ある日、自分の会社ドメインを名乗る不審なメールが、自分宛に届いた——。まず落ち着いて大丈夫です。これは多くの場合“侵入”ではなく“差出人の詐称”です。見分け方と、止め方を防御目線で解説します(攻撃の作り方は扱いません)。
まず安心:なりすまし ≠ 乗っ取り
一番大事な誤解ポイントです。メールの封筒の「差出人」は、送る側が自由に書けます。だからあなたのドメイン名を勝手に書いた郵便物が1通届いただけで、家に侵入されたわけではない——というのが基本の構図です。
ただし例外として、本当にメールアカウントが乗っ取られているケースもゼロではありません。その区別こそ、ヘッダを読めば分かります。
ヘッダで「侵害」か「詐称」かを見分ける
メールには本文の裏に「ヘッダ」という配送記録が付いています(Gmailなら「メッセージのソースを表示」で読めます)。見るべき急所はこの5つです。
| ヘッダ | 見るポイント | こう読む |
|---|---|---|
| Authentication-Results | spf= / dkim= / dmarc= の結果 | dmarc=fail なら「正規の認証が通っていない=詐称の可能性大」 |
| Received(複数連なる) | 一番下=最初の発信元 | 自分の契約サーバー以外から出ていれば「外部からの詐称」 |
| Return-Path(封筒の差出人) | 見えているFromと一致するか | 食い違い=詐称のサイン |
| Reply-To(返信先) | 返信がどこへ飛ぶか | Fromは社内風なのに返信先が無関係な外部 → 返信させて釣る罠 |
| X-Mailer(送信ソフト名) | まともな名前か | 意味不明なランダム文字列=自動スパムツールの指紋 |
とくに見落としがちなのが Reply-To です。Fromは社内の同僚そっくりでも、返信するとまったく別の外部アドレスに飛ぶ——そこへ言われるまま機密や連絡先(チャットのQRコード等)を返信させ、連絡経路を乗っ取るのが狙い。Fromの見た目だけで信用しないことが、人間側の最大の防御です(→ フィッシングとは)。
なぜ受信箱まで届いてしまうのか
詐称メールが迷惑メールにすらならず届くのは、受信側に“偽物を弾く根拠”が無いからです。
DMARCの方針が無い
あなたのドメインに DMARC ポリシーが設定されていないと、受信側はFromの詐称を検知できても強制的に拒否できない。これが受信箱まで届く最大の主因。
SPFが“柔らかい”設定
SPFの末尾が ~all(ソフトフェイル=「怪しいが拒否はしない」)だと、受信側は弾く決め手に欠ける。
転送がSPFを壊す
受信したメールを別アドレスへ転送すると、SPFは転送元サーバー基準で“pass”に見えるのに、Fromは別ドメインのまま。この食い違いを最後に裁くのがDMARC。
ここで効いてくるのが DKIM署名です。SPFは転送で壊れますが、DKIM署名は転送されても生き残る。だから「拒否(reject)まで上げても正規メールを誤って落とさない」命綱はDKIM——これが、対策でDKIMを土台として先に整える理由です。
直し方:SPF → DKIM → DMARC を段階的に
仕組みの詳細は SPF / DKIM / DMARC とは に譲り、ここでは安全な順序だけ。鉄則は「いきなり拒否にしない」です。
SPF を1本だけ正しく
DKIM 署名を有効化(土台)
DMARC は p=none(監視のみ)から
p=none +レポート受信で、正規メールが落ちないかを1〜2週間観察する。段階的に reject まで上げ切る
p=quarantine → p=reject へ。最終的に「詐称は受信側で拒否」を達成して初めて、今回のようなメールが相手の受信箱に届く前に消える。「欠け方」はドメインごとに逆になる
複数ドメインを点検すると、面白いことに欠けている穴が正反対になりがちです。理由は「送信の仕組みが違う=サービスが自動でやってくれる範囲が違う」から。
メール配信サービス型
- 例:取引メールを外部の配信サービスから送る構成
- DKIM / DMARC は初期設定で自動で入りやすい
- 一方で SPF だけは自分でDNSに追記が必要 → そこが抜けがち
ホスティング標準型
- 例:レンタルサーバーから直接送る構成
- SPF は最初から入っていることが多い
- 一方で DKIM は手動でON・DMARCは自分で発行 → その2つが抜けがち
どちらも「3つ揃っていない」点では同じで、欠け方が鏡写しなだけ。自分のドメインがどのパターンかを知るのが第一歩です。
当サイトの視点:入れた“つもり”では止まらない。点検して初めて効く
当サイトは、メール認証は「設定して終わり」ではなく“点検して初めて効く”と考えます。自分のドメインは SPF / DKIM / DMARC チェッカー や サイト総合セキュリティ診断 で現状を一発確認できます。実際、設定値ひとつとっても落とし穴があります——たとえば失敗レポートの送信先(ruf)が無いのに fo を付けても、仕様上無視されるだけのデッドタグになる。レビューで初めて気づくこうした“無害だが無意味な設定”は珍しくありません。そして本命はあくまで「そもそも詐称を受信側に弾かせる(DMARC)」「人が罠に返信しない」の二段構え。検知や設定の前に、仕組みで止める設計を置くのが当サイトの基本姿勢です。
次に読む
よくある質問
Q自分のドメインを名乗るメールが届いた=サーバーが乗っ取られた、ということ?
多くの場合は違います。メールの送信方式(SMTP)は、差出人(From)欄を送信者が自由に書ける仕組みです。封筒の裏に他人の住所を勝手に書くのと同じで、あなたのサーバーに一切触れなくても“あなたのドメイン名義”のメールは送れてしまいます。だから受信=侵害ではありません。本当に乗っ取られたのか単なる詐称なのかは、メールヘッダを読めば見分けられます。
Qなぜ詐称メールが迷惑メールにもならず受信箱まで届くの?
受信側(Gmail等)が“偽物を弾く根拠”を持っていないからです。あなたのドメインにDMARCの方針が設定されていないと、受信側はFromの詐称を検知しても強制的に拒否できません。さらに転送が絡むと判定がぶれます。対策は、SPF・DKIM・DMARCを揃え、DMARCを段階的にp=reject(拒否)まで上げることです。
Q何から手を付ければいい?
まず自分のドメインの現状を点検します(SPF/DKIM/DMARCチェッカーで一発確認できます)。そのうえで、いきなり拒否にせず、DMARCはp=none(監視のみ)から始め、レポートで正規メールが落ちないことを確認してからp=quarantine→p=rejectへ段階的に上げます。転送経路で正規メールを守る命綱はDKIM署名なので、DKIMの有効化を先に済ませておきます。