なりすましメール対策は「サーバ設定」で決まります
ECサイト運営において、メールは当然ながら現在も重要な顧客接点です。受注確認、発送連絡、問い合わせ対応など、メールが「確実に届き、かつ信用できる」ことは売上と信頼の両方を支える基盤と言えます。近年、その基盤を脅かしているのが自社ドメインを装ったなりすましメールです。
実際に起きたトラブルから見える現実
ある事業者で、自社名を名乗る不審なメールが取引先に届いたという連絡が入りました。送信元アドレスは確かに自社ドメインで、文面も業務に関係する内容だったため、受信者は一瞬「本物のメール」と誤認しかけたそうです。
別の事業者では、「自分自身からメールが届く」という事象が発生しました。
差出人アドレスには自社のメールアドレスが表示され、一見すると自分が自分宛に送ったメールのように見えます。
しかし実際には第三者が自社ドメインを装って送信した典型的ななりすましメールでした。
差出人が自分自身であるため警戒心を持ちにくく、添付ファイルやリンクを開いてしまうリスクが高まります。このケースでも、受信側の迷惑メール設定だけでは防ぐことができず、SPF・DKIM・DMARCが未整備だったことにより、なりすましメールが受信ボックスまで到達してしまいました。
いずれのケースでも、迷惑メール設定は行われていましたが、サーバ側の認証設定が不十分だったため、なりすましメールを技術的に止めることができませんでした。
メール受信設定とサーバ設定は役割が異なります
多くの事業者はOutlookやGmailなどのメール受信設定で迷惑メール対策を行っています。しかし、受信設定でできることは、「すでに届いたメールをどう扱うか」という受動的な後処理に限られます。
なりすましメールは、送信元アドレスやドメインが正規に見えるため、受信設定だけでは判別しきれないケースも少なくありません。
本当に重要なのは、メールが届く前の段階で正規性を判定することです。その役割を担うのが、送信側サーバで行うメール認証設定です。特に注意したいのは、なりすましメールの被害が「自社ではなく、取引先や顧客側で発覚する」点です。EC事業者自身は被害に気づかないまま、取引先のセキュリティ担当や顧客から「御社を名乗る不審なメールが届いた」と指摘されて、初めて問題が表面化するケースも少なくありません。
この段階では、すでに信用リスクが顕在化していることが多く、事後対応では説明や信頼回復に余計なコストがかかります。これは極力避けるべきですよね。そこで、問題が起きる前にサーバ側でのメール認証設定を整えておくことが重要なのです。
それが、SPF・DKIM・DMARCなのです。
SPF・DKIM・DMARCとは何をする設定なのか?
SPF(Sender Policy Framework)は、「このドメインから送信してよいサーバはどれか」をDNS上で宣言する仕組みです。メールを受信する側は、送られて来たメールのIPアドレスと、事前に登録されたDNSのSPFレコードが一致するかどうかを照合します。もし一致しなければ、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。
DKIM(DomainKeys Identified Mail)は、メールに電子署名を付与し、途中で改ざんされていないかを検証します。DKIMのメール認証の仕組みは、送信するメールのヘッダーに、メール送信元を証明するための電子署名を追加することで機能します。メールの受信サーバ側は、この電子署名が正当なものであるかを検証しメールを受信するか、拒否するか、迷惑メール扱いとするかなどを判別します。
DMARC(Domain-based Message Authentication Reporting and Conformance)はSPFとDKIMの結果を総合し、認証に失敗したメールをどうするかを受信側に明示する最終ルールのことです。DMARCは、送信側ドメインのDNSにレコードとして処理方法を登録します。設定できるのは
- none (メールを受信者にそのまま送信する)
- quarantine (メールを「迷惑メール」等の隔離フォルダに移動する)
- reject (メールは受信者に送信しない)の3つです。
おすすめの運用設定は、まずは「quarantine」で設定し、2~3週間運用してから「reject」にすれば良いと思います。状況レポートをメールで受信設定すると便利です。正規メールまで誤判定されるリスクを避けるためにも、段階的な運用が現実的です。
この3つを組み合わせることで、なりすましメールを技術的に拒否できる状態を構築することができます。これが意外と設定されていないケースが多いです。
どのサーバで設定できるのか?
現在、主要なレンタルサーバやメール基盤の多くで、SPF・DKIM・DMARCは設定可能です。エックスサーバ、Google Workspace、Microsoft 365、さくらインターネットなどが代表例です。特にエックスサーバは、中小規模のEC事業者でも扱いやすく、管理画面から比較的スムーズに設定できる点が特長です。
ECコンサルタントには、売上改善だけでなく、クライアントの事業を守るための基盤設計まで含めた支援が求められます。
メール受信設定は「最後の仕分け」、SPF・DKIM・DMARCは「入口での本人確認」です。
この違いを理解して、適切な設定を行い支援することが、EC事業者の信頼を守る重要な役割と言えるでしょう。未設定の場合は今すぐの設定をオススメします。
