## この記事でわかること - catch-all(万能受信)の動作と、よく使われる場面 - catch-all が引き起こす 4 つのリスク(スパム / なりすまし / 列挙攻撃 / 監査困難) - 個別エイリアス運用 + サブアドレスで代替する手順 - どうしても catch-all が必要な場合の緩和策 ## catch-all とは catch-all は、ドメイン宛の **存在しないローカルパート全て** を 1 つのメールボックスで受け取る設定です。`alice@example.com` `bob@example.com` `xyz123@example.com` などすべて `info@example.com` 等に集約されます。Google Workspace では「未配信メールの受信者」、Microsoft 365 では「Accept Domain」の catch-all 設定で実現します。 ## 4 つのリスク ![catch-all の 4 リスク](/blog/catch-all-mailbox-risk/four-risks.svg) ### 1. スパム流入が爆発する スパマーは無差別生成したアドレスへ大量送信します。通常なら宛先不明で弾かれるメールが、catch-all により全て受信トレイへ。1 日数千通のスパムが流入することも珍しくありません。 ### 2. なりすまし・フィッシングの土壌 `support-team@`、`it-helpdesk@`、`ceo-office@` 等、社内に存在しない部署名のアドレスを名乗ったメールが catch-all で受信できてしまうと、社員が「会社の正規メール」と誤認するリスクが上がります。攻撃者は社外からのメールに見せかけ、社内アカウントに見せかけて転送、というシナリオが組めます。 ### 3. アドレス列挙攻撃 スパマーが「どのアドレスなら届くか」を調査する列挙攻撃に対し、通常は存在しないアドレスへの送信は `550 User unknown` で弾かれて存在情報が漏れません。catch-all では全て受信成功するため、攻撃者は **どのアドレスが本物か区別できない代わりに、全部に送ればどれかは正規ユーザに届く** という戦略が成立します。 ### 4. 監査・SPF 検証の困難化 catch-all 経由で届いたメールは「本来宛先になかったはず」のものであり、ログ調査時に「これは誰宛の正規メールか」の判別が困難。SPF / DKIM / DMARC のレポート分析も歪みます。 ## 代替策: エイリアス + サブアドレス ![catch-all → エイリアス運用への移行](/blog/catch-all-mailbox-risk/alternative.svg) - **個別エイリアス**: `sales@`, `support@`, `info@`, `recruit@` など必要なものを個別に作成 - **サブアドレス(+ サフィックス)**: Gmail / Microsoft 365 はデフォルト対応。`info+google@example.com` `info+newsletter@example.com` のように個別 ID を付与でき、フィルタや漏洩追跡に使える - **動的エイリアス**: SimpleLogin / Fastmail Masked Email など、必要時に動的にエイリアスを発行するサービスもある ## どうしても catch-all が必要な場合 - レガシー業務システムから「過去のメールアドレス全て」に届くメールを失わせたくない期間限定(移行期間 3 ヶ月など) - スパムフィルタを最強モードに(Google Workspace / Microsoft 365 の追加フィルタ + サードパーティの Mimecast 等) - DMARC `p=reject` で外部からのなりすまし送信を弾く([DMARC 設定ガイド](/blog/dmarc-setup-guide) 参照) - catch-all 受信メールは別ボックスに分離し、人が定期確認する運用に ## まずは現状を把握しましょう 自社のメール運用が catch-all 依存になっていないか、まず棚卸しから始めましょう。無料の[ドメイン診断](/diagnose)で SPF / DKIM / DMARC の状況を確認し、判断に迷う場合は[お問い合わせ](/contact)からご相談ください。 関連記事: [DMARC 設定ガイド](/blog/dmarc-setup-guide) / [メールヘッダの読み方](/blog/email-headers-reading-guide) / [BEC 攻撃の事例](/blog/bec-attack-cases)