なりすましメールが突然止まった理由についての考察
なりすましメールはどうして止まったのか?Google Workspaceサポート相談のおかげ??
▶ はじめに
独自ドメインを使っていると、SPF・DKIM・DMARCをすべて正しく設定していても、**なりすましメール(spoofing)**が止まらないことがあります。
私自身もその状況に悩まされていました。
毎日届くDMARCレポートには、不審な送信元IPが記録され、すべてが fail / softfail / reject でした。
実害がなくても、世界中からなりすましメールとして自分のドメインが利用されているというのは、気分悪いですよね。
そんな中、Google Workspace サポートに状況を相談したところ、その数日後から不審なメールがパタリと止まりました。
サポートとのチャットは 「SPF・DKIM・DMARCの設定を確認するように」「攻撃を100%無くすことはできないが、プロテクトすれば実害はない」「そんなに神経質にならなくても大丈夫」というような内容でした。なので、特に何かをしてくれる感じではありませんでした。
▶ なぜ止まったのか?考えられる可能性
1. Googleが内部対応を実施してくれた??
サポート相談を受けて、Googleが裏側でスパムフィルタやブラックリストを調整し、該当IPの受信制限や評価調整を行った可能性があ流のでは??タイミング的に、そう思えてしまいます。
2. 攻撃者が諦めた
DMARCポリシーが reject になっているため、メールがバウンス(配信失敗)されている状態でした。
攻撃者側が**「効果がない」と判断して停止**した可能性があります。。。なぜか、突然?
3. 攻撃元IPが停止・遮断された
継続的にレポートに登場していたIPアドレスが、ホスティング停止やブラックリスト入りにより、送信不能になったことも考えられます。
同時、多発的に??
7月の不正IPをまとめて、通報しようと思っていたので、通報後だったら、これが一番考えられますが、まだ、通報していません。
▶ DMARCの限界と現実 (繰り返しになりますが。。。)
❗️DMARCが通用しない相手もいる
一部の受信サーバは、DMARCをチェックしない/レポートを返さない設定になっているため、なりすましメールを受け取ってしまうことがあります。
また、送信側が reject に設定していても、なりすましの送信元にバウンスメールが返るだけで、攻撃自体を完全に止めることはできません。
🛡️ 現在のメールセキュリティは「防御」ではなく「防衛」
- SPF/DKIM/DMARCは防御壁ではなく、監視と制御の仕組み
- 完全な遮断ではなく、検知と記録による防衛に近い
- ゆえに「100%止める」ことは難しく、継続的な監視が必要
- 一時的な平和かもしれないので、引き続き監視することが必要。
▶ まとめ
- Google Workspace サポートへの相談後、なりすましが突如として停止
- 背後でのスパム対策やIP制御が働いた可能性?
- DMARCを設定していても、“止まらないことはある”が、“諦めずに継続する価値がある”
- 引き続き監視する
Discussion