4/19のメールと同様ですが、リンク先のIPが違うので記録しておきます。

件名：【楽天市場】注文内容ご確認（自動配信メール）

From：楽天市場 <order＠rakuten.co.jp> (を偽装)

本文：

この度は楽天市場内のショップ「Akindoオンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。（in English)
ご注文内容
注文番号 280513-20180416-00167025
注文日時 2018-04-19 23:28:16

で始まるHTMLメール

他に、

 この度は楽天市場内のショップ「ぎおん　（株）ヤサカ電気」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。（in English)
ご注文内容
注文番号 283603-20180416-00167179
注文日時 2018-04-19 17:25:35

各所のリンクは、

https://www.virustotal.com/#/url/4605aae683a38d63cf6e58894027582f943c8476e4b46c8c93a68d7e60d09712/details

https://www.virustotal.com/#/url/8b3b0734978a9e05692d1a7f76f44805e643f74d98e4b08a5a9f38e1a102c1bf/details

https://www.virustotal.com/#/url/a965452a28f382a1c45e76c9e51c325d99dedc8bdb29fa5a073cfc220596d72c/details

https://www.virustotal.com/#/url/5b70601b3a5bb2f1f21a76f4e663a807255c60421242f9994b90fc83746d01b8/details

IPは同じで、

https://www.virustotal.com/#/ip-address/66.70.246.3

これらも、もっと詳しくの情報はこちら.zipがダウンロードされます。

 (4/24夜時点で、Firefox自体が危険と判断するので、中身までは見ていません)