最近、まとめて何通も送られてくる謎メールを解析してみた。 サンプルのメッセージソースは下に張り付けました。
GPTの解析結果はつぎ。
とても良い観察です。
この2通目(noreply-dmarc-support@google.com からのもの)は、
先ほどの「dmarc25.jp」メールとはまったく性質が異なります。
✅ 結論から言うと
こちらは本物のGoogleから送信されたDMARC集計レポートメールです。
偽装スパムではありません。安全です。
ただし、開封や解析は不要で、そのまま削除して問題ありません。
🔍 技術解析(要点)
| 項目 | 値 | 評価 |
|---|---|---|
| Return-Path | <noreply-dmarc-support@google.com> | Google公式ドメイン |
| 送信サーバー | mail-qv1-f73.google.com [209.85.219.73] | 正規のGoogleメールサーバー |
| SPF | pass | Googleのサーバーが正しく認証 |
| DKIM | pass (header.d=google.com) | Google公式署名あり |
| DMARC | pass (policy=reject) | Googleのポリシーが適用済み |
| 件名/本文構成 | DMARCレポート(XML添付)形式 | DMARC集計通知として正常 |
| スパムスコア | score=-13.5(極めて低い) | SpamAssassinが「安全」と判定 |
📄 どういうメールか?
あなたのドメインを名乗るメールが世界中でどう扱われたかを、
Gmailが自動でまとめて送信してくれる「DMARC Aggregate Report(集計レポート)」です。
送信元:noreply-dmarc-support@google.com
添付ファイル名は通常:
google.com!***.***!<日付範囲>!<識別ID>.xml.gz中には XML 形式で次のようなデータが入っています:
<feedback>
<report_metadata>
<org_name>Google Inc.</org_name>
<email>noreply-dmarc-support@google.com</email>
<report_id>...</report_id>
</report_metadata>
<policy_published>
<domain>***.***</domain>
<p>none</p>
</policy_published>
...
</feedback>🚫 「dmarc25.jp」との違い
| 比較項目 | Google(今回) | dmarc25.jp(前回) |
|---|---|---|
| ドメイン | google.com | dmarc25.jp(偽装) |
| 送信元IP | 209.85.xxx(Google公式) | 59.106.xxx(GMO共用) |
| DKIM署名 | header.d=google.com | header.d=dmarc25.jp |
| SPF結果 | pass | pass(だが独自ドメイン) |
| 内容 | 正規のDMARCレポート | DMARCレポート風スパム |
| 対応 | 放置・削除OK | 受信拒否推奨 |
💡 今後のおすすめ運用
もしあなたのドメインで
DMARCを設定済みであれば、世界中の主要メールサーバー(Google、Microsoft、Yahoo!など)が
定期的にレポート(XML.gz)を送ってきます。
これらは通常:
- 安全(ただし開かなくてよい)
- 内容は認証統計(なりすまし対策用)
- 保存・放置しても問題なし
必要な場合のみ解析する
もし「自社ドメインのなりすまし状況を把握したい」場合、
以下のような無料ツールでレポートをまとめて可視化できます:
✳️ まとめ
| 種類 | ドメイン | 正体 | 対応 |
|---|---|---|---|
@google.com | Google正規サーバー | 正規DMARCレポート | 放置・削除OK |
@dmarc25.jp | 偽装(docomo風) | DMARCレポート風スパム | 受信拒否・開封禁止 |
以下は「偽DMARCレポート」と「正規レポート」の処置方法案
処置方針まとめ
| レポート種別 | 特徴 | 推奨処置 | コメント |
|---|---|---|---|
| 偽DMARCレポート | 差出人偽装、怪しい添付・リンクの可能性 | 拒否 or 破棄 | SPF/DKIM fail、差出元不明なIPが多い場合は偽と判断可 |
| 正規DMARCレポート | 正規送信サーバーから、XML形式で集計 | 破棄(中身を見ない場合) | 受信が煩雑な場合は破棄でOK |
| 正規DMARCレポート | 正規送信サーバーから | 解析(中身を見る場合) | 偽装メール検出、送信経路確認、DMARC強化判断、監査目的で利用可能 |
正規レポートを解析するケース
自ドメインの偽装・スプーフィングの有無確認
- 外部IPから SPF/DKIM fail があれば偽装メールあり
- 対応策:SPF/DKIM/DMARC強化、受信者への注意喚起
メール送信経路の確認
- 自社送信サーバーの SPF/DKIM/MX 設定が正しいか確認
DMARCポリシー強化の判断材料
p=none→p=quarantine→p=rejectの段階的運用p=rejectで偽装メールは受信者サーバーで自動的に破棄される
セキュリティ監査・リスク管理
- 偽装メールの監視、ドメイン悪用の傾向把握
運用上の具体例
- 偽DMARCレポート:メールサーバーで「SPF/DKIM fail」「差出元不明IP」の場合、自動破棄
- 正規DMARCレポート:受信は継続
- 中身を見ない場合:迷惑メール振り分けで破棄
- 中身を解析する場合:XMLを専用ツール(dmarcianなど)に取り込み、送信状況を監視
まったく別観点からの対処案
このメールは、DMARCレポートは 送信されるメール自体ではなく、受信側サーバーが作成する通知 です。よって 通常の個人宛メールのように偶然届くものではなく、ドメイン管理者宛に体系的に届くもの です。もしレポートを受け取りたくない場合は、DMARC TXTレコードから rua / ruf を削除する(rua/rufフィールドを空にする)ことで送信先をなくせます。
dmarc25 からのほぼスパム
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:
Return-Path: <docomoreport-bounceback@dmarc25.jp>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***
****.xserver.jp
X-Spam-Level:
X-Spam-Status: No, score=0.9 required=30.0 tests=DKIM_SIGNED,DKIM_VALID,
DKIM_VALID_AU,SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,X_NONJAPANESE_SUBJECT
autolearn=no autolearn_force=no version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=6901a979
a=4nyRffA/pZpJxf3jz/ccCw==:17 a=x6icFKpwvdMA:10 a=z2Y1GidkDKYA:10
a=tclcd6dtLQvEqt9_mmAA:9 a=CjuIK1q_8ugA:10 a=4Hp3Za8rNZdGw2VEeB8A:9
a=49ladYHvHUoA:10
Delivered-To: **@****.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mta01d.dmarc25.jp (mta01d.dmarc25.jp [59.106.216.209])
by ***.xserver.jp (Postfix) with ESMTPS id 457AD281968215
for <**@***.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
Authentication-Results: ****.xserver.jp;
dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=****.or.jp;
s=default; t=1761716601;
h=from:from:sender:reply-to:subject:subject:date:date:
message-id:message-id:to:to:cc:mime-version:mime-version:
content-type:content-type:content-transfer-encoding:in-reply-to:
references:dkim-signature; bh=HYzQ8SKPW/mTSd0zhR4TrhYT01Ep9m0fGtwaDt5UigYc=;
b=nzJ4bQYZ5DF3X4MEkTlUVZbwka6l8ss6H0mpAWFXXVG5hK7jJALJLMNkY9Bwe9ICdOH8jiO
fe0RawqZYSbzp4bl8MGc3QHBHuCucjiNqOPCxOC8x+u/kHvk/ZP3pOfZj8OQzjOefZStkD
2MngfNdrn1pbMGOcDk/7ShmVs185ca87soFPhoNKX1gGdgUFi89GHVjxHt2GAdNi2NxcuF
LdMFdMQWDCxJjaKDNPjGPBHe8Z0ccJ6Y69PKQZQuSBtICykOAN/sFs4bSHv3X62iPxHkL
w8PbHQNUal1lhfQqF6bmRSpZmP895I3HGrHFgt3Ah67RAEOVy+ycQSDT3HJm5w==
ARC-Authentication-Results: i=1;
***.xserver.jp;
dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Seal: i=1; s=default; d=**.or.jp; t=1761716601; a=rsa-sha256;
cv=none;
b=KHep4fsgpeT1mhiFdziq/LgRb39yMdlYqoIuK8evM2vbafKp4rVAVO2P9Ey81khMzF/Z4r
crd7YKwrIlvBUyp1XRE6nB76hDQCRbDgNOsZ1+KBNM85SN5PUMA+9qeTAJwx8wd9Sa43sQ
nv6aAssOakDL/4S2e0IsUsYb9Tur/At0oK7kaJbnQX+Yd/1wFZmkjiRfuT1YUHdrShYu8W
sOCIt15QbELfWumXp1pVbuVRBe4dXprMgan6eTe40VO7fjiI1d1pWRInuZ0WWXgWhnmhJ5
aO8L9L1Z89aGWAg13w8Txyb/BHyzZ7jTBzn9S8pgswKLm5f45xe3vy9VbNphqg==
Received: from [153.125.224.196] (unknown [172.16.0.99])
by dmarc25docomomta-01.dmarc25.jp (Postfix) with ESMTPSA id 0CB56A3808
for <***@**.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dmarc25docomomta-01.dmarc25.jp 0CB56A3808
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=dmarc25.jp;
s=mta202206r; t=1761716601;
bh=HYzQ8SKPW/mTSd0zhR4TrhYT1Ep9m0fGtwaDt5UigYc=;
h=Subject:From:Date:To:From;
b=goEzNkAQSdNEHFDF/aEqbsVYzSORdKoSo/d/3Lw52R7VhzSWm7Ahd/6vIs1jZLlG
QYmoT7MjAoWtqlIl9xTIJ2z4GI86LvS3uiF+GTbVn3aHTrcPLbP55UZHaLkoLilBxP
V6y5RnKXLBP8RPz56Ch0m0RFUxKoNn7EPRGrphRn7lJbyUXf1/Lwt0ADB2QKOjGva5
5gKAz2hLBB22lU8lOr7hhxvj5xyLr+x/R79IMNvOfnfkctau4xK7Ej4az7OQ5G0iyG
jseEZ7jhZkeEbVyFJBpitFgQ2fdY8Tc+MpM4Su2dNTLD+rGt272FQoL81es+ArG0+f
lAF0H6nv+XpHQ==
Content-Type: multipart/mixed; boundary="===============0657281041604779379=="
MIME-Version: 1.0
Subject: Report Domain: ***.or.jp
Submitter: docomo.ne.jp
Report-ID: <0579b07583e429af1ed1a5fe567b58c8>
From: "docomo.ne.jp by DMARC/25" <reporting@dmarc25.jp>
Date: Wed, 29 Oct 2025 05:43:21 -0000
To: ***@**.or.jp
TLS-Required: No
Message-ID:
<0579b07583e429af1ed1a5fe567b58c8.d074edf066b753a93afbc05bd4df0c91e7b0b70d.dcmdb-11@docomomta.dmarc25.jp>
X-Dmarc25-Report-Info: d074edf066b753a93afbc05bd4df0c91e7b0b70d
X-Dmarc25-BounceBack-Forward-To: docomoreport-bounceback@dmarc25.jp
XSRV-Filter: ***@**.or.jp
--===============0657281041604779379==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
--===============0657281041604779379==
Content-Type: application/gzip
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="docomo.ne.jp!**.or.jp!1761609600!1761695999!079b07583e429af1ed1a5fe567b58c8.xml.gz"
H4sICHmpAWkC/2RvY29tby5uZS5qcCFtaWMub3IuanAhMTc2MTYwOTYwMCExNzYxNjk1OTk5ITA1
NzliMDc1ODNlNDI5YWYxZWQxYTVmZTU2N2I1OGM4LnhtbAB8Utty4yAM/ZVO3tfY6fo2o9L9Ew8G
kbA1lwLubv++smmyyWRmnxBH0tE5Anj9a5enD4zJePdyaKr68IROemXc6eWwZv1jOLxy0IhqFvKN
Q8TgY54sZqFEFhx8PE1OWOTKS2995bD6HYBdYUArzMJLH7H+UlZEeWz3qpK7kBrF67Yf57pvh2f8
eRyFblA1otXYdv3cDnIA9q8WSABOUbgTTZnxZBxv+q7p6rGra2AFAXSqwGM7jiONpDuw21b24Cn4xcjPKazzYtIZqUGoN25BFYCUJ6UO26NrHzcrXwjIFLQe+F2QuDvq6A55ByBBQJk5s0mbwsg3efp
SomH4RGlj9vp/1CLX6PEyQSi6aqmea6Ox6Eae+q+ZkD61dEcYCW4GMIPsazkfNudScEnk+nZ7yTc
4rB71fREhO+2N0/lvrtjj7xsF2kUEp829K84nFEojJOO3t4u7BYGdtch1nyeIqZ1yakM/c/CSx1P
Xuci7Ru4aLwnY5dlsuuf/gIAAP//AwCg03oZBAMAAA==
--===============0657281041604779379==--
類似の、googleからのもの。
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <noreply-dmarc-support@google.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***.xserver.jp
X-Spam-Level:
X-Spam-Status: No, score=-13.5 required=30.0 tests=DATE_IN_PAST_06_12,
DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,ENV_AND_HDR_SPF_MATCH,
SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,USER_IN_DEF_DKIM_WL,
USER_IN_DEF_SPF_WL,X_NONJAPANESE_SUBJECT autolearn=no autolearn_force=no
version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=68f0d3d6
a=Fqz2ctiUAAAA:8 a=1XWaLZrsAAAA:8 a=x6icFKpwvdMA:10 a=3vObA125-ToA:10
a=flsTg8gXeVLoRtu52pQA:9 a=IKIoO-ieCDEA:10 a=wDOl-8IaFK0A:10
a=Yy2xoct6d_2ZlxTvqP-Z:22 a=2GJp8AGDeS-V4P2SbgYv:22
Delivered-To: **@***.com
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mail-qv1-f73.google.com (mail-qv1-f73.google.com [209.85.219.73])
by ***.xserver.jp (Postfix) with ESMTPS id F33BE2811D7AFD
for <***@***.com>; Thu, 16 Oct 2025 20:15:33 +0900 (JST)
Authentication-Results: ***.xserver.jp;
dkim=pass header.d=google.com header.s=20230601 header.b=YRAEr3n5;
spf=pass (****.xserver.jp: domain of noreply-dmarc-support@google.com designates 209.85.219.73 as permitted sender) smtp.mailfrom=noreply-dmarc-support@google.com;
dmarc=pass (policy=reject) header.from=google.com
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=**.com;
s=default; t=1760613334;
h=from:from:sender:reply-to:subject:subject:date:date:
message-id:message-id:to:to:cc:mime-version:mime-version:
content-type:content-type:
content-transfer-encoding:content-transfer-encoding:in-reply-to:
references:dkim-signature; bh=JQF0fljcxSuoRS124ENe3cCdw4WeLzoayaVg3d1sVu8=;
b=EgDtYvv5nZU2cpPezn5cfHsnBhIFJLX1csaOBAfa0LwSi3Os2Biaoxx3Mkme4kKO6qTboV
7AGSE/6wSUf/NDQSoTAyK2/2WK8d4mF628fVJ+2bfNnDvqdVoRHQKXEA+lCOEPpY+c3/Ul
bXM8diD9TT
