こんにちは、阿久梨絵です!
メールを受け取ったとき、差出人欄に「知ってる人の名前」が表示されていると、つい安心してしまいますよね。
でも実は、その表示名やメールアドレスは“偽装”されている可能性があるんです。
これは、“ なりすましメール ”と呼ばれる手法。
そして残念ながら、サーバー側でも完全には検知できないことがあるのです。
なぜ検知できないの?
① 表示名と送信元は“別物”
・メールには「表示名(From: 表示)」と「実際の送信元(Return-PathやEnvelope From)」があり、見た目だけを偽装することが可能。
例
・表示名 → Amazon <support@amazon.co.jp>
・実際の送信元 → malicious@fake-domain.com
② メールの仕組みが“信頼前提”でできている
・SMTP(メール送信の仕組み)は、誰でも任意の送信元を設定できる設計。
・これは、昔のインターネットが「信頼ベース」で作られていた名残。
③ SPF/DKIM/DMARCがあっても“完全ではない”
・これらは送信元ドメインの正当性を検証する仕組みだけど、
・設定されていないドメインも多い
・受信側が検証をスルーすることもある
・検証結果を“強制拒否”にしていないケースもある
サーバー側でできること・できないこと
| 検知対象 | 検知できる? | 備考 |
|---|---|---|
| SPF/DKIMの不一致 | 一部可能 | 送信元ドメインが設定していれば検証できる |
| 表示名の偽装 | 検知困難 | 表示名は自由に設定できる |
| メールヘッダの改ざん | 一部可能 | 受信サーバーが詳細にログを解析すれば検知可能 |
| なりすましの意図 | 不可能 | 技術的には“意図”を判断できない |
どうすれば安心できる?
SPF/DKIM/DMARCを送信側で正しく設定する
→ 自社ドメインが“なりすましされにくくなる”
受信側でDMARCポリシーを強めに設定する
→ なりすましメールを拒否・隔離できる
メールヘッダを確認する習慣を持つ
→ 表示名だけでなく、実際の送信元をチェック
「違和感」を感じたら開かない・クリックしない
→ 技術よりも“人の感覚”が最大の防御になることも
まとめ
「送信元が知ってる人だから安心」——その感覚は、
なりすましメール の一番の狙いどころです。
サーバー側でできることには限界があります。
だからこそ、送信側の設定・受信側の検証・人の感覚を組み合わせて、
“安心してメールを開ける環境”を整えることが大切なんです。
阿久梨絵でした!
