![送信元確認の 3 つのレベル](/blog/verify-sender-trust/three-levels.svg) ## この記事でわかること - 「このメール本物?」を確認する 3 段階の方法 - メールヘッダーで見るべき 3 つの項目 - 偽メールに共通する具体的なサイン - 社内で「疑わしいときはこの順に確認」と決める基準 ## 「本物のメールか」を疑う場面が増えている 請求書の振込先変更通知、取引先 CEO からの送金依頼、顧客サポートからのパスワードリセット案内。これらの形をした偽メールが日常的に届くようになりました。 特に怖いのは、本物そっくりに作り込まれた標的型のメール([ビジネスメール詐欺の手口](/blog/bec-attack-cases))です。本物の取引履歴・本物の担当者名・本物の請求書 PDF が添付されていることもあり、表面だけ見て判別できないケースが増えています。 「ちょっとおかしい」と感じたら確認できる手順を、社内で共通言語にしておく価値があります。 ## レベル 1: 表示名と差出人アドレスを照合する 最も簡単な確認です。受信箱で表示される名前と、実際の差出人アドレスを並べて見ます。 「山田太郎(株式会社〇〇)」と表示されていても、実際のアドレスが「yamada-taro@gmail-secure-2026.com」のような無関係なドメインになっていることがあります。これだけで偽メール確定です。 スマホアプリだと表示名しか出さない設定になっていることが多いので、必ず差出人アドレスを開いて確認します。 詳しい確認方法は[自社の名前で迷惑メールが届いた場合の対処](/blog/own-domain-spam-sent)も参考になります。 ## レベル 2: メールヘッダーを開いて 3 つを見る 差出人アドレスが正しく見えても、ヘッダー情報を見るとなりすましが判別できることがあります。 ![ヘッダーで見るべき 3 項目](/blog/verify-sender-trust/header-checklist.svg) ### 確認項目 1: From と Return-Path From(差出人欄)と Return-Path(バウンスメール返送先)が大きく異なる場合、なりすましの可能性が上がります。本物のメールならドメイン部分が一致するか、関連サービス(メール配信業者など)になっています。 ### 確認項目 2: Authentication-Results `spf=pass` / `dkim=pass` / `dmarc=pass` と並んでいれば、送信ドメイン認証が通っています。`fail` や `none` が混ざっていたら警戒します。 | 表示 | 意味 | |---|---| | pass | 認証成功(信頼度高め) | | fail | 認証失敗(なりすまし可能性高) | | none | 設定なし(判定不能) | | neutral | 中立 | 詳しい読み方は[SPF / DKIM / DMARC の違い](/blog/spf-dkim-dmarc-difference)を参照。 ### 確認項目 3: Received(経路) 「Received」ヘッダはメールがどのサーバーを経由したかの履歴です。本物なら取引先の業務メールサービスが並びますが、見覚えのない国の謎のサーバーが入っていたら怪しいサインです。 メールソフトで「メッセージのソースを表示」「ヘッダーを表示」のメニューから開けます。 ## レベル 3: 別の経路で本人に確認する レベル 1 と 2 で確信が持てない場合、最後は別経路の確認です。 - メールに書かれた電話番号や URL ではなく、自社で過去から記録している連絡先で電話する - 取引先の公式 Web サイトのお問い合わせフォームから状況を確認する - 社内の経理 / 上司にエスカレーションし、独立して確認してもらう 「メールに書かれた電話番号にかけて確認」は最悪手です。偽メールには偽の連絡先が書かれているからです。 ## 社内で「疑わしいときはこの順」と決める 事故が起きるのは「個別判断」のときです。あらかじめ手順を決めておけば、判断ミスは減ります。 1. レベル 1(表示名と差出人)を必ず見る 2. 違和感があればレベル 2(ヘッダー 3 項目)を確認 3. それでも不安ならレベル 3(別経路で本人確認)を実行 4. 振込先変更・パスワードリセット・契約変更のような重大判断は、レベル 3 を必ず通す 社内のなりすまし対策として、自社ドメイン側で SPF / DKIM / DMARC を整える作業も並行で進めます([なりすましメール対策の基本](/blog/email-spoofing-prevention))。 ## まとめ - 送信元確認は「表示名 → ヘッダー → 別経路本人確認」の 3 段階 - 表示名と差出人アドレスはスマホでも必ず両方見る - ヘッダーでは From / Return-Path / Authentication-Results / Received の 4 つに注目 - 振込・パスワード等の重大判断は別経路本人確認を必ず通す ## まずは現状を把握しましょう 自社ドメインのメール認証(SPF / DKIM / DMARC)の状態は、ドメイン番人の[無料診断](/diagnose)で 30 秒で確認できます。設定にお困りの場合は[お問い合わせ](/contact)からご相談ください。