あなたのドメインが狙われている！知らぬ間に起こるなりすましメールの脅威と対策

ドメインにメール認証を設定してから、ぽつぽつとDMARCレポートが届くようになりました。DMARCレポートは、ドメインのメール認証設定の有効性を確認するためのもので、メール送信元の認証状況や問題点を示す情報が含まれています。今回は、DMARCレポートの内容を解説し、メールセキュリティの向上について考察してみたいと思います。

予想外のDMARCレポート：AIによる解析

恐ろしいことに、私はメールを週に１～２通しか送らないのに、DMARCレポートはそれ以上のペースで届きます。１つをAIに解析してもらいました。

なりすましメールの実態：驚くべき発見

なんじゃ、こりゃあ？

私の大事な大事なドメインを無断使用して、なりすましメールを送りつけている輩がいるようです。これは、私のドメインの評判を損なうだけでなく、セキュリティリスクを引き起こす可能性があります。

送信元をwhoisコマンドで調べた結果をAIに解析してもらいました。

なんと、なんと！私の知らぬところでなりすましメールがこれほどまでに送られているとは、驚愕である。

自分のドメインはなりすましとは無関係、と思われてる方が多いと思いますが、そういうドメインを世界中の悪い奴らが虎視眈々と狙っていたのだ。こしたんたん、こしたんたん。

しかも、多いときは1日に10通以上ものなりすましメールが中国から送信されているという現実。DMARCでブロックすれば、こいつらが送ったメールをメールサーバーが受信拒否するようになり、当社になりすましたメールを撲滅できるというものです。

これは、ドメインオーナーにとって見過ごせない問題です。

ドメインを守れ！具体的な対策

ドメインは持っているけど使っていない場合、なりすましを防ぐにはどうすれば？AIに助けを求めました。

レコード種別 : TXT
名前（ホスト名）: _dmarc.(ドメイン名)
値（コンテンツ）: v=DMARC1; p=reject; rua=mailto:[email protected]

対策後の効果：なりすましメールのブロックに成功

記事の冒頭で紹介したDMARCレポートは、ポリシーが p=none（監視のみ）の状態でした。その後、SPFレコードの修正とDMARCポリシーの段階的な強化を行い、最終的に p=reject（拒否）まで引き上げました。

2026年4月、KDDIから届いたDMARCレポートが、対策の効果を如実に示しています。

<policy_published>
  <domain>aqz.jp</domain>
  <adkim>s</adkim>
  <aspf>s</aspf>
  <p>reject</p>
  <sp>reject</sp>
  <pct>100</pct>
</policy_published>
<record>
  <row>
    <source_ip>216.183.207.80</source_ip>
    <count>1</count>
    <policy_evaluated>
      <disposition>reject</disposition>
      <dkim>fail</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
</record>

今回の送信元は米国カンザス州のISP（Craw-Kan Telephone Cooperative）でした。以前は中国からの送信が目立っていましたが、なりすましの発信元は世界中に分散しています。

重要なのは disposition が reject になっている点です。p=none の時代はなりすましメールが素通りしていましたが、p=reject に引き上げたことで、受信側のメールサーバー（この場合はKDDI/au）がなりすましメールを 受信拒否 しています。DKIMもSPFも失敗しているため、正当なメールではなく、明らかな第三者によるなりすましです。

一方、同時期にGMOペパボ（ヘテムル）から届いたレポートでは、Google Workspace経由で送信した正規のメールが正しく配信されていることも確認できます。

<record>
  <row>
    <source_ip>209.85.217.48</source_ip>
    <count>1</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>fail</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
  <auth_results>
    <dkim>
      <domain>aqz-jp.20251104.gappssmtp.com</domain>
      <result>pass</result>
    </dkim>
    <spf>
      <domain>aqz.jp</domain>
      <result>pass</result>
    </spf>
  </auth_results>
</record>

送信元IPの 209.85.217.48 はGoogleのメールサーバーです（Google自身のDMARCレポートでも同様の結果を確認済み）。SPFが pass しているため、disposition は none（正常配信）となっています。なお、policy_evaluated のDKIMが fail になっているのは、DKIM署名のドメイン（aqz-jp.20251104.gappssmtp.com）がヘッダーFromの aqz.jp と一致せず、strict モード（adkim=s）でのアライメントチェックに失敗したためです。ただし、auth_results を見るとDKIM署名自体は pass しており、SPFアライメントでDMARCを通過しています。

つまり、DMARCは 不正なメールはブロックし、正規のメールは通す という本来の役割を正しく果たしています。段階的な強化が実際に機能し、自社ドメインを騙ったメールが受信者に届かなくなったということです。

DMARC導入時の注意点

DMARCは強力ななりすまし対策ですが、導入にあたっていくつか注意点があります。

まず、メーリングリストやメール転送を利用している場合、転送先でSPF認証が失敗することがあります。これはSPFが送信元IPアドレスを検証する仕組みのため、転送サーバーのIPが元のSPFレコードに含まれていないと認証エラーになるためです。この問題に対しては、DKIM署名が正しく設定されていれば、DKIMによるアライメントでDMARCをパスできます。

また、DMARCポリシーをいきなり p=reject に設定するのではなく、まず p=none（監視のみ）で運用し、DMARCレポートを確認しながら段階的に p=quarantine（隔離）、p=reject（拒否）と強化していくことが推奨されています。

なお、DMARCはメールの「ヘッダーFrom」のなりすましを防ぐ技術であり、フィッシングサイトへの誘導やSMSを使った詐欺（スミッシング）など、メール以外の攻撃手法には対応できません。総合的なセキュリティ対策の一環として位置づけることが重要です。

参考情報

本記事で扱ったメール認証技術は、以下の標準仕様・ガイドラインに基づいています。

• DMARC: RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance（IETF、2015年3月）
• SPF: RFC 7208 - Sender Policy Framework（IETF、2014年4月）
• 総務省: 送信ドメイン認証技術等の導入に関する法的解釈について — DMARC導入に関する法的な留意点を含む情報を公表
• 迷惑メール対策推進協議会: 送信ドメイン認証技術DMARC導入ガイドライン — 段階的なポリシー強化の手順を解説

結論

ネットでは自分の資産が思わぬ形で悪用されていることを、まざまざと思い知らされました。ドメインを持っている方は、ぜひセキュリティ対策を行って、自分の資産を守っていただきたいと思います。

AIの助けを借りることで、複雑なDMARCレポートの解析や、IPアドレスの詳細な情報の理解、そして具体的な対策の立案まで、効率的に行うことができました。ドメインセキュリティは常に進化する脅威に対応する必要があり、最新の情報と適切な対策を講じることが重要です。

自分のドメインが安全だと思い込まず、定期的なチェックと必要な設定の更新を行いましょう。それが、インターネット全体のセキュリティ向上にもつながるのです。

関連記事:

• IT業界に潜んだ反社・オウム・北朝鮮
• 情弱を実感した瞬間：情報格差が経済格差を生む構造