Logo
新規登録ログイン

なりすまし判定を減らす内部運用チェックリスト

なりすまし判定を減らす内部運用チェックリスト

この記事でわかること

なりすまし(メールの送信者詐称)で受信拒否や迷惑メール判定が頻発する組織が、内部運用を点検し改善するためのチェックリストと手順を初心者向けに解説します。結論→理由→例→手順の順でまとめ、SPF/DKIM/DMARCなどの基本も簡潔に説明します。

結論(まずやるべきこと)

優先順位は次の通りです。

  1. 送信ドメインのSPF・DKIMを正しく設定し、DMARCでポリシーを導入する。
  2. 送信フローと担当者(アカウント)を整理し、公開送信元を限定する。
  3. 監視とレポート(DMARCのrua/rua受信)を有効にして改善ループを回す。

なぜ重要か(理由)

なりすまし判定の多くは、正当な送信元・署名が不揃いなことが原因です。受信側はSPF/DKIM/DMARCなどを使って送信元を検証します。これらが未整備だと正当なメールまで拒否され、業務に支障が出ます。

初心者向け:仕組みの簡単な説明

SPF(送信IPの許可リスト)

DNSのTXTに「このドメインから送るのはこのメールサーバだけ」と書く仕組み。例えると、招待状に書かれた正規スタッフの名簿です。

DKIM(メールに署名を付ける)

送信メールに電子署名を付け、DNSに公開鍵を置くことで改ざんやなりすましを検出します。例えると、封筒に企業の割印を押すイメージです。

DMARC(受信側に検査と処置を指示)

SPF/DKIMの結果に基づき「合格しないメールはどう扱うか」を送信ドメイン所有者が通知する仕組み。レポート(rua/ruf)で状況がわかります。

内部運用チェックリスト(アカウント運用)

アカウント周りの確認ポイント。簡潔に実行できる順で並べています。

  • 全送信アカウントの洗い出し:誰がどのアドレス/サービスで送信しているか一覧化する。
  • 不要アカウントの停止:退職者や使っていない共有アドレスは削除または転送のみの設定にする。
  • 管理アカウントの多要素認証(MFA)を有効化する。
  • パスワードポリシーと定期変更の運用を徹底する(可能ならシングルサインオンを導入)。
  • 外部SaaSがメール送信する場合、送信元ドメインとアカウント権限を最小化する。

送信フロー見直しチェックリスト(技術寄り)

送信経路とDNS設定に関する具体的なチェック項目。

  • 送信IPの一覧化:自社が使うすべての送信サーバ/IPをまとめる。
  • SPFの最終形を作る:DNSに適切なTXTレコードを設定(例:"v=spf1 ip4:203.0.113.0/24 include:spf.example.net -all")。
  • DKIM署名の導入:各送信システムでキー(推奨2048bit)を生成し、DNSに公開鍵を置く。
  • DMARCポリシー設定:まずは"p=none"でレポート受信→問題点を解消後に"quarantine"/"reject"へ移行。
  • 外部サービスとの連携確認:マーケツールやCRMが送信する場合は、SPF include/独自のDKIM署名設定を確認する。
  • ヘッダの整合性確認:返信先やFromヘッダが送信ドメインと矛盾していないかをチェックする。

実践手順(段階的に進める)

1. 現状把握(1日〜1週間)

  1. 送信元一覧を作成(メールログ、SIEM、SaaS管理コンソールを確認)。
  2. DMARCのレポート受信を有効化する(DNSにruaを設定)。

2. SPF整備(1日)

  1. 送信IP/サービスをSPFに反映し、一つのTXTレコードでまとめる(255文字超は連結)。
  2. テストは「~all」(softfail)で様子を見る。

3. DKIM導入(数日〜)

  1. 各送信システムでキーを作成。DNSに公開鍵を追加。
  2. 署名が付くかサンプル送信で確認。

4. DMARC運用(数週間〜)

  1. まずは"p=none"でレポートを集める。
  2. レポートから原因を解析し、SPF/DKIMを修正。
  3. 十分に問題が減ったら"p=quarantine"→"p=reject"へ段階的に厳格化。

よくあるトラブルと対処法

SPFが長すぎて無効になる

SPFはDNSルックアップの上限(10回)に注意。includeを整理し、外部サービスはSPFプロバイダで集約するか、送信専用サブドメインを使う。

DKIM署名が付かない/検証に失敗する

公開鍵のTXTレコード名(selector)や改行、DNSの伝搬を確認。メール本文を途中で改変する中間機器がないかも確認する。

DMARCレポートが大量に来る

最初は正常。内容を自動で集約するツール(無料/有料)を使って解析し、送信元ごとに対応を行う。

他の技術との関係

S/MIMEやPGPはメール本文の暗号化と署名で、送信者検証と暗号化の別次元の保護です。SPF/DKIM/DMARCとは目的が異なりますが、組み合わせるとセキュリティが向上します。

例(簡単な運用フロー)

メールマーケティングを外部SaaSで行う場合の推奨フロー:

  1. 専用送信サブドメイン(mail.example.com)を作る。
  2. SaaSにそのサブドメインのSPF include、DKIMの公開鍵を登録する。
  3. メインドメインのDMARCで、まずはレポートを収集し問題を洗い出す。

まとめ

まずは送信元の把握と基本的なDNS設定(SPF/DKIM/DMARCの順)を実施し、DMARCレポートで効果を確認しながら段階的に厳格化してください。運用面ではアカウント管理とMFAの実施が重要です。慌てず、計測→修正→再測定のサイクルを回すことが成功の鍵です。

参考(実践で使える簡易コマンド例)

DNSレコードの確認例(外部ツールでも可):

dig TXT example.com
dig TXT selector._domainkey.example.com
dig TXT _dmarc.example.com

DMARCレポート解析は、専用サービスやオープンソースツールの利用を推奨します。