQs4a25UXm+sYAVsBd2FLLXGpDIf2Lkp+wVbJ0gYE=;
 b=SSoH6sEHK4nY4ItoQkG9gjg3u0G0JQQkKeHLSuZI4OGQxPZWCjE+24o15h8biMPV
 oX7AvowBVbmOXXYFguYOpBn2CxNAdKnlmQPVGbE30lIzICokdyXOQk/UCVs+4mJH
 R46BzAoGJH6cNUkrCk2ZJ4eZ0JKNo741QNcOXqTsWN4=;
Received: from [10.43.9.69] ([10.43.9.69:62095])
 by smout069.snc7.facebook.com (envelope-from )
 (ecelerity 2.2.2.45 r(34222M)) with ECSTREAM
 id B6/45-03997-10CB09F4; Thu, 19 Apr 2012 18:29:37 -0700
X-Facebook: from zuckmail ([MTI3LjAuMC4x]) 
 by www.facebook.com with HTTP (ZuckMail);
Date: Thu, 19 Apr 2012 18:29:37 -0700
To: xxxx xxxx 
From: "Facebook" 
Reply-to: Facebook 
Subject: =?UTF-8?B?RmFjZWJvb2vjga7liKnnlKjjgpLlho3plos=?=
Message-ID: 
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: update+zrdozdpehhfe@facebookmail.com
X-Facebook-Notify: failed_login; mailid=5fab92fG5af344923eb1G4c0537dG86
X-FACEBOOK-PRIORITY: 1
MIME-Version: 1.0
Content-Type: multipart/alternative;

まず、facebookmail.comはFacebookの所有ドメインのようだ。whoisで調べるとわかる。
FaceBookMail.com - FaceBook Mail

そしてSPFもDKIMも通っている。ということは、単なる送信元詐称ではなく正規のメールサーバーから送信されたはず。

ということは、ひょっとしてFacebookがハックされてるのか?まさかなぁ。

ところで、「ZuckMail」っていうメーラーがあるの?(^^);

facebookmail.com関連では、トレンドマイクロでフィッシングメールと判定されているケースもあるようだ。

Are You Being Phished? | Malware Blog | Trend Micro

しかし、このケースとは内容が違うので、今回のがフィッシングメールかどうかはわからない。

ボタンのリンク先も www.facebook.com だし。

何なんだこれは?とにかく、触らぬ神に祟り無し。