## この記事でわかること - 「お宅から変なメールが届いた」と連絡が来た時の最初の 3 つの確認 - 自社サーバーから送られたのか、なりすましかを切り分ける手順 - なりすましを止めるための DNS 側の対応 - 二度と起きないようにするための予防策 ## 連絡が来た瞬間に頭が真っ白にならないために Web 担当者・情シス・制作会社者は、ある日突然「お宅から覚えの無いメールが届いた」「セキュリティ警告が出るリンクが貼ってあった」といった連絡を取引先・顧客から受けることがあります。 このとき、まず冷静に切り分けます。「自社が送ったが、何かの不備で迷惑メール扱いされた」のか、「第三者が自社のドメインを偽装して送った」のかで、対応が全く違います。 不審なメールを社員側で見分けるルール作りは [怪しいメールの見分け方|Web 担当者・情シス・制作会社者向けチェック手順](/blog/suspicious-mail-detection)、自社送信メールが届かない時の切り分けは [会社のメールが届かない原因を一覧で整理](/blog/company-mail-not-delivered-causes) を併読してください。 ## 最初の 3 つの確認(10 分でできる) ![最初の 3 つの確認フロー](/blog/own-domain-spam-sent/initial-three-checks.svg) ### 確認 1: 送信元のメールアドレスを取得 連絡してきた相手から、**問題のメールの全ヘッダ**を入手します。Gmail なら「︙」→ 「メッセージのソースを表示」、Outlook なら「ファイル」→ 「プロパティ」で表示できます。 特に確認すべきは: - `From:` ヘッダ(送信者が表示するアドレス) - `Return-Path:` ヘッダ(バウンス先、本当の送信源に近い) - `Received:` ヘッダ(経由したサーバーの IP) - `Authentication-Results:` ヘッダ(受信側で実施した SPF / DKIM / DMARC 判定) ### 確認 2: 自社のメール送信履歴と照合 社内メール基盤(Google Workspace / Microsoft 365 / 自社 SMTP)の送信ログで、該当時刻・該当宛先への送信履歴があるか確認します。 - **送信履歴がある** → 自社が送った正規メールである可能性が高い(ただし社員の端末がマルウェアに感染している可能性も) - **送信履歴が無い** → 第三者によるなりすましの可能性が高い ### 確認 3: Authentication-Results を読む 受信側の `Authentication-Results` に注目します。 ``` Authentication-Results: mx.google.com; dkim=pass header.i=@example.co.jp; spf=pass smtp.mailfrom=example.co.jp; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=example.co.jp ``` - `dkim=pass` && `dmarc=pass` → 自社のメール基盤から送られた可能性が高い - `dkim=fail` または `dkim=none` && `spf=fail` → なりすましの可能性が高い DMARC 判定の読み方は [DMARC レポートの disposition と alignment を読み解く](/blog/dmarc-aggregate-disposition-reading) を参照。 ## なりすましだった場合の対応 確認 3 で「なりすまし」と判定された場合、次の対応を急ぎます。 ![DMARC ポリシー段階強化のフロー](/blog/own-domain-spam-sent/dmarc-strengthen.svg) ### 対応 1: 自社の DMARC ポリシーを確認 まず [無料のドメイン診断](/diagnose) で自社の DMARC 設定状況を確認します。 - **DMARC 未設定**: 受信側に「失敗時にどう扱うか」の指示が無い状態。なりすましメールが届くのを防げない - **`p=none`**: 観察モード。失敗を検知しても受信側に止める指示を出していない - **`p=quarantine`**: 受信側でスパムフォルダ送り - **`p=reject`**: 受信側で拒否(破棄) `p=none` のままだと、なりすましメールは普通に届きます。`p=quarantine` か `p=reject` に進めるのが対策になります。 ポリシーの段階的強化手順は [DMARC ポリシー段階強化ガイド](/blog/dmarc-policy-tightening) で詳しく解説しています。 ### 対応 2: SPF / DKIM の設定不備を埋める DMARC は SPF / DKIM の判定結果を元に動くので、両方が正しく設定されていることが前提です。SPF の `include:` 数オーバーや DKIM 鍵長 1024 ビット等の不備があれば修正します。 ### 対応 3: 受信側に状況を伝える 連絡をくれた取引先には「ご指摘ありがとうございます。なりすましメールでした。当社の DMARC 設定を強化したのでもう届かないはずです。万一同じことがあれば再度ご連絡ください」と返信します。隠したり逆ギレしたりすると信頼を損ねます。 ### 対応 4: 関係者への注意喚起 大量に同じパターンのなりすましが出ている場合、自社の主要な取引先・顧客に「なりすましメールが出回っていますのでご注意ください。当社は **メール内リンクから ID / パスワードを入力させる依頼**は一切行いません」と一斉案内するのが安全です。 ## 自社が送った正規メールが「迷惑」と判定された場合 確認 3 で `dkim=pass` `spf=pass` `dmarc=pass` だった場合、自社が送ったメールが何らかの理由で迷惑メール扱いされている状態です。 考えられる原因: - **メール本文中のキーワード**(「無料」「特別」「至急」等)でスパム判定 - **送信 IP の評価低下**(共有 SMTP の他利用者がスパム送信) - **送信頻度の急増**(1 日 5,000 通超で Gmail / Yahoo の判定が厳しくなる) - **件名・本文・送信元名の不整合** 対処法: 1. 直近の送信パターン(量・宛先・本文)を見直す 2. 共有 SMTP を使っているなら専用 IP を持つサービスへ切り替え検討 3. SPF / DKIM / DMARC は既に設定済みでも、設定の質をさらに高める(DKIM 鍵長 2048 ビット化等) 詳しくは [Google の送信者ガイドライン要約](/blog/google-sender-requirements-2024) を参照してください。 ## なりすましが多い場合は「未使用ドメイン」も要チェック 意外な落とし穴は、過去に取得して**今使っていないドメイン**から送られているケースです。事業整理で売却したサービス、終了したキャンペーン用ドメインなどが第三者に取得 or 偽装されているパターン。 未使用ドメインの SPF / DMARC 設定で「メールも MX も無し」と宣言する手順は [未使用ドメインのなりすまし対策(パークドメイン保護)](/blog/parked-domain-protection) で解説しています。 ## まとめ - 「お宅から変なメールが届いた」と言われたら、**送信元ヘッダと自社送信ログを照合**して切り分け - なりすましなら **DMARC ポリシーの強化**で受信側に拒否させる - 自社送信が迷惑判定された場合は送信パターンと SPF / DKIM の質を見直す - 未使用ドメインからのなりすましも忘れずにチェック ## まずは現状を把握しましょう [無料のドメイン診断](/diagnose) で、自社ドメインの SPF / DKIM / DMARC の設定状況を 30 秒で確認できます。なりすましメール対策の起点として最初に開いてください。 被害が出ている、対応が急務、という状況であれば [お問い合わせフォーム](/contact) で「メール不達など緊急対応のご相談」を選択してご連絡ください。スポット対応(3 万円〜)で 24〜48 時間以内に切り分けと初動対応、再発防止策をご提案します。