自分のメールアドレスから迷惑メールがくるのは何故？原因とDMARCによる対策

メールシステムの運用や管理に携わる方であれば、

• 自分のメールアドレスから自分宛てに迷惑メールが届いた😨
• 心当たりのない送信エラー通知（NDR：Non-Delivery Report）が大量に返ってくる😳

こうした背筋が凍るような現象に遭遇した経験があるかもしれません。

自分のメールアドレスが勝手に使われているという事実は、直感的に

• 「やばい、自分のパスワードが漏洩したのではないか!?」
• 「従業員のアカウントが乗っ取られたのではないか!?」

というセキュリティ上の重大インシデントを連想させます。しかし、結論から申し上げますと、その多くはアカウントの乗っ取りではありません。

これは古くからあるメールの仕組みを悪用した「なりすまし」によるものであり、適切な認証技術を用いることで防ぐことが可能な事象です。

今回は、なぜ他人があなたのメールアドレスを使ってメールを送信できるのかという根本的な原因から、

1. その背後にある技術的な仕組み
2. 現代のメールセキュリティにおける必須の対策である「DMARC」
3. その運用を劇的に効率化する「PowerDMARC」による可視化の重要性

について、順を追って解説いたします。最後までお読みいただけると幸いです。

自分のメールアドレスから迷惑メールが届く原因とは

まず理解すべきは、メールという通信手段が抱える構造的な脆弱性です。

私たちが普段利用している電子メールのプロトコル（SMTP）は、インターネットの黎明期に設計されたものであり、性善説に基づいて作られています。

そのため、郵便の手紙と同じように、「差出人（From）」の欄に誰の名前でも自由に書くことができるという仕様上の弱点を持っています。これは自由に設定ができてしまうのです。

攻撃者があなたになりすましてメールを送る際、あなたのメールサーバーに侵入したり、アカウントのIDやパスワードを盗み出したりする必要は全くありません。

彼らは自身の管理下にあるサーバーや、乗っ取った別のサーバーから、単にヘッダー情報のFrom行に「あなたのメールアドレス」を記載して送信しているに過ぎないのです。

これが「なりすましメール」の正体です。

現実世界で例えるなら、誰かが勝手にあなたの名前と住所を差出人欄に書いたハガキを、無差別に投函している状況と同じです。

ポストに投函するだけなら、あなたの家の鍵（パスワード）は必要ありません。これこそが、乗っ取りが発生していなくても自分のアドレスからメールが届くカラクリです。

送信用ドメインの「乗っ取り」がなくても発生するメカニズム

では、なぜ受信側のサーバーは、そのような怪しいメールを通過させてしまうのでしょうか。それは、ドメインの所有者が適切な「意思表示」をしていない場合に起こります。

メールの受信側サーバーは、届いたメールが正規のルートを通ってきたものかを確認しようとします。

しかし、

1. 送信元のあなたのメール送信用ドメインでSPF（住民票）の設定が不十分
2. DKIM（印鑑証明書）による電子署名が付与されていない
3. DMARC（住民票と印鑑証明書が正しくないときの指示）のポリシーが未設定

このような状態だったりすると、受信側は「このメールがなりす出しかどうか」を明確に判断することができません。

その結果、受信側サーバーは疑わしいと思いつつもメールを受信ボックスに届けてしまったり、あるいは拒否したりといった曖昧な対応をとることになります。

ここで問題となるのが、受信を拒否された場合の挙動です。

「自分宛に届くエラーメール（NDR）」の正体

自分のアドレスから迷惑メールが来たように見える現象の多くは、実は「バックスキャッター（Backscatter）」と呼ばれる現象が関係しています。

これは、攻撃者があなたのメールアドレスを騙って架空の第三者に迷惑メールを送信し、ターゲット側のメールサーバーがそのメールを受け取り拒否した際に発生します。

ターゲット側のサーバーは、

「メールを受け取れませんでした」

という旨のエラー通知（NDR：Non-Delivery Report）を生成し、それを「送信元」として記載されているアドレス、つまり「あなた」宛てに送り返します。

あなたからすれば、送ってもいないメールに対する「宛先不明」や「配信不能」の通知が突然届くことになります。

メールの件名や本文にスパムの内容が含まれていることが多いため、一見すると自分が迷惑メールを送ったかのように見えますが、実際には

「攻撃者があなたのふりをして他人に送り、拒否された残骸」

が返送されてきているのです。

このバックスキャッターは単にうっとうしいだけでなく、あなたのメールアドレスやドメインがブラックリストに登録される原因となり、正規のビジネスメールの到達率を著しく低下させるリスクがあります。

なお、バックスキャッターのブラックリストにのると、１カ月単位でリストにのり続けることもあります。

根本的な対策は「DMARC」の導入と強化

こうしたなりすましを防ぐために、SPFやDKIMといった送信ドメイン認証技術が存在します。GoogleやMicrosoftが送信者ガイドラインで求めてきた対策です。

しかし、これらだけでは不十分なケースが多々あります。なぜなら、SPFやDKIMはあくまで「検証」を行う技術であり、認証に失敗したメールを「どう扱うべきか」という指示までは含んでいないからです。

ここで不可欠となるのが「DMARC」です。

DMARCは、SPFやDKIMの認証結果に基づき、認証に失敗した（なりすましの疑いがある）メールの取り扱いを、ドメイン所有者が受信側に指示するためのプロトコルです。

DMARCポリシーを設定することで、あなたは受信側サーバーに対して明確な指示を出すことができます。

たとえば、ポリシーを「p=none」に設定すれば、まずは状況をモニタリングできます。そして「p=quarantine（隔離：迷惑メールフォルダに入る）」段階的に厳格化します。

最終的に「p=reject（拒否：フォルダに入れない）」を設定すれば、認証に失敗したなりすましメールは受信者のメールボックスに届く前にブロックされるようになります。

「p=reject」まで運用レベルを引き上げることにより、自分のドメインを騙る迷惑メールの拡散を物理的に阻止し、結果として自分宛ての不当なNDR（バックスキャッター）の発生も防ぐことができます。

これこそが、自社ブランドを守り、メール到達率を維持するための根本的な解決策です。

DMARC運用の壁と「可視化」の重要性

DMARCが強力な解決策であることは間違いありませんが、多くの企業が導入に二の足を踏む、あるいは導入しても「p=none（監視のみ）」の状態から抜け出せない大きな理由があります。

それは、DMARCが提供するレポート（RUAレポート）の難解さです。DNSレコードに、mailtoでレポートの送信先が設定されていると思います。

DMARCレポートは通常、XML形式のファイルとして毎日大量に送られてきます。

このファイルには、どのIPアドレスからメールが送信され、認証結果がどうだったかというデータが羅列されていますが、これを人間が目視で解析するのは事実上不可能です。

生のXMLデータを見ても、それが

• 正規のメールサーバーからのものなのか
• 攻撃者によるなりすましなのか
• 設定ミスによる正規メールのエラーなのか

を即座に判別することは極めて困難だからです。無理です。

解析ができないため、誤って正規のメールを止めてしまうことを恐れ、いつまでもポリシーを「reject」に変更できない。これが、多くの組織が陥っている「DMARCのジレンマ」です。

PowerDMARCで状況を「見える化」する

この課題を解決し、DMARC運用を成功に導くために設計されたのが「PowerDMARC」です。PowerDMARCは、難解なXMLレポートを自動的に解析し、直感的に理解できるダッシュボードへと変換します。

PowerDMARCを導入することで得られる最大のメリットは、「状況の完全な可視化」です。

• 世界地図上でどの国からメールが送信されているか
• どのIPアドレスがあなたのドメインを使用しているか、

そして何より「正規の送信」と「なりすまし攻撃」の割合がひと目で把握できるようになります。

たとえば、自分が契約しているメール配信サービス（SendGridやSalesforceなど）からのメールは「正当な送信元」として認識され、一方で海外の不明なサーバーからの大量送信は「攻撃」として明確に区分けされます。

これにより、管理者は感覚や推測ではなく、具体的なデータに基づいて

• これは攻撃
• これは設定漏れ

という判断を下すことができます。

「本当に乗っ取りなのか？」をデータで切り分ける

記事の冒頭で触れた「自分のアドレスから迷惑メールが届く」という事象が発生した際も、PowerDMARCがあれば冷静な対処が可能です。

ダッシュボードを確認し、もし送信元IPが自社の管理外であり、かつSPF・DKIM認証に失敗していれば、それは明白な「なりすまし」です。

パスワードを変更する必要もなければ、社内サーバーのウイルススキャンに慌てる必要もありません。必要なのは、DMARCポリシーを厳格化してブロックすることだけです。

逆に、もし認証に成功しているメールが不審な挙動をしているのであれば、その時初めて

• 「アカウント情報の漏洩」
• 「正規サーバーの侵害」

を疑うという、的確なトラブルシューティングが可能になります。無駄な調査時間を削減し、真に必要な対策にリソースを集中できる点は、システム管理者にとって非常に大きな価値となります。

最後に

自分のメールアドレスから迷惑メールが届くという現象は、多くの場合、アカウントの乗っ取りではなく、メールプロトコルの弱点を突いた「なりすまし」に起因します。

この問題に対処し、自社のドメイン評価とブランドを守るためには、SPF・DKIMに加え、DMARCを正しく設定し、「p=reject（拒否）」の運用を目指すことが最適解です。

しかし、DMARCの運用には高度な分析が必要となり、手動での管理は現実的ではありません。

PowerDMARCのような解析ツールを活用してメール送信状況を可視化し、継続的に監視することこそが、最短ルートでなりすましを排除し、メール到達率を最大化するための鍵となります。

プリモポストは2025年12月より PowerDMARC の正規代理店としての提供を開始しました。

メールなりすまし対策やDMARC運用は、一度設定すれば終わりではなく、 送信環境の変化や新たな攻撃手法に応じて継続的な見直しが必要となります。

そのため、取扱い開始にあたり先着100事業者さまを対象に、1年間特別価格でPowerDMARCを提供しています。 これは価格訴求を目的としたものではなく、 DMARC運用の可視化と定着を支援するための導入支援施策です。

「自社ドメインが現在どのように使われているのか把握したい」 「DMARCを設定したが、次の一手に迷っている」 といった場合には、現状確認からでもご相談ください。