なりすましメールの加害者にならないために（SPF・DKIM・DMARK）

最近、迷惑メールが多くて困ってます。

フィッシング詐欺のメールですが、どんどん手口が巧妙になってきていて、一見すると本物と間違えてリンクをクリックしてしまいそうになります。

本物かどうか見極めるには、最初に差出人のメールアドレスを確認することが大切です。差出人名は自由に変えられてしまうので、「amazon.co.jp」とか「楽天カード」とか「American Express」とか、思い当たる節のありそうな名前でついつい釣られてしまうのですが、冷静にメールアドレスを見てみると、全然関係ないメールアドレスから送られてきていることがわかるので、詐欺メールだと気づくことができます。

で、その詐欺メールがスゴイ増えているんですが、そのメールアドレスを改めて見てみたとき気付きました。

「あれ、普通の会社のドメインから送られてきてる？」

よくよくドメインを見てみると、普通の企業やお店のWebサイトのドメインぽいのがずらっと並んでいます。

「ああ、残念ながら踏み台にされてしまっているんだ」と思ったわけです。

詐欺メールの「踏み台」にされるとは？

Eメールの仕組みを悪用して、既存の一般企業等のメールアドレスを不正利用し、詐欺メールを送ることが出来てしまいます。セキュリティの穴を突いたような仕組みです。

踏み台にされてしまうと、自社のメールアドレスを装った詐欺メールが拡散され、取引先や顧客に被害を及ぼすだけでなく、「なりすましメールの送信元企業」として信用を損なうリスクがあります。また、多数の受信者から「迷惑メール」の落款を押されることで、自社のドメインが迷惑メールドメインとしてブラックリストに載ってしまう可能性もあります。

企業メールを踏み台にした詐欺メールを防ぐには ― SPF・DKIM・DMARC設定の見直し

自社のメールサーバーやドメインを悪用されないためには、SPF・DKIM・DMARCといった送信ドメイン認証の設定を適切に行うことが不可欠です。ここでは、それぞれの仕組みと見直しのポイントを解説します。

SPF（Sender Policy Framework）

SPFは、「このドメインからメールを送信してよいサーバーはどこか」を定義する仕組みです。DNSにSPFレコードを登録することで、認証されていないサーバーからの送信を拒否できます。

見直しのポイント

使用しているメールサーバー（自社サーバー、クラウドメール、外部サービス）の送信元IPやホストを漏れなく登録する。
古いサーバーや利用停止したサービスの情報が残っていないか確認する。
最終設定（-all）で「不正サーバーからの送信は拒否」まで明確にする。

DKIM（DomainKeys Identified Mail）

DKIMは、電子署名をメールに付与して送信元の正当性を保証する仕組みです。受信側は公開鍵を使って検証し、改ざんやなりすましを判定します。

見直しのポイント

使用中のメールサービスでDKIM署名が有効になっているか確認。
公開鍵はDNSに登録し、定期的に鍵を更新する。
自社独自のドメインで送信する際は必ずDKIMを有効化する。

DMARC（Domain-based Message Authentication, Reporting and Conformance）

DMARCは、SPFやDKIMの検証結果をもとに、受信側に「不正メールをどう処理すべきか」を指示する仕組みです。さらに、レポート機能により、自社ドメインが不正利用されていないか確認できます。

見直しのポイント

DNSにDMARCポリシーを登録し、p=none → p=quarantine → p=rejectと段階的に強化。
レポート受信用のメールアドレスを指定し、不正利用の有無を定期的にモニタリング。
SPF・DKIMが正しく設定された状態でDMARCを有効化することが重要。

詳しくはレンタルサーバーやドメイン事業者のWebサイトで

契約しているレンタルサーバーやドメインの事業者によって、設定できる項目が異なる場合があります。詳しくは、自社の契約サーバー等のWebサイトをご覧ください。

例えば、弊社で利用しているhetemlではこちらのようなページを参考にして設定を行いました。

実際に行った処理としては、ムームードメインの管理画面から、SPF設定はワンタッチで行えました。DMARCについても、下記のレコードを書くだけだったので、非常に簡単な処理でした。

【DMARCレコード】
・サブドメイン：_dmarc　・種別：TXT　・内容：v=DMARC1; p=none;

思いのほか簡単に出来るセキュリティ対策ですので、ぜひお早めに対応しましょう！

もし既に踏み台にされてしまった場合でも、上記のセキュリティ対策を行うことで、他のサーバーからメールを送ることができなくなりますので、被害の拡大を抑えることができます。

まとめ

企業のメールアドレスが踏み台にされると、信用・顧客関係・業務効率すべてに大きなダメージをもたらします。SPF・DKIM・DMARCの設定は「IT部門だけの問題」ではなく、経営リスク管理の一環として定期的に見直すべきものです。

大手メールサービスではSPF・DKIM・DMARC未対応ドメインのメールは迷惑メール扱いされやすいため、対策を行うことで正常なメールの到達率を改善できる可能性もあります。

ぜひ、現状の設定を点検し、必要に応じて専門家や利用中のメールサービス事業者に相談してください。

この記事を書いたのは…

大澤剛史代表取締役 / 中小企業診断士

茨城県牛久市にある、株式会社コンパスの代表取締役。グラフィックデザインができる中小企業診断士として、販促支援、スポット経営相談、定期顧問契約、Webマーケティング支援などの経営支援を実施。茨城県信用保証協会、青森県信用保証協会、茨城県事業承継・引継ぎ支援センター、牛久市商工会での公的支援も実績多数。DELL Expert Network認定メンバーとして、DELL製品のお得な導入サポートも実施中。