DMARCを「p=reject」に切り替えてなりすましを完全ブロックした話

はじめに

Google Developer Program の登録要件により、私は support@mydomain.com という独自ドメインのメールアドレスを作成しました。
ところが、アプリ公開後すぐに「なりすましメール」が大量に発生。DMARCレポートを見ることでその実態が明らかになり、
最終的に p=reject へポリシーを強化することにしました。

この記事では：

• どんななりすましがあったか
• なぜ reject に切り替えたのか
• どうやってDMARC設定を変更したか
• 今後どう変わるか（予測）

をまとめます。

📮 なりすましの状況（実例）

アプリ公開後、GoogleやMicrosoft、Mail.RuなどからDMARCレポートが届くようになりました。

毎日送られてきたレポートの内容：

• 世界中のIP（米国、欧州、アジアなど）から support@mydomain.com を偽装したメールが送信されている
• SPF / DKIM ともに失敗 → なりすましと判定
• 特に Mail.Ru からは 5日連続で毎日19件 の報告（明らかに自動スキャンの形跡）

❓ なぜ「reject」に切り替えたのか

1. quarantine では迷惑メールとして扱われるだけ

• 一部の受信者に届いてしまう可能性がある
• 誤解される可能性もゼロではない

2. メールアドレスの用途が限定的だった

• Google Developer登録専用で、通常の送受信には使っていない
• 運用上、reject にしても不都合はない

3. 攻撃が継続し、再利用IPも増えていた

• 同一IPの再出現、複数日連続での攻撃など、自動化された試行と判断
• 明確に「ブロックすべきフェーズ」に入った

🛠 DMARCの変更方法（WordPress.comドメインの場合）

1. WordPress.com にログインし「アップグレード → ドメイン」を開く
2. 使用中の独自ドメインを選択し「DNSレコードを管理」へ
3. _dmarc という TXT レコードを編集

変更前：

v=DMARC1; p=quarantine; rua=mailto:support@mydomain.com

変更後：

v=DMARC1; p=reject; rua=mailto:support@mydomain.com

✅ pct=100 や最後のセミコロン（;）は省略可能です。

🛡️ 予想される効果

• 不正ななりすましメールはすべて即時拒否（相手に届かない）
• 受信者側の迷惑メールフォルダにも入らない
• あなたのドメインの信頼性が向上
• GmailやOutlookなどでの「正規メール配信成功率」が上がる可能性あり
• 今後のレポートでは disposition: reject が記録されるようになる

✅ 最後に

SPF/DKIM/DMARC を揃えていても、「なりすましが送られること自体」は止められません。
でも、受信者に届かせない（rejectする）ことで、現実的な被害はゼロにできます。

特に、サポート専用や公開用のメールアドレスは p=reject による防御が非常に有効です。
あなたのドメインも、静かに、しかし確実に守っていきましょう。