[フィッシングメール] 差出人: KDDIお客さまセンター <*.cloud>
執筆:2022.02.19
編集:2022.02.19

差出人: KDDIお客さまセンター <***.cloud>
宛先: ***.ne.jp
件名: auかんたん決済でお支払いしている継続利用サービスを更新する必要があります.[メールコードM940276]
送信日時: 2022/02/19 16:01

あらら
メルカリ *.cn の次は
今度は KDDI ですか

今日auPay使っていたのであれ?
一瞬どきっとしましたよ

スマホアプリのメーラーは自称ニックネームだけを表示してfromアドレスを全く表示しないので だまされるわけですね

自称ニックネームだけ表示をする仕様を
なぜ脆弱性として登録・注意喚起しないのか不思議です。
設定でメールアドレスを常時 表示/非表示を選ぶことすらできませんからね
メール広告利権が絡んでいるのでしょうね

それはいいとして

.cloudドメインからメールを受けることはないので
フィルターを追加します。

@[^@]+\.cloud([> ,]|$)

なぜこのようになるかというと
複数のメールが宛先の場合は ,で区切りなんですね
自称ニックネームが含まれると終端は >になるわけです。
このようなルールにしないとブロックできません。

[ブラックリスト]
マッチしたメール
・メールを破棄

@[^@]+\.cn([> ,]|$)
@[^@]+\.cloud([> ,]|$)

このようになります

まとめると
@[^@]+\.(cn|cloud)([> ,]|$)
ですが複雑になってわかりにくくなるので最初の複数行をお勧めします。

次は どこの偽装が届くのでしょう?