カテゴリー: メール

このカテゴリではメールに関連する話を扱います。
迷惑メール、スパムメール、詐欺メールなどの内容に関する話、
メールプロトコルなどの技術面の話、
活用方法、代替技術など

★ちょっと想定外なdmarcの過剰fail 2025年内に終了するので放置なのか?

DMARC設定で、過剰にfailしているのを発見しました。 ちょっとだけ想定外でした。。。 対象のメールは、ちょっと前に書いたソーラーフロンティアのメールです。


ARC-Authentication-Results: i=1;
	***.xserver.jp;
	dkim=pass header.d=hke.dkim.mpse.jp header.s=mpse.201103 header.b=Stua66Jg;
	spf=pass (***.xserver.jp: domain of z-hke-xhp3nn-0-de-005miuramic.or.jp@bma.mpse.jp designates 106.185.96.14 as permitted sender) smtp.mailfrom=z-hke-xhp3nn-0-de-005miuramic.or.jp@bma.mpse.jp;
	dmarc=fail reason="SPF not aligned (strict), DKIM not aligned (strict)" header.from=solar-frontier.com (policy=none)

ちょっと対策が必要そうです。

関連記事

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

https://www.nri-secure.co.jp/blog/dmarc-report

詐欺メール 、新たなストーリーベース詐欺の前振り? 2005年ころからおなじみのストーリー調スパムの最新版か spam-mail

この記事は、スパムアサシンやメーラーでのスパム判定をすり抜けた怪しいメールを取り扱います。その内容の判定や設定方法の改善策について取り扱います。

このメールはdmarcポリシーのチェックを”pass”しています。 このパターンはドメイン自体を自動的にbanする(ブラックリスト登録する)のが良いかもしれませんが、様子見です。 スパマーによるハニーポット探索が目的なのかもしれません。   

★対象のメールのコピー

Apple Store 20,000円ギフトカードを今すぐ受け取る

Apple Store 5,000円 gift card 贈呈中 @media only screen and (max-width:600px){ .container{width:100% !important;} .btn{display:block !important; width:100% !important;} } 【Apple Store】20,000円 gift card 贈呈中 特定アカウント限定/24時間以内に受け取り 

いつもAppleをご利用いただきありがとうございます。現在、特定のアカウントを対象に20,000円分のApple gift cardを贈呈しております。 

本gift cardは24時間以内に 受け取り いただいた場合のみ有効です。期限内に受け取りが完了しない場合、権利は自動的に失効いたします。 

20,000円を受け取る ▼ 
 
ご利用条件対象:本メールを受信した特定アカウントに限ります。 受け取り期限:本メール受信から24時間以内。 利用範囲:Apple Storeおよびオンラインストア内の特定商品に限りご利用いただけます。 他の割引・クーポンとの併用はできない場合があります。 
本メールは送信専用です。ご返信いただいても対応いたしかねます。
誤送信と思われる場合は、このメールの破棄をお願いいたします。 
© 2025 Apple. All rights reserved.

対策を検討中

spam22
spam
過去(2024年以前)実施の迷惑メール対策方法、設定
スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?
最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更
スパム対策設定の成果
スパム対策設定その後
スパムメール対策 、おや多いと思ったら設定し漏れ…

スパムアサシンの設定と、メーラーでの設定については、要望があれば記事を用意いたしま。コメントとをお願いします。

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

この記事は、スパムメールや詐欺メールに関する情報を扱います。過去に何度かスパム対策を行ってきましたが、徐々に増えてきているので対策を見直しました。Eメールはいろいろなセキュリティレベルの相手と通信する仕掛けなので完璧な対策はないと言ってもよいかもしれません。 そうはいっても明らかにスパムと判断できるものも保留してスパムかどうかを判断していくのは面倒である。 明確にスパムと判断できるものは受け取らないようにしたのでよいだろう。 というのも、最近、送信元が自分であるスパムメールが増えていた。明らかに自分が送信していないのでスパムであることは明白なので、なぜこのような送り方をするのか疑問だが、チェックルールをかいくぐる手として使っているのだろう。

このようなメールは完全に受け入れなければよい。 これを実現するのがDMARCである。DMARCは、「自分のドメインを使ったなりすましメールを見つけ、受信側で拒否・隔離できるようにする」仕組みである。そこで、DMARCポリシーを「メールを配送しない」に設定した。

この設定により、最近増えていた下のような送信元が”自分”だと詐称されたメールを撲滅できた。 素晴らしい!   激減とはいうものの、 スパムメールの全体の一部であることには変わりない。引き続きスパムとの闘いは続く。

DMARC 設定で拒否できるようになったスパムメール例(サンプル)

★対象のメールのコピー

[SPAM] 新作登場!今だけの特別オファーをご覧ください


[SPAM] 【期間限定セール】LOUIS VUITTON 人気商品が最大70%OFF!  ***


 本日新商品アップしました、全商品80% OFF,送料無料,代引きで支払う,代金引換。
是非、宜しくお願い致します。

[ONLY 1]LOUIS VUITTON モンスリ PM Ref:M45410 <https://superfluity.qpon/357>

[ONLY 1]LOUIS VUITTON モンスリ PM Ref:M45410 <https://superfluity.qpon/357>
17,000 JPY 359,700 JPY

	
【Louis Vuitton】クロスボディ ショルダー バックパック M82769 <https:// 
superfluity.qpon/358>

【Louis Vuitton】クロスボディ ショルダー バックパック M82769 <https:// 
superfluity.qpon/358>
30,000 JPY 178,000 JPY

	
Louis Vuitton ルイヴィトン ボディバッグ ウェストバッグ 長財布 2点セット お得 
<https://superfluity.qpon/359>

Louis Vuitton ルイヴィトン ボディバッグ ウェストバッグ 長財布 2点セット お得 
<https://superfluity.qpon/359>
30,000 JPY 168,000 JPY

【存在感抜群☆国内発】LV ディスカバリー・バックパック PM M46802 <https:// 
superfluity.qpon/360>

【存在感抜群☆国内発】LV ディスカバリー・バックパック PM M46802 <https:// 
superfluity.qpon/360>
24,000 JPY 168,000 JPY

	
【ルイヴィトン】NEW!シャドーブラック☆スリムバッグDANUBE <https:// 
superfluity.qpon/361>

【ルイヴィトン】NEW!シャドーブラック☆スリムバッグDANUBE <https:// 
superfluity.qpon/361>
23,000 JPY
*dmarcで破棄できた例



【信用金庫】ポイント加算の確認をお願い申し上げます


お客様へ

平素より全国信用金庫協会をご利用いただき、誠にありがとうございます。


    ■ ポイント加算のお知らせ

2025年10月1日〜2025年10月31日までのご利用分について、下記内容で全国信用金庫協会 
ポイントが加算されましたのでお知らせ申し上げます。

*■ 加算内容*

  * *対象期間:*2025年10月1日〜2025年10月31日
  * *加算ポイント数:*5130ポイント(5130円相当)
  * *加算日:*2025年11月18日
  * *加算対象取引:*給与の受け取り、公共料金の自動引落し、キャッシュレス決済の利用 


    ■ 受取期限について

加算されたポイントの受取期限は **2025年11月17日** までです。期限を過ぎると、ポイ 
ントは失効いたしますので、**お早めにご確認いただき、手続きをお願いいたします**。


    ■ ポイント受け取り手続き

下記リンクより、ポイント受け取り手続きを速やかに行っていただけます。

▶ ポイントを受け取る <https://yagwg.com/shinkin/s/selectState>

--------------------------------------------------------------------------------

*【ご注意】*
インターネットバンキングは毎週日曜日23:56〜月曜日6:00にメンテナンスが行われま 
す。この時間帯はサービスをご利用いただけませんので、予めご了承くださいますようお 
願い申し上げます。

--------------------------------------------------------------------------------

【お問い合わせ】
全国信用金庫協会 カスタマーサポート
電話:0120-579-835(携帯・IP電話:03-6387-3213)
受付時間:平日 9:00〜16:00

全国信用金庫協会株式会社
〒103-0028 東京都中央区八重洲1丁目3番7号
© 全国信用金庫協会 All Rights Reserved.

==============================================
■判定結果

ARC-Authentication-Results: i=1;
	***.xserver.jp;
	dkim=fail ("body hash did not verify") header.d=mail20.funcwei.com header.s=mail20 header.b="T2j/oEP0";
	spf=pass (sv8645.xserver.jp: domain of info@mail20.funcwei.com designates 35.185.141.217 as permitted sender) smtp.mailfrom=info@mail20.funcwei.com;
	dmarc=fail reason="SPF not aligned (relaxed)" header.from=hama-sushi.co.jp (policy=none)

■最初の数件 Spamフィルタに引っ掛からなかったものもdmarchafail
	dmarc=fail reason="No valid SPF, No valid DKIM" header.from=uccard.co.jp (policy=none)


4:19---------------------v対象メール
【重要なお知らせ】UCカードご利用確認のお願い

最近行われましたプライバシ-ボリシ-の改定に伴いまして、こ確認のお手続きは、一回限りで、数分で終了致します。
お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます。
この確認は義務付けられており、確認していただけない埸合は、アカウントが停止される場合もあります。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご利用確認はこちら
※この確認は義務付けられており、確認してい ただけない埸合は、アカウントが停止される場合もあります。つきましては、以下ヘアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。
=======================
アットユーネット利用規約
第1条(利用規約)
1.本規約は、ユーシーカード株式会社(以下「UC社」と称します。)またはUC社と業務提携するカード会社(以下これらをあわせて「当社」と称します。)にユーシーカードホームページ上で提供するインターネットサービス「アットユーネット」(以下「本サービス」と称します。)のユーザー登録申請を行い、当社が承認した方(以下「アットユーネット会員」と称します。)に適用されます。
2.アットユーネット会員は、本規約のほか、第2条第1項に定めるカードの「会員規約」及び本サービスにおける各「サービス規約」、「ご案内」、「ご利用上の注意」その他の注記事項(以下「本規約等」と称します。)を遵守するものとします。
https://atunet.uccard.co.jp/UCPc/pages/images/person/PC/terms/index.html
第2条(ユーザ登録)
1.本サービスのユーザ登録を申請できる方は、当社が発行するUCブランドのクレジットカードのうち当社が認めたクレジットカード個人会員及びコーポレートカードのカード使用者とします。(以下これらのクレジットカードを総称して、「カード」とします。)
2.ユーザ登録を希望する方(以下「申込者」と称します。)は、当社所定の方法により申請するものとします。
https://www2.uccard.co.jp/cs/services/#entertainment
3.当社は、申込者のうちユーザ登録を承認した方に対し、アットユーネット会員を特定する番号(以下「ID」と称します。)を付与し、登録されたEメールアドレスに通知します。
https://www2.uccard.co.jp/cs/card/lineup/mileageplus.html
4.UC社と業務提携するカード会社の申込者は、申込者の所属するカード会社(以下「所属カード会社」と称します。)がUC社にユーザ登録に関する受付のほか、本サービスに関する事務等について、業務委託することに同意するものとします。
https://www2.uccard.co.jp/cs/privacy/member.html
第3条(登録の拒絶及び承認の取消)
当社は、申込者が以下の何れかの項目に該当する場合、当該申込者の本サービスの利用を拒絶し、あるいは、承認後であってもその取り消しができるものとします。
1.ユーザ登録をした方が、カードの会員資格又はコーポレートカードのカード使用者資格を有していない場合
2.ユーザ登録をした時点で、カードご利用状況、お支払状況等が不適当な場合
3.ユーザ登録の際の申告事項に、虚偽の記載、誤記、又は記入漏れがあった場合
4.当社に予め登録されている情報について改めて確認が必要な場合
5.カード不正使用による被害発生時や、申込者が当社に届け出た氏名、勤務先、住所、お支払口座等に変更があり、直ちに当社所定の届出用紙により手続きを行わなかった場合など正確な本サービスの提供が困難と予測される場合
6.その他、会員規約違反などがあり、当社がアットユーネット会員として不適当と判断した場合
https://www2.uccard.co.jp/maintenance/index.html
第4条(再登録)
アットユーネット会員は、次のいずれかに該当する場合、当社所定の届出を行うものとします。
なお、届出がないことによりアットユーネット会員ならびに第三者に不利益や損害が発生した場合には当社はその責任を負わないものとします。
(1)カード番号切替等申請した登録内容に変更があった場合
(2)自己のID及びパスワードが第三者に無断使用されている、又はそのおそれがあることが判明した場合
https://www2.uccard.co.jp/uc/uccard/corporatecard/
第5条(本人認証)
1.当社は、入力されたID及びパスワードの一致を確認することによって、アットユーネット会員による本サービスの利用とみなします。なお、当社は、本サービスの提供において、本人認証のためにその他の手続きを求める場合があります。
2.アットユーネット会員は、本人認証手続きに対応したオンライン加盟店においては、パスワードまたは当社が発行するワンタイムパスワードを入力する方法により、ショッピングサービスを利用できるものとします。
https://www2.uccard.co.jp/uc/services/seikyu/
業務委託先 株式会社クレディセゾン
Copyright © UC CARD CO., LTD. All Rights Reserved.

関連記事

https://www.nri-secure.co.jp/blog/dmarc-report

https://mic.or.jp/info/2025/11/16/mail-2

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?
どう見ても詐欺メール、どう自動破棄処理するのが良い? spam
★ちょっと想定外なdmarcの過剰fail 2025年内に終了するので放置なのか?
最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更
難解になってきた、スパム(詐欺)メールの読み解き。
過去(2024年以前)実施の迷惑メール対策方法、設定
最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更
スパム対策設定の成果
スパム対策設定その後
スパムメール対策 、おや多いと思ったら設定し漏れ…

スパムアサシンの設定と、メーラーでの設定については、要望があれば記事を用意いたします。コメントとをお願いします。

ソーラーフロンティア ホームエネルギーモニタリングサービス終了!? 2025年12月solar発電データ監視がストップ?の代替で継続を検討

次のようにフロンティアモニターのシステム終了のアナウンスがきています。
hsBoxを使って代替機能を実装していきましょう。

**** 様

日頃より【フロンティアモニター】ホームエネルギーモニタリングサービスをご利用いただき、誠にありがとうございます。

【システム終了のお知らせ】
2025年12月22日(月)をもって本計測装置のサービスを終了いたします。
なお、システムの都合により、一部サービス終了のタイミングについては前後する可能性がございますので、ご承知おきください。
詳しくはお客様ご利用サイトのお知らせ欄をご覧ください。

本メール発信は、メールシステムメンテナンスにより、1日遅延する場合があります。メンテナンスの日程は、お客様ログイン画面の「お知らせ」欄に随時記載いたします。
メンテナンス時はご不便をおかけしますが、何卒ご承知おきくださいますようお願いいたします。

下記の通り、2025年11月07日の発電量をお知らせいたします。

発電量:37.44kWh


今後ともフロンティアモニターをよろしくお願いいたします。
★なお、お心当たりのない方は、お手数ではございますが、下記メールアドレスまでご連絡頂きますようお願いいたします。
★このメールは送信専用メールアドレスから配信しています。このまま返信いただいてもお答えできませんのでご了承ください。
-----------------------------------------------
ソーラーフロンティア株式会社
【フロンティアモニター】お客様サービスセンター
電話:0570-053115(受付時間:9:00-17:00)※日曜、祝祭日、メーデー、年末年始を除く
メール:information@solar-frontier.com
-----------------------------------------------

順次、実装を進めていきます。 参考してみてください。 コメントなどあればお願いします。

まずは、次の情報を集めます

●パワーコンディショナー(メーカーと型番)
●フロンティアモニターの接続方式

関連記事
太陽光発電の軌跡:個人導入のリアル ~運用実績から見る2025年Solarの投資回収と総所有コスト~

最近怪しい郵便物が多い。 正式であるなら、正式と判定されるように公式な発信をしてほしい。

Grok4とGPT4に判定してもらいました。 結果は下の通り

GPT4: 確認できない → 判定不能
Grok4: 詐欺の疑いが強いと考えられます。

プロンプトは次

公益財団法人日本財団   口座記号番号 00150-5-293429 は 詐欺じゃないでしょうか?

Grok4の回答

ユーザーのご懸念、よくわかります。公益財団法人日本財団は実在の信頼できる組織ですが、寄付を装った詐欺が社会的に問題になっています。指定された口座記号番号「00150-5-293429」について、公式情報を基に検証した結果をお伝えします。

検証結果

  • この口座番号は日本財団の公式寄付口座として確認できませんでした。日本財団の公式ウェブサイト(nippon-foundation.or.jp)では、銀行振込やゆうちょ銀行振込の口座情報は寄付申し込み後にメール(kifu@ps.nippon-foundation.or.jp)で個別に案内される形式を取っており、公開された一覧に「00150-5-293429」は記載されていません。 また、ゆうちょ銀行対応は一部の基金(特定のプロジェクト)のみで、過去の公開例(例: 2019年の台風19号緊急支援)では異なる口座番号「00160-0-00266041」が使用されています。
  • ウェブ検索やX(旧Twitter)での調査でも、この具体的な口座番号を日本財団の公式寄付として言及した信頼できる情報は見つかりませんでした。一方、X上では日本財団の寄付活動自体を「詐欺的」と疑う投稿が散見されますが、これらは主に休眠口座の活用や政治的陰謀論に関するもので、この口座番号に直接結びつくものはありません。

詐欺の可能性

  • 詐欺の疑いが強いと考えられます。寄付を募る詐欺では、信頼できる団体の名前を騙り、偽の口座情報を提供するケースが急増しています。日本財団の名前を使った類似事例も報告されており、急な寄付依頼や不明瞭な口座情報は要注意です。 特にゆうちょ銀行の口座記号番号形式(例: 001XX-X-XXXXXX)は偽造しやすく、詐欺師が悪用しやすい点に注意してください。

正しい寄付方法のすすめ

日本財団への寄付は、以下の公式ルートをおすすめします。絶対に不明な口座に振り込まないでください。

  • 公式ウェブサイト: https://www.nippon-foundation.or.jp/donation でオンライン寄付や申し込み。クレジットカード、コンビニ払い、口座振替などが可能です。
  • 銀行振込の場合: 寄付申し込み後、公式メールで案内される口座を使用。
  • お問い合わせ: 寄付総合窓口(電話: 0120-533-236、平日9:00~17:00)またはメール(kifu@ps.nippon-foundation.or.jp)で直接確認を。 疑わしい情報があれば、すぐに相談してください。

もしこの口座情報をどこで入手したか(メール、SNSなど)詳細を教えていただければ、さらに深掘りして調べられます。安全第一でご判断ください!

GPT4の回答

私の調査では、公益財団法人日本財団が 口座記号番号「00150-5-293429」 を公式に案内しているという信頼できる情報は確認できませんでした。

一般的な安全確認のポイントとしては:

  • 灯籠口座(ゆうちょ銀行の「記号-番号」形式)を使った寄付の場合、その事務所/団体の公式ウェブサイトや公的な案内冊子に「ゆうちょ銀行記号番号:00150-5-293429」などと明記されているか確認する。
  • 団体の公式ウェブサイトで「この口座は正規です」と明記されているか。
  • 寄付を求める連絡が、公式のメールアドレス・電話番号からかどうか。 突然SNSや電話で「至急寄付を」と連絡が来た場合は注意が必要。
  • 団体に直接問い合わせて「この口座に振込しても良いか」確認する。

もしご希望であれば、日本財団の公式の寄付口座を探して、一緒に照合するお手伝いもできますが、どうしますか?

どう見ても詐欺メール、どう自動破棄処理するのが良い? spam

スパムフィルタを使っていると正当なメールをスパムメールと、誤判定してしまうケースがあるが、これらのメールは自動処理してしまってもよいだろう。グレーケースとあきらかな詐欺メールは分類して処理するのが良いかもしれない。

以下、明らかな、詐欺メールのサンプル

組織犯罪対策部:あなたはマネーロンダリングの疑いがあります。保釈金として150万を下記の口座にお振り込みください。捜査終了後、保釈金は返金されます。2025年10月31日までに送金しない場合は資産は凍結され、あなたは逮捕されます。

三菱UFJ銀行 (金融機関コード0005)
恵比寿支店(支店コード136)
普通 2041699
名義  TS 合同会社
  ティーエスゴウドウガイシャ

〒100-8974 東京都千代田区霞が関2丁目1番2号
電話番号 03-3581-0141(代表)


X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <iwashita_manami@e-nepia.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on **.xserver.jp
X-Spam-Flag: YES
X-Spam-Level: **************************************************
X-Spam-Status: Yes, score=52.2 required=30.0 tests=CMCL_1,FSL_HELO_NON_FQDN_1,
	HELO_NO_DOMAIN,RDNS_NONE,SPF_SOFTFAIL,TVD_SPACE_RATIO_MINFP autolearn=no
	autolearn_force=no version=3.4.0
X-Spam-Report: 
	*  0.0 FSL_HELO_NON_FQDN_1 No description available.
	*  1.0 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)
	*   50 CMCL_1 Cloudmark Authority detected spam
	*  1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
	*  0.0 HELO_NO_DOMAIN Relay reports its domain incorrectly
	*  0.0 TVD_SPACE_RATIO_MINFP Space ratio (vertical text obfuscation?)
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=69025ac7
	p=feqnlMpVuKP_xuHrwg4A:9 a=0FI5FzLfUpbmheKzllYW6Q==:17 a=IkcTkHD0fZMA:10
	a=x6icFKpwvdMA:10 a=5KLPUuaC_9wA:10 a=M51BFTxLslgA:10 a=QEXdDO2ut3YA:10
	a=Mfv3uX3kbRkA:10
Delivered-To: ***@***.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from qjbgdilxanftbstfbmypojfne (unknown [116.208.97.48])
	by ***.xserver.jp (Postfix) with ESMTPS id 08D85280D824FF
	for <**@**.or.jp>; Thu, 30 Oct 2025 03:19:47 +0900 (JST)
Authentication-Results: ****.xserver.jp;
	dkim=none;
	spf=softfail (****.xserver.jp: 116.208.97.48 is neither permitted nor denied by domain of iwashita_manami@e-nepia.com) smtp.mailfrom=iwashita_manami@e-nepia.com;
	dmarc=fail reason="No valid SPF, No valid DKIM" header.from=e-nepia.com (policy=none)
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=***.or.jp;
	s=default; t=1761761990;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding:in-reply-to:
	 references; bh=nTl06k+7cmfY6AQy1kTdVmH5deI5cl/IWBO0FE/8tIQ=;
	b=Pi5TvKEgEfIRkjKLRatfN1kP2V2M9Ms3PoWWJR1c7us+sedef+I2DW7chT6mpT1j70MyCf
	2o0rm8LslrqWEiIh4SPYRxnGRmQGCBroCZGDrfcuKFVD/NgzY4VfP3tanz8+b51aqliKZj
	k9pIZTAabz38tBmH3epRH3FeBIWSwCBZf0bZT5bobJTvbDOCJvQmoz/6xLn6udxZslvssz
	ox3rVC6lm1Bqd866eLHO2xjvJlcMpO1xbPjljbfODOYD/hk05PW77VMd6XdvzMonlIoAtG
	moZuB7iFmlAkYUUs8aRSkMGZFU7dLwXQQlEzO0vtY0hWJIG4DaxAe1ghSYnX7Q==
ARC-Authentication-Results: i=1;
	****.xserver.jp;
	dkim=none;
	spf=softfail (***.xserver.jp: 116.208.97.48 is neither permitted nor denied by domain of iwashita_manami@e-nepia.com) smtp.mailfrom=iwashita_manami@e-nepia.com;
	dmarc=fail reason="No valid SPF, No valid DKIM" header.from=e-nepia.com (policy=none)
ARC-Seal: i=1; s=default; d=***.or.jp; t=1761761990; a=rsa-sha256;
	cv=none;
	b=kalrckxcno2eldITQxlaTxFC6yejHUAK+XC67U4VQbiG3lW4PVTcwhFm8z8s2FCeY62OQl
	kYLJ5PTfGn2Z4fSQ+e3qbffTS0kQeC/SeaodSy2Ux29l3VALyDV/hLDtyPbZTtP5eDihGU
	sYAUuKppEhdOc2W9EeinimPhS9h/OVclQlPSHB9VQo8jzwbzwuMSU5KfoyA1uO0wrq2SYM
	a6Zu2XwgsBjozu9qbVknRsYNBpl5hPykoPBG+SxPAUZ3levk6JBHHeDRhgmxQDPTC5P+Pk
	+0yoBkcZ3uu02XGhAEHu4NSUu3Jokw5X922s7f0ufukr+18u16go8BgQSdVsEg==
Message-ID: <lrrhz5s26p.s54pk7.5710.8frl-545754632@qjbgdilxanftbstfbmypojfne>
From: =?utf-8?B?6K2m5a+f5Y6F?= <iwashita_manami@e-nepia.com>
To: =?utf-8?B?U2FtIEVsaXNhYmV0?= <***@**.or.jp>
Subject: [SPAM] =?utf-8?B?6YeN6KaB44Gq44GK55+l44KJ44Gb?=
Date: Wed, 29 Oct 2025 19:19:42 +0100
X-Priority: 3
X-Mailer: LTPGGSAOIBADJ WTSQNJGDOCNBQPA 880.24276.55564
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: base64
XSRV-Filter: ***@**.or.jp
X-Spam-Prev-Subject: =?utf-8?B?6YeN6KaB44Gq44GK55+l44KJ44Gb?=
XSRV-Filter: .Junk
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  
  マイナポイント再手続きのご案内
  


  
    
*** 様


    マイナポイント第2弾の登録情報に不備があったため、ポイント付与が行えませんでした。
以下より内容を確認し、再手続きをお願いいたします。


    期限:2025年11月01日(土)


    
      手続きに進む
    


    総務省

関連記事

難解になってきた、スパム(詐欺)メールの読み解き。
スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更

最近、まとめて何通も送られてくる謎メールを解析してみた。 サンプルのメッセージソースは下に張り付けました。

GPTの解析結果はつぎ。

とても良い観察です。
この2通目(noreply-dmarc-support@google.com からのもの)は、
先ほどの「dmarc25.jp」メールとはまったく性質が異なります

✅ 結論から言うと

こちらは本物のGoogleから送信されたDMARC集計レポートメールです。
偽装スパムではありません。安全です。
ただし、開封や解析は不要で、そのまま削除して問題ありません。

🔍 技術解析(要点)

項目評価
Return-Path<noreply-dmarc-support@google.com>Google公式ドメイン
送信サーバーmail-qv1-f73.google.com [209.85.219.73]正規のGoogleメールサーバー
SPFpassGoogleのサーバーが正しく認証
DKIMpass (header.d=google.com)Google公式署名あり
DMARCpass (policy=reject)Googleのポリシーが適用済み
件名/本文構成DMARCレポート(XML添付)形式DMARC集計通知として正常
スパムスコアscore=-13.5(極めて低い)SpamAssassinが「安全」と判定

📄 どういうメールか?

あなたのドメインを名乗るメールが世界中でどう扱われたかを、
Gmailが自動でまとめて送信してくれる「DMARC Aggregate Report(集計レポート)」です。

送信元:
noreply-dmarc-support@google.com

添付ファイル名は通常:

google.com!***.***!<日付範囲>!<識別ID>.xml.gz

中には XML 形式で次のようなデータが入っています:

<feedback>
  <report_metadata>
    <org_name>Google Inc.</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <report_id>...</report_id>
  </report_metadata>
  <policy_published>
    <domain>***.***</domain>
    <p>none</p>
  </policy_published>
  ...
</feedback>

🚫 「dmarc25.jp」との違い

比較項目Google(今回)dmarc25.jp(前回)
ドメインgoogle.comdmarc25.jp(偽装)
送信元IP209.85.xxx(Google公式)59.106.xxx(GMO共用)
DKIM署名header.d=google.comheader.d=dmarc25.jp
SPF結果passpass(だが独自ドメイン)
内容正規のDMARCレポートDMARCレポート風スパム
対応放置・削除OK受信拒否推奨

💡 今後のおすすめ運用

もしあなたのドメインで
DMARCを設定済みであれば、世界中の主要メールサーバー(Google、Microsoft、Yahoo!など)が
定期的にレポート(XML.gz)を送ってきます。

これらは通常:

  • 安全(ただし開かなくてよい)
  • 内容は認証統計(なりすまし対策用)
  • 保存・放置しても問題なし

必要な場合のみ解析する

もし「自社ドメインのなりすまし状況を把握したい」場合、
以下のような無料ツールでレポートをまとめて可視化できます:

✳️ まとめ

種類ドメイン正体対応
@google.comGoogle正規サーバー正規DMARCレポート放置・削除OK
@dmarc25.jp偽装(docomo風)DMARCレポート風スパム受信拒否・開封禁止

以下は「偽DMARCレポート」と「正規レポート」の処置方法案

処置方針まとめ

レポート種別特徴推奨処置コメント
偽DMARCレポート差出人偽装、怪しい添付・リンクの可能性拒否 or 破棄SPF/DKIM fail、差出元不明なIPが多い場合は偽と判断可
正規DMARCレポート正規送信サーバーから、XML形式で集計破棄(中身を見ない場合)受信が煩雑な場合は破棄でOK
正規DMARCレポート正規送信サーバーから解析(中身を見る場合)偽装メール検出、送信経路確認、DMARC強化判断、監査目的で利用可能

正規レポートを解析するケース

自ドメインの偽装・スプーフィングの有無確認
  • 外部IPから SPF/DKIM fail があれば偽装メールあり
  • 対応策:SPF/DKIM/DMARC強化、受信者への注意喚起
メール送信経路の確認
  • 自社送信サーバーの SPF/DKIM/MX 設定が正しいか確認
DMARCポリシー強化の判断材料
  • p=nonep=quarantinep=reject の段階的運用
  • p=reject で偽装メールは受信者サーバーで自動的に破棄される
セキュリティ監査・リスク管理
  • 偽装メールの監視、ドメイン悪用の傾向把握

運用上の具体例

  • 偽DMARCレポート:メールサーバーで「SPF/DKIM fail」「差出元不明IP」の場合、自動破棄
  • 正規DMARCレポート:受信は継続
  • 中身を見ない場合:迷惑メール振り分けで破棄
  • 中身を解析する場合:XMLを専用ツール(dmarcianなど)に取り込み、送信状況を監視

まったく別観点からの対処案

このメールは、DMARCレポートは 送信されるメール自体ではなく、受信側サーバーが作成する通知 です。よって 通常の個人宛メールのように偶然届くものではなく、ドメイン管理者宛に体系的に届くもの です。もしレポートを受け取りたくない場合は、DMARC TXTレコードから rua / ruf を削除する(rua/rufフィールドを空にする)ことで送信先をなくせます。

当ドメインでは、 ”DMARCポリシー設定は不正「メールを配送しない」”、 ”通知を停止”、に設定変更しました。 まずはこれで、検証してみます。

dmarc25 からのほぼスパム

X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <docomoreport-bounceback@dmarc25.jp>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***
****.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=0.9 required=30.0 tests=DKIM_SIGNED,DKIM_VALID,
	DKIM_VALID_AU,SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,X_NONJAPANESE_SUBJECT
	autolearn=no autolearn_force=no version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=6901a979
	a=4nyRffA/pZpJxf3jz/ccCw==:17 a=x6icFKpwvdMA:10 a=z2Y1GidkDKYA:10
	a=tclcd6dtLQvEqt9_mmAA:9 a=CjuIK1q_8ugA:10 a=4Hp3Za8rNZdGw2VEeB8A:9
	a=49ladYHvHUoA:10
Delivered-To: **@****.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mta01d.dmarc25.jp (mta01d.dmarc25.jp [59.106.216.209])
	by ***.xserver.jp (Postfix) with ESMTPS id 457AD281968215
	for <**@***.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
Authentication-Results: ****.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=****.or.jp;
	s=default; t=1761716601;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=HYzQ8SKPW/mTSd0zhR4TrhYT01Ep9m0fGtwaDt5UigYc=;
	b=nzJ4bQYZ5DF3X4MEkTlUVZbwka6l8ss6H0mpAWFXXVG5hK7jJALJLMNkY9Bwe9ICdOH8jiO
	fe0RawqZYSbzp4bl8MGc3QHBHuCucjiNqOPCxOC8x+u/kHvk/ZP3pOfZj8OQzjOefZStkD
	2MngfNdrn1pbMGOcDk/7ShmVs185ca87soFPhoNKX1gGdgUFi89GHVjxHt2GAdNi2NxcuF
	LdMFdMQWDCxJjaKDNPjGPBHe8Z0ccJ6Y69PKQZQuSBtICykOAN/sFs4bSHv3X62iPxHkL
	w8PbHQNUal1lhfQqF6bmRSpZmP895I3HGrHFgt3Ah67RAEOVy+ycQSDT3HJm5w==
ARC-Authentication-Results: i=1;
	***.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Seal: i=1; s=default; d=**.or.jp; t=1761716601; a=rsa-sha256;
	cv=none;
	b=KHep4fsgpeT1mhiFdziq/LgRb39yMdlYqoIuK8evM2vbafKp4rVAVO2P9Ey81khMzF/Z4r
	crd7YKwrIlvBUyp1XRE6nB76hDQCRbDgNOsZ1+KBNM85SN5PUMA+9qeTAJwx8wd9Sa43sQ
	nv6aAssOakDL/4S2e0IsUsYb9Tur/At0oK7kaJbnQX+Yd/1wFZmkjiRfuT1YUHdrShYu8W
	sOCIt15QbELfWumXp1pVbuVRBe4dXprMgan6eTe40VO7fjiI1d1pWRInuZ0WWXgWhnmhJ5
	aO8L9L1Z89aGWAg13w8Txyb/BHyzZ7jTBzn9S8pgswKLm5f45xe3vy9VbNphqg==
Received: from [153.125.224.196] (unknown [172.16.0.99])
	by dmarc25docomomta-01.dmarc25.jp (Postfix) with ESMTPSA id 0CB56A3808
	for <***@**.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dmarc25docomomta-01.dmarc25.jp 0CB56A3808
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=dmarc25.jp;
	s=mta202206r; t=1761716601;
	bh=HYzQ8SKPW/mTSd0zhR4TrhYT1Ep9m0fGtwaDt5UigYc=;
	h=Subject:From:Date:To:From;
	b=goEzNkAQSdNEHFDF/aEqbsVYzSORdKoSo/d/3Lw52R7VhzSWm7Ahd/6vIs1jZLlG
	 QYmoT7MjAoWtqlIl9xTIJ2z4GI86LvS3uiF+GTbVn3aHTrcPLbP55UZHaLkoLilBxP
	 V6y5RnKXLBP8RPz56Ch0m0RFUxKoNn7EPRGrphRn7lJbyUXf1/Lwt0ADB2QKOjGva5
	 5gKAz2hLBB22lU8lOr7hhxvj5xyLr+x/R79IMNvOfnfkctau4xK7Ej4az7OQ5G0iyG
	 jseEZ7jhZkeEbVyFJBpitFgQ2fdY8Tc+MpM4Su2dNTLD+rGt272FQoL81es+ArG0+f
	 lAF0H6nv+XpHQ==
Content-Type: multipart/mixed; boundary="===============0657281041604779379=="
MIME-Version: 1.0
Subject: Report Domain: ***.or.jp
 Submitter: docomo.ne.jp
 Report-ID: <0579b07583e429af1ed1a5fe567b58c8>
From: "docomo.ne.jp by DMARC/25" <reporting@dmarc25.jp>
Date: Wed, 29 Oct 2025 05:43:21 -0000
To: ***@**.or.jp
TLS-Required: No
Message-ID: 
 <0579b07583e429af1ed1a5fe567b58c8.d074edf066b753a93afbc05bd4df0c91e7b0b70d.dcmdb-11@docomomta.dmarc25.jp>
X-Dmarc25-Report-Info: d074edf066b753a93afbc05bd4df0c91e7b0b70d
X-Dmarc25-BounceBack-Forward-To: docomoreport-bounceback@dmarc25.jp
XSRV-Filter: ***@**.or.jp

--===============0657281041604779379==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit


--===============0657281041604779379==
Content-Type: application/gzip
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="docomo.ne.jp!**.or.jp!1761609600!1761695999!079b07583e429af1ed1a5fe567b58c8.xml.gz"

H4sICHmpAWkC/2RvY29tby5uZS5qcCFtaWMub3IuanAhMTc2MTYwOTYwMCExNzYxNjk1OTk5ITA1
NzliMDc1ODNlNDI5YWYxZWQxYTVmZTU2N2I1OGM4LnhtbAB8Utty4yAM/ZVO3tfY6fo2o9L9Ew8G
kbA1lwLubv++smmyyWRmnxBH0tE5Anj9a5enD4zJePdyaKr68IROemXc6eWwZv1jOLxy0IhqFvKN
Q8TgY54sZqFEFhx8PE1OWOTKS2995bD6HYBdYUArzMJLH7H+UlZEeWz3qpK7kBrF67Yf57pvh2f8
eRyFblA1otXYdv3cDnIA9q8WSABOUbgTTZnxZBxv+q7p6rGra2AFAXSqwGM7jiONpDuw21b24Cn4xcjPKazzYtIZqUGoN25BFYCUJ6UO26NrHzcrXwjIFLQe+F2QuDvq6A55ByBBQJk5s0mbwsg3efp
SomH4RGlj9vp/1CLX6PEyQSi6aqmea6Ox6Eae+q+ZkD61dEcYCW4GMIPsazkfNudScEnk+nZ7yTc
4rB71fREhO+2N0/lvrtjj7xsF2kUEp829K84nFEojJOO3t4u7BYGdtch1nyeIqZ1yakM/c/CSx1P
Xuci7Ru4aLwnY5dlsuuf/gIAAP//AwCg03oZBAMAAA==

--===============0657281041604779379==--

類似の、googleからのもの。

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <noreply-dmarc-support@google.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=-13.5 required=30.0 tests=DATE_IN_PAST_06_12,
	DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,ENV_AND_HDR_SPF_MATCH,
	SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,USER_IN_DEF_DKIM_WL,
	USER_IN_DEF_SPF_WL,X_NONJAPANESE_SUBJECT autolearn=no autolearn_force=no
	version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=68f0d3d6
	a=Fqz2ctiUAAAA:8 a=1XWaLZrsAAAA:8 a=x6icFKpwvdMA:10 a=3vObA125-ToA:10
	a=flsTg8gXeVLoRtu52pQA:9 a=IKIoO-ieCDEA:10 a=wDOl-8IaFK0A:10
	a=Yy2xoct6d_2ZlxTvqP-Z:22 a=2GJp8AGDeS-V4P2SbgYv:22
Delivered-To: **@***.com
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mail-qv1-f73.google.com (mail-qv1-f73.google.com [209.85.219.73])
	by ***.xserver.jp (Postfix) with ESMTPS id F33BE2811D7AFD
	for <***@***.com>; Thu, 16 Oct 2025 20:15:33 +0900 (JST)
Authentication-Results: ***.xserver.jp;
	dkim=pass header.d=google.com header.s=20230601 header.b=YRAEr3n5;
	spf=pass (****.xserver.jp: domain of noreply-dmarc-support@google.com designates 209.85.219.73 as permitted sender) smtp.mailfrom=noreply-dmarc-support@google.com;
	dmarc=pass (policy=reject) header.from=google.com
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=**.com;
	s=default; t=1760613334;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=JQF0fljcxSuoRS124ENe3cCdw4WeLzoayaVg3d1sVu8=;
	b=EgDtYvv5nZU2cpPezn5cfHsnBhIFJLX1csaOBAfa0LwSi3Os2Biaoxx3Mkme4kKO6qTboV
	7AGSE/6wSUf/NDQSoTAyK2/2WK8d4mF628fVJ+2bfNnDvqdVoRHQKXEA+lCOEPpY+c3/Ul
	bXM8diD9TT

関連記事

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

難解になってきた、スパム(詐欺)メールの読み解き。

以下、 いっぱい来ている詐欺メール(怪しいメール)のうち、ひとつを生成AIに判別してもらいました。
プロンプトは次のように入れました。「***」は伏字にしています。

メールの調査依頼 怪しいメールが来ました。調査をお願いします 文面は以下の通りです
--------------------------------------------
 社長からの指示で発注書を送付いたします。 ご確認よろしくお願いいたします。https://***.zh-oulu.com/article/ppt

GPT4、 Grok4ともに「そのメールは 非常に高い確率でフィッシング(詐欺)メール です。」の判定です。

これのメールについては正解(True Positive)に違いないのでしょうが、問題はFalse Positive (スパムメールと誤判定してしまう)こともありました。 具体的には税務署からの物理郵送物でした。 GPT4は、 それは詐欺メールだと判定してしまいました。 税金支払わなかったたら追徴課税が来てしまいします。まるで、詐欺メールのように、恐ろしい。。。 税務署にはGPTに聞いても詐欺メールと判定されないように努力してほしい。  しかし、 どういう判定基準なのかは、税務署など正式な役所の人よりも、詐欺側のほうが研究して、改善?して攻撃してくるので恐ろしい。
 20年以上前から電子署名などの仕組みはあるが、うまく活用できていない。 証明書のお値段が年間何万円もかかるのも、広まらない理由でもあるが、もう一つは1通ごとに証明書を計算しないといけないので配信処理のCPUコストが高くなってしまうこともあるだろう。 なかなか難しい。 ただ、スパムフィルターも通り抜けている。。。
参考になるのは「https://ymg.nagoya/spam-mail-3057/」同じ攻撃を受けている人の投稿の存在。 この情報があれば、確実に詐欺と判断できますね。

以下、今回のメールのGrokの読み解き

調査結果の概要

ご提供いただいたメールの内容を調査しました。このメールは、典型的なフィッシング詐欺の特徴を強く示しており、絶対にリンクをクリックしたり、情報を入力したりしないよう強くおすすめします。以下に詳細をまとめます。

メールの特徴と危険性

  • 内容の不自然さ: 「社長からの指示で発注書を送付いたします」という文言は、ビジネスメールとして一見普通ですが、送信元が不明瞭で、具体的な会社名や詳細が欠如しています。こうした曖昧な表現は、受信者を油断させてリンクをクリックさせるための典型的な手口です。
  • リンクのURL: https://www.zh-oulu.com/article/ppt
  • このドメイン(zh-oulu.com)は、フィンランドのオウル大学(University of Oulu)と関連づけられた偽装名ですが、実際には正規の大学サイトではありません。類似ドメイン(例: web-zh-oulu.com)は、信頼性評価サイトで極めて低いスコアを付けられており、詐欺サイトの可能性が高いと判定されています。
  • ページの内容を直接確認したところ、ほとんど有用な情報がなく(「Insufficient relevant content」)、これはフィッシングサイトの典型的な兆候です。こうしたページは、アクセス後にリダイレクトやスクリプトを実行し、個人情報を盗むためのトラップを仕掛けています。
  • 特に、このURLは携帯電話番号の奪取を狙った不正サイトとして、X(旧Twitter)上で明確に警告が出されています。ページに表示されるフォームなどで番号を入力させるよう誘導する可能性が高いです。

なぜフィッシング詐欺か?

  • 類似事例の多さ: オウル大学関連のドメインを悪用したフィッシング攻撃は過去に複数報告されており、大学側もスパムやフィッシングの注意喚起を繰り返しています。 これは、信頼できる機関の名前を借りて信用を偽装する手口です。
  • 一般的なリスク: クリックすると、マルウェア感染、個人情報(電話番号、メールアドレス、パスワード)の盗用、またはさらなる詐欺メールの連鎖を引き起こす可能性があります。FTC(米連邦取引委員会)も、こうした「発注書」や「確認依頼」を装ったメールをフィッシングの典型例として警告しています。

推奨アクション

  1. リンクを無視: 絶対にクリックせず、URLをコピーしてブラウザのアドレスバーに直接貼り付けないでください。メール全体を削除するか、迷惑メールフォルダに移動。
  2. 送信元を確認: メールヘッダーをチェックし、送信元ドメインが本物の会社(例: @yourcompany.com)と一致するか確認。疑わしい場合は、直接会社に電話で問い合わせを。
  3. 報告する:
  • Gmail/Outlookなどのメールクライアントで「スパム報告」。
  • 日本国内の場合、警察のサイバー犯罪相談窓口(#9110)やIPA(情報処理推進機構)のフィッシング報告フォームへ。
  • 国際的に、PhishTank(https://phishtank.org/)にURLを登録。
  1. 予防策:
  • 2段階認証を有効化。
  • アンチウイルスソフトでメールをスキャン。
  • 疑わしいメールは常に上司やIT部門に相談。

このようなメールは増加傾向にあり、2024-2025年でも同様の事例がRedditなどで報告されています。 追加の詳細が必要でしたら、メールのヘッダー情報などを共有いただければ、さらに深掘りします。ご注意ください!

関連記事

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。