「御社の会社名で、見覚えのない請求書メールが届いたのですが…」── 取引先からこんな問い合わせが来たら、青ざめてしまいます。
送ったのは自社ではないのに、相手には「自社名」のメールとして届いてしまう。これが「なりすましメール」と呼ばれる手口です。今回はその対策の入り口となる3つの設定(SPF / DMARC / DKIM)について、技術用語をなるべく噛み砕いてご案内します。
取引先に「自社名」のメールが届く ── なぜ起きるのか
もともとメールという仕組みは、送信元の名前を 差出人欄で名乗るだけ でやり取りできてしまう、ゆるい構造で生まれました。誰かが「自分は example@yourcompany.co.jp です」と名乗って送信しても、受け取った側はその名乗りが本物かどうかを、メール本体だけでは見抜けません。
そこで近年、受信側のメールサービス(Gmail や各社のメールサーバー)は、「差出人ドメインの本当の持ち主が、その送信を認めているか」を確認する仕組みを使うようになってきました。それが SPF / DMARC / DKIM の3点セットです。これらが整っていないドメインから来たメールは、迷惑メールフォルダに振り分けられたり、配送そのものを断られたりすることがあります。
3つの認証技術 ── 役割を一言ずつ
少し技術的な用語が出てきますので、まずは「何のための仕組みか」だけをご案内します。
- SPF(Sender Policy Framework)
「このドメインのメールは、ここの送信サーバーから出ます」と、自社ドメインの DNS に正規の送信元を登録しておく仕組みです。受信側は、そのリストに無いサーバーから来たメールを「正規ではない可能性が高い」と判断できます。 - DKIM(DomainKeys Identified Mail)
送信時にメールへ電子的な署名を付けておき、受信側はその署名を検証することで、「このメールは本当に名乗ったドメインから出され、途中で改ざんもされていない」ことを確認できる仕組みです。封筒の封印に近いイメージです。 - DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPF と DKIM の結果を踏まえて、「認証に失敗したメールは、迷惑メール扱いにしてほしい/拒否してほしい」という方針を、ドメインの持ち主の側から受信側に伝える仕組みです。あわせて、検知の結果を定期的にレポートとして受け取れます。
ざっくり言えば、SPF と DKIM は「本物の証明」、DMARC は「偽物が来たときの扱いを指示する司令塔」のような関係です。3つが揃って、ようやく一つの対策として機能します。
coremeo-check で確認できること
coremeo-check(コレミオ-チェック) の「なりすましメール対策(SPF / DMARC / DKIM)」項目では、診断対象ドメインの DNS を参照して、上記3つの設定の有無と状態を確認します。判定の例は次のとおりです。
- 🟢 良好:SPF・DMARC(quarantine または reject)・DKIM が揃っている状態
- 🟡 注意:SPF はあるが DMARC が監視モード(p=none)、または DKIM が確認できない、など一部のみの状態
- 🔴 危険:SPF や DMARC が設定されていない状態
確認はあくまで「DNS に何が登録されているか」という公開情報の参照だけで、メール送信を試みるなどの能動的な動作は行わない設計です。
設定が不十分だと、どんな影響が考えられるか
この項目で🔴や🟡が出た場合に、想定される影響は次のようなものです。
- 自社ドメインを騙ったメールが取引先に届き、請求詐欺などの被害につながる可能性があります
- 正規に送ったメールが、受信側で「偽メールかもしれない」と扱われ、迷惑メールフォルダに振り分けられることがあります
- 受信側の対策強化(特に Gmail の送信者ガイドライン)に追従できず、配送そのものを断られる場面が増える可能性があります
MEO 対策で問い合わせ数が増えている時期ほど、お礼メールや見積メールが届かないという事故は事業への影響が大きくなります。集客の入り口を整える際は、サイトと並んで「メールが正しく届く状態」も合わせて点検しておくのが安心です。
対応の進め方 ── 自社/制作会社/専門家
SPF / DKIM / DMARC の設定は、いずれもドメインの DNS レコードを編集する作業になります。ドメイン管理会社の管理画面、もしくはメールサーバーの提供事業者の管理画面から行います。
- 自社で対応できそうな場合:利用中のメールサービス(Google Workspace / Microsoft 365 など)の公式ヘルプに、推奨される SPF / DKIM の設定例が掲載されています。これらを参考に設定し、設定後に再度 coremeo-check で🟢になることを確認するのが一連の流れです。
- 制作会社・サーバー会社にお願いする場合:「SPF・DKIM・DMARC を設定したい」とお伝えいただければ、対応可能なケースが多いです。DMARC のポリシー(none → quarantine → reject)の段階的な引き上げ方も併せてご相談ください。
- 判断に迷う場合:MintSpark でも30分の無料相談を承っています。診断結果を一緒に読み解きながら、無理のない順序をご提案します。
なお、DMARC をいきなり「拒否(reject)」に設定すると、自社の正規メールが届かなくなる可能性もあります。監視モード(none)から段階的に引き上げるのが一般的な進め方です。
次回は WordPress の「攻撃面」をご案内します
次回は、coremeo-check の項目のうち、最も🔴がつきやすい「WordPress の攻撃面(公開状態)」を取り上げます。24時間動き続ける自動攻撃に対して、サイト運営者として「狙われやすい状態」をどう減らしていくか、という観点でご紹介します。
まずは自社サイトを診断してみる
URL を入力するだけ、登録は任意、攻撃的なアクセスを行わない設計です。診断結果は信号機の色でその場で表示されます。
※ coremeo-check は受動診断ツールであり、ウェブサイトやメールの安全性を保証するものではありません。診断結果は外部から確認できる公開情報の範囲に限定されます。具体的な対応の必要性・優先順位は、各サイト・各事業の運用状況に応じてご判断ください。
コメント