なりすましメールが自分のアドレスから送られる原因と対策をやさしく解説

この記事をご覧にいただいている方は、

• 自分のメールアドレスから、自分宛てに迷惑メールが届いた
• 送った覚えがないのに、送信エラー（NDR：Non-Delivery Report）が大量に返ってくる

このような現象に遭遇していませんでしょうか。突然このような事象が発生し、何が起きているのかと原因調査をされているかと思います。

今、真っ先に疑うのは「パスワードが漏れたのではないか？」とか、「アカウントが乗っ取られたのではないか？」とか、背筋の凍る内容だと思います。

しかし、実はその多くは乗っ取りではありません。メールの仕組みを悪用した「なりすまし」によるものです。

今回は改めて、

「なぜ自分のアドレスが勝手に使われてしまうのか」

そして企業やドメイン管理者が行うべき「なりすましメール対策（SPF・DKIM・DMARC）」について、専門用語をできるだけ使わずに解説していきたいと思います。最後までお読みいただけますと幸いです。

自分のアドレスが勝手に使われる原因

対策を行う前に、まず敵を知る必要があります。なぜ、他人があなたのメールアドレスを名乗れるのでしょうか。

その原因は、電子メールの仕組み（SMTP）が、郵便の手紙と同じ「性善説」で作られていることにあります。

手紙を出すとき、封筒の裏の「差出人」欄には、誰の名前でも書くことができますよね。メールも同様に、送信元情報（Fromアドレス）を自由に設定して送信することが技術的に可能なのです。

つまり、攻撃者はあなたのアカウントにログインしているわけではなく、あなたの住所（ドメイン）を勝手に名乗って、偽の手紙をばら撒いている状態です。

これを防ぐためには、「パスワードの変更」ではなく、「このメールは本物ですよ」と証明するための技術的な対策が必要になります。

なりすましメール対策の基本：3つの「身分証明書」

Google（Gmail）やMicrosoft（Outlook）、日本ではYahoo!JAPANやdocomoなどの大手メールプロバイダは現在、「身元が確認できないメールは受け取らない」という姿勢を強めています。

そこで必須となる対策が、SPF、DKIM、DMARC という3つの技術です。

これらはすべて、自社が契約しているXSERVERやさくらインターネットなどのDNSサーバー（インターネット上の電話帳のような場所）に登録して使います。それぞれの役割を、身近な役所の書類に例えてみましょう。

1. SPF（住民票）：送信元の住所証明

SPF（Sender Policy Framework）は、「このドメインのメールは、このサーバー（IPアドレス）から送ります」と宣言する仕組みです。

これは「住民票」のようなものです。

• DNSへの登録内容：「当社のメールは、このIPアドレスから送るものだけが本物です」
• 受信側のチェック：届いたメールの送信元IPを見て、住民票（DNS）に書かれたIPと一致するか確認します。一致すれば「正規」、違えば「なりすまし」と判断します。

2. DKIM（印鑑証明）：内容の改ざん防止の署名

DKIM（DomainKeys Identified Mail）は、「メールの内容が途中で書き換えられていない」ことを証明する仕組みです。DKIMは”ディーキム”と呼びます。

これは「印鑑証明書」に例えられます。

• DNSへの登録内容：送信時に押した「電子的な実印」が本物かを確認するための「印鑑証明データ」を登録します。
• 受信側のチェック：メールに押されたスタンプ（電子署名）を検証し、本物の印鑑か、途中で封が開けられていないかを確認します。

3. DMARC（指示書）：なりすましや改ざんだった時の対応ルール

そして、最も重要な対策が DMARC（ディーマーク）です。SPFが住民票、DKIMが印鑑証明書だとすると、DMARCは「書類に不備があった（偽物だった）場合の対応マニュアル」です。

SPFやDKIMのチェックに失敗したメールをどう扱うか、送信側（あなた）が受信側に指示を出します。

• p=none：とりあえず通して、報告だけください（監視）
• p=quarantine：怪しいので迷惑メールフォルダに入れてください（隔離）
• p=reject：危険なので受け取らずに拒否してください（ブロック）

「なりすましメール 対策」のゴールは、このDMARCポリシーを最終的に「p=reject（拒否）」に設定することです。

これで、あなたのメールアドレスを勝手に使ったメールは、相手に届く前に遮断されるようになります。

Google・Microsoftによる規制強化（2025年最新動向）

「うちは中小企業だし、そこまでしなくても..。」と思われるかもしれません。しかし、現在ではそうも言っていられない状況になっています。

世界中のメールの大半を受信しているGoogleとMicrosoftは、「SPF・DKIM・DMARCが適切に設定されていないメールは、正常に届けない」という厳しいガイドラインを運用しています。

2025年11月以降、規制はさらに厳格化

特にGoogleは、2025年11月を目処に送信者ガイドラインの適用をさらに厳格化しました。要件を満たさないメールに対しては、一時的なエラーではなく、恒久的な拒否（ブロック）が発生するリスクが高まっています。

つまり、なりすまし対策をしていないと、「迷惑メールを送られる」だけでなく、「自分が送った大事なメールが届かなくなる」という事態に陥るのです。

【2025年11月施行】Googleがメールの送信者ガイドラインを遵守しない送信者への対策強化をFAQで発表

DMARC運用は「可視化」がカギ

では、すぐにDNSサーバの設定を変更すればよいかと言うと、注意が必要です。

いきなりDMARCを「p=reject（拒否）」にすると、設定ミスがあった場合に、社員からのメールや利用中のメール配信システム（メルマガ等）までブロックされてしまう恐れがあるからです。

サンキューメールなどのトランザクショナルメールも突然届かなくなる可能性があります。

正しい手順は次の通りです。

1. まずは「p=none」で設定し、状況を監視する。
2. 自社が利用している正規の送信サーバーがすべて許可されているか確認する。
3. 問題がないことを確認してから、徐々に「p=reject」へ強化する。

しかし、ここで大きな壁があります。DMARCのレポートは、人間が読むには困難なXML形式で送られてくるため、手動での分析・管理は現実的ではありません。

世界で選ばれる「PowerDMARC」で解決する

そこで必要となるのが、専門的な解析ツールです。数あるツールの中でも、現在多くの企業に選ばれているのが「PowerDMARC（パワーディーマーク）」です。

PowerDMARCが選ばれる理由は、大きく3つあります。

• 完全日本語対応：海外製ツールが多い中、ダッシュボードやレポートが日本語に対応しており、直感的に操作できます。
• 圧倒的な可視化能力：「誰が・どこから・どれくらい」なりすましているのかを、見やすいグラフで即座に把握できます。
• 導入実績と信頼性：世界中の政府機関や大手企業で採用されている、グローバルスタンダードなツールです。

PowerDMARCを活用してメール送信状況を可視化し、継続的に監視することこそが、最短ルートでなりすましを排除し、メール到達率を最大化するための鍵となります。

最後にご案内：プリモポストによる導入支援キャンペーン

株式会社プリモポストは、2025年12月よりPowerDMARCの正規代理店としての提供を開始しました。

メールなりすまし対策やDMARC運用は、一度設定すれば終わりではありません。送信環境の変化や、新たな攻撃手法に応じて、継続的な見直し（運用）が必要となります。

そのため、今回の取扱い開始にあたり、先着100事業者さまを対象に、1年間特別価格でPowerDMARCを提供するキャンペーンを実施しています。

これは単なる価格訴求を目的とした安売りではありません。日本企業における「DMARC運用の可視化と定着」を支援するための導入支援施策です。

• 「自社ドメインが現在どのように使われているのか把握したい」
• 「DMARCを設定したが、次の一手に迷っている」

といった課題をお持ちの方は、ぜひこの機会に現状確認からご相談ください。あなたの会社の「信頼」を守る第一歩をサポートします。