ドメイン番人
メール認証セキュリティWeb 担当者

自社ドメインのなりすまし セルフチェック手順

ドメイン番人6 分で読めます
目次

この記事でわかること

  • 自社ドメインが「なりすまされやすい状態」かを自分で確認する 3 つの手順
  • SPF / DKIM / DMARC のどこを見れば「危険」か「保護が効いている」かを判別する基準
  • 放置するとどうなるか(取引先を狙ったなりすまし、ビジネスメール詐欺、ブランド毀損)の事実

「うちのドメイン、勝手に使われていないだろうか」

「取引先から、身に覚えのない請求書メールがうちの会社名で届いたと連絡があった」——こうした相談は、メール認証の設定が不十分な企業で実際に起こります。

メールの差出人欄(From)は、技術的には誰でも自由に書き換えられます。つまり、あなたの会社のドメイン(@example.co.jp の example.co.jp の部分)を差出人に使った偽メールを、第三者が外部から送ることが原理的に可能なのです。これを防ぐ仕組みが SPF・DKIM・DMARC という 3 つのメール認証です。

問題は、「自社がこの 3 つをきちんと設定できているか」を多くの担当者が把握していない点です。そこでこの記事では、専門知識がなくても自分で現状を確認できる手順を紹介します。仕組みそのものの基礎は DMARC とは?仕組みと SPF/DKIM 違いを 5 分解説 も合わせてご覧ください。

なりすまされやすさ セルフチェックの流れ

放置すると何が起きるのか(事実ベースで)

なりすまし対策を放置したときの代表的なリスクは、独立行政法人 情報処理推進機構(IPA)が注意喚起しているビジネスメール詐欺(BEC)です。IPA は BEC を 2 つのパターンに整理しています(IPA「ビジネスメール詐欺のパターンとは」)。

  • 取引先になりすますパターン: 攻撃者が取引先を装い、振込先を差し替えた偽の請求書を送り付け、入金させる
  • 経営者になりすますパターン: 攻撃者が経営者や役員を装い、従業員に偽の口座へ送金させる

どちらも「実在する会社のドメインを差出人に使う」ことで信頼を悪用します。自社ドメインの認証が甘いと、自社になりすました偽メールが取引先に届き、結果として取引先が被害に遭い、自社の信用にも傷がつくおそれがあります。恐怖を煽る意図はありませんが、メールは商取引の根幹であり、認証設定は「やっておけば防げること」の一つです。

セルフチェックの手順(SPF / DKIM / DMARC を順に見る)

なりすまされやすさは、メール認証の 3 つの設定を順に確認すればつかめます。以下の 3 ステップで進めましょう。

手順 1: SPF を確認する

SPF(エスピーエフ)は「このドメインのメールは、ここに挙げたサーバーから送られます」と宣言する仕組みです。受信側は、宣言に載っていないサーバーからのメールを怪しいと判断できます。仕様は RFC 7208 で定義されています。

確認の観点は次の 3 つです。

  1. そもそも SPF が設定されているか: 未設定だと、どのサーバーからの送信も「正規かどうか判断できない」状態になります。
  2. 末尾が +all になっていないか: +all は「すべての IP アドレスを許可」を意味し、SPF の意味を無効化します。安全な設定は通常 -all(許可外を弾く)です。
  3. include の数が 10 個を超えていないか: RFC 7208 は SPF 評価中の DNS 参照を最大 10 回までと定めており、超えると認証エラー(Permerror)になります。

未設定、または +all のままなら、なりすまされやすい高リスク状態です。

手順 2: DKIM を確認する

DKIM(ディーキム)は、送信時にメールへ電子署名を付け、受信側がその署名を検証することで「内容が改ざんされていないか」「正しいドメインから出たか」を確かめる仕組みです。

確認のポイントは、自社が利用しているメールサービス(Google Workspace、Microsoft 365、各種配信サービスなど)で DKIM 署名が有効になっているかです。署名が付いていないと、受信側は本文や差出人の改ざんを検知できません。

DKIM はメールサービスごとに「セレクタ」と呼ばれる識別子が異なります。設定方法も提供元によって違うため、Google の送信者ガイドラインや Microsoft の公式ドキュメントなど、利用中サービスの正規の手順に沿って確認・設定するのが確実です。推測でセレクタを設定しないよう注意してください。

設定状態の判定早見表

手順 3: DMARC を確認する(ここが最重要)

DMARC(ディーマーク)は、SPF と DKIM の結果をもとに「認証に失敗したメールをどう扱うか」を受信側に指示し、さらに不審な送信のレポートを受け取る仕組みです。仕様は RFC 7489 で標準化されています。

ここで最も誤解されやすいのが p=none(ポリシー none) の扱いです。RFC 7489 では、p=none は「ドメイン所有者は配信について特段の処置を求めない」状態と定義されています。つまり p=none は監視(レポート収集)のみで、なりすましメールの配信を止める保護は発動していません

DMARC のポリシーは 3 段階です。

  • 未設定: なりすまし対策の指示もレポートもない、最もリスクの高い状態
  • p=none: 監視のみ。状況把握には有効だが、偽メールはそのまま配信される(保護未発動)
  • p=quarantine / p=reject: 認証に失敗したメールを迷惑メール隔離、または受信拒否する。なりすましを実際に止められる状態

「DMARC を設定済み」と思っていても、p=none のまま長期間放置しているケースは少なくありません。none はあくまで出発点であり、レポートで正規メールへの影響がないことを確認しながら quarantine、reject へ段階的に強化していくのが推奨される進め方です。詳しくは SPF・DKIM・DMARC の違いをやさしく解説 も参考になります。

よくある質問

SPF と DKIM があれば DMARC は不要ですか?

いいえ。SPF と DKIM は「正規かどうかを判定する部品」で、DMARC は「判定に失敗したときの処理方針」と「レポート」を担います。Gmail / Outlook の送信者要件への対応という観点でも DMARC は重要です。背景は DMARC 設定が事実上の必須になった理由 で解説しています。

p=none のままでも問題ないですか?

なりすまし防止という目的に対しては不十分です。p=none は配信を一切止めないため、偽メールは通過します。レポートで現状を把握したら、quarantine 以上へ進めることを検討してください。

自分で確認するのが難しい場合は?

ドメイン名を入力するだけで SPF / DKIM / DMARC の設定状況をまとめて確認できる無料ツールがあります。次のセクションをご覧ください。

まとめ

  • なりすまされやすさは、SPF → DKIM → DMARC の順に「設定の有無」と「強度」を確認すれば自分でも把握できる
  • 高リスクのサインは「DMARC 未設定または p=none」「SPF 未設定または +all」「DKIM 未検出」
  • 放置は取引先を狙ったなりすましやビジネスメール詐欺につながりうる。出発点の p=none から quarantine / reject へ段階的に強化するのが安全

まずは無料診断で現状を確認しましょう

「自社のドメインが今どの状態か」を手作業で調べるのは手間がかかります。ドメイン番人の無料ドメイン診断なら、ドメイン名を入力するだけで SPF・DKIM・DMARC の設定状況と強度をまとめて確認でき、どこから手を付けるべきかが一目でわかります。

設定内容は専門家が確認し、わかりやすくご案内します。なりすまし対策が不安な方は、まず無料ドメイン診断で現状をチェックしてみてください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから