## この記事でわかること - 自社ドメインが「なりすまされやすい状態」かを自分で確認する 3 つの手順 - SPF / DKIM / DMARC のどこを見れば「危険」か「保護が効いている」かを判別する基準 - 放置するとどうなるか(取引先を狙ったなりすまし、ビジネスメール詐欺、ブランド毀損)の事実 ## 「うちのドメイン、勝手に使われていないだろうか」 「取引先から、身に覚えのない請求書メールがうちの会社名で届いたと連絡があった」——こうした相談は、メール認証の設定が不十分な企業で実際に起こります。 メールの差出人欄(From)は、技術的には誰でも自由に書き換えられます。つまり、あなたの会社のドメイン(@example.co.jp の example.co.jp の部分)を差出人に使った偽メールを、第三者が外部から送ることが原理的に可能なのです。これを防ぐ仕組みが SPF・DKIM・DMARC という 3 つのメール認証です。 問題は、「自社がこの 3 つをきちんと設定できているか」を多くの担当者が把握していない点です。そこでこの記事では、専門知識がなくても自分で現状を確認できる手順を紹介します。仕組みそのものの基礎は [DMARC とは?仕組みと SPF/DKIM 違いを 5 分解説](/blog/what-is-dmarc) も合わせてご覧ください。 ![なりすまされやすさ セルフチェックの流れ](/blog/email-spoofing-self-check/self-check-flow.svg) ## 放置すると何が起きるのか(事実ベースで) なりすまし対策を放置したときの代表的なリスクは、独立行政法人 情報処理推進機構(IPA)が注意喚起しているビジネスメール詐欺(BEC)です。IPA は BEC を 2 つのパターンに整理しています([IPA「ビジネスメール詐欺のパターンとは」](https://www.ipa.go.jp/security/bec/bec_pattern.html))。 - **取引先になりすますパターン**: 攻撃者が取引先を装い、振込先を差し替えた偽の請求書を送り付け、入金させる - **経営者になりすますパターン**: 攻撃者が経営者や役員を装い、従業員に偽の口座へ送金させる どちらも「実在する会社のドメインを差出人に使う」ことで信頼を悪用します。自社ドメインの認証が甘いと、自社になりすました偽メールが取引先に届き、結果として取引先が被害に遭い、自社の信用にも傷がつくおそれがあります。恐怖を煽る意図はありませんが、メールは商取引の根幹であり、認証設定は「やっておけば防げること」の一つです。 ## セルフチェックの手順(SPF / DKIM / DMARC を順に見る) なりすまされやすさは、メール認証の 3 つの設定を順に確認すればつかめます。以下の 3 ステップで進めましょう。 ### 手順 1: SPF を確認する SPF(エスピーエフ)は「このドメインのメールは、ここに挙げたサーバーから送られます」と宣言する仕組みです。受信側は、宣言に載っていないサーバーからのメールを怪しいと判断できます。仕様は [RFC 7208](https://datatracker.ietf.org/doc/html/rfc7208) で定義されています。 確認の観点は次の 3 つです。 1. **そもそも SPF が設定されているか**: 未設定だと、どのサーバーからの送信も「正規かどうか判断できない」状態になります。 2. **末尾が `+all` になっていないか**: `+all` は「すべての IP アドレスを許可」を意味し、SPF の意味を無効化します。安全な設定は通常 `-all`(許可外を弾く)です。 3. **include の数が 10 個を超えていないか**: RFC 7208 は SPF 評価中の DNS 参照を最大 10 回までと定めており、超えると認証エラー(Permerror)になります。 未設定、または `+all` のままなら、なりすまされやすい高リスク状態です。 ### 手順 2: DKIM を確認する DKIM(ディーキム)は、送信時にメールへ電子署名を付け、受信側がその署名を検証することで「内容が改ざんされていないか」「正しいドメインから出たか」を確かめる仕組みです。 確認のポイントは、**自社が利用しているメールサービス(Google Workspace、Microsoft 365、各種配信サービスなど)で DKIM 署名が有効になっているか**です。署名が付いていないと、受信側は本文や差出人の改ざんを検知できません。 DKIM はメールサービスごとに「セレクタ」と呼ばれる識別子が異なります。設定方法も提供元によって違うため、Google の[送信者ガイドライン](https://support.google.com/a/answer/81126)や Microsoft の公式ドキュメントなど、利用中サービスの正規の手順に沿って確認・設定するのが確実です。推測でセレクタを設定しないよう注意してください。 ![設定状態の判定早見表](/blog/email-spoofing-self-check/status-judgement.svg) ### 手順 3: DMARC を確認する(ここが最重要) DMARC(ディーマーク)は、SPF と DKIM の結果をもとに「認証に失敗したメールをどう扱うか」を受信側に指示し、さらに不審な送信のレポートを受け取る仕組みです。仕様は [RFC 7489](https://datatracker.ietf.org/doc/html/rfc7489) で標準化されています。 ここで最も誤解されやすいのが **`p=none`(ポリシー none)** の扱いです。RFC 7489 では、`p=none` は「ドメイン所有者は配信について特段の処置を求めない」状態と定義されています。つまり **`p=none` は監視(レポート収集)のみで、なりすましメールの配信を止める保護は発動していません**。 DMARC のポリシーは 3 段階です。 - **未設定**: なりすまし対策の指示もレポートもない、最もリスクの高い状態 - **p=none**: 監視のみ。状況把握には有効だが、偽メールはそのまま配信される(保護未発動) - **p=quarantine / p=reject**: 認証に失敗したメールを迷惑メール隔離、または受信拒否する。なりすましを実際に止められる状態 「DMARC を設定済み」と思っていても、`p=none` のまま長期間放置しているケースは少なくありません。none はあくまで出発点であり、レポートで正規メールへの影響がないことを確認しながら quarantine、reject へ段階的に強化していくのが推奨される進め方です。詳しくは [SPF・DKIM・DMARC の違いをやさしく解説](/blog/spf-dkim-dmarc-difference) も参考になります。 ## よくある質問 ### SPF と DKIM があれば DMARC は不要ですか? いいえ。SPF と DKIM は「正規かどうかを判定する部品」で、DMARC は「判定に失敗したときの処理方針」と「レポート」を担います。Gmail / Outlook の送信者要件への対応という観点でも DMARC は重要です。背景は [DMARC 設定が事実上の必須になった理由](/blog/dmarc-mandatory) で解説しています。 ### p=none のままでも問題ないですか? なりすまし防止という目的に対しては不十分です。p=none は配信を一切止めないため、偽メールは通過します。レポートで現状を把握したら、quarantine 以上へ進めることを検討してください。 ### 自分で確認するのが難しい場合は? ドメイン名を入力するだけで SPF / DKIM / DMARC の設定状況をまとめて確認できる無料ツールがあります。次のセクションをご覧ください。 ## まとめ - なりすまされやすさは、SPF → DKIM → DMARC の順に「設定の有無」と「強度」を確認すれば自分でも把握できる - 高リスクのサインは「DMARC 未設定または p=none」「SPF 未設定または +all」「DKIM 未検出」 - 放置は取引先を狙ったなりすましやビジネスメール詐欺につながりうる。出発点の p=none から quarantine / reject へ段階的に強化するのが安全 ## まずは無料診断で現状を確認しましょう 「自社のドメインが今どの状態か」を手作業で調べるのは手間がかかります。**ドメイン番人の無料ドメイン診断**なら、ドメイン名を入力するだけで SPF・DKIM・DMARC の設定状況と強度をまとめて確認でき、どこから手を付けるべきかが一目でわかります。 設定内容は専門家が確認し、わかりやすくご案内します。なりすまし対策が不安な方は、まず[無料ドメイン診断](/diagnose)で現状をチェックしてみてください。