カテゴリー: メール

このカテゴリではメールに関連する話を扱います。
迷惑メール、スパムメール、詐欺メールなどの内容に関する話、
メールプロトコルなどの技術面の話、
活用方法、代替技術など

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

この記事は、スパムメールや詐欺メールに関する情報を扱います。過去に何度かスパム対策を行ってきましたが、徐々に増えてきているので対策を見直しました。Eメールはいろいろなセキュリティレベルの相手と通信する仕掛けなので完璧な対策はないと言ってもよいかもしれません。 そうはいっても明らかにスパムと判断できるものも保留してスパムかどうかを判断していくのは面倒である。 明確にスパムと判断できるものは受け取らないようにしたのでよいだろう。 というのも、最近、送信元が自分であるスパムメールが増えていた。明らかに自分が送信していないのでスパムであることは明白なので、なぜこのような送り方をするのか疑問だが、チェックルールをかいくぐる手として使っているのだろう。

このようなメールは完全に受け入れなければよい。 これを実現するのがDMARCである。DMARCは、「自分のドメインを使ったなりすましメールを見つけ、受信側で拒否・隔離できるようにする」仕組みである。そこで、DMARCポリシーを「メールを配送しない」に設定した。

この設定により、最近増えていた下のような送信元が”自分”だと詐称されたメールを撲滅できた。 素晴らしい!   激減とはいうものの、 スパムメールの全体の一部であることには変わりない。引き続きスパムとの闘いは続く。

DMARC 設定で拒否できるようになったスパムメール例(サンプル)

★対象のメールのコピー

[SPAM] 新作登場!今だけの特別オファーをご覧ください


[SPAM] 【期間限定セール】LOUIS VUITTON 人気商品が最大70%OFF!  ***


 本日新商品アップしました、全商品80% OFF,送料無料,代引きで支払う,代金引換。
是非、宜しくお願い致します。

[ONLY 1]LOUIS VUITTON モンスリ PM Ref:M45410 <https://superfluity.qpon/357>

[ONLY 1]LOUIS VUITTON モンスリ PM Ref:M45410 <https://superfluity.qpon/357>
17,000 JPY 359,700 JPY

	
【Louis Vuitton】クロスボディ ショルダー バックパック M82769 <https:// 
superfluity.qpon/358>

【Louis Vuitton】クロスボディ ショルダー バックパック M82769 <https:// 
superfluity.qpon/358>
30,000 JPY 178,000 JPY

	
Louis Vuitton ルイヴィトン ボディバッグ ウェストバッグ 長財布 2点セット お得 
<https://superfluity.qpon/359>

Louis Vuitton ルイヴィトン ボディバッグ ウェストバッグ 長財布 2点セット お得 
<https://superfluity.qpon/359>
30,000 JPY 168,000 JPY

【存在感抜群☆国内発】LV ディスカバリー・バックパック PM M46802 <https:// 
superfluity.qpon/360>

【存在感抜群☆国内発】LV ディスカバリー・バックパック PM M46802 <https:// 
superfluity.qpon/360>
24,000 JPY 168,000 JPY

	
【ルイヴィトン】NEW!シャドーブラック☆スリムバッグDANUBE <https:// 
superfluity.qpon/361>

【ルイヴィトン】NEW!シャドーブラック☆スリムバッグDANUBE <https:// 
superfluity.qpon/361>
23,000 JPY

関連記事

https://www.nri-secure.co.jp/blog/dmarc-report

どう見ても詐欺メール、どう自動破棄処理するのが良い? spam
最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更
難解になってきた、スパム(詐欺)メールの読み解き。
過去(2024年以前)実施の迷惑メール対策方法、設定
最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更
スパム対策設定の成果
スパム対策設定その後
スパムメール対策 、おや多いと思ったら設定し漏れ…

スパムアサシンの設定と、メーラーでの設定については、要望があれば記事を用意いたします。コメントとをお願いします。

ソーラーフロンティア ホームエネルギーモニタリングサービス終了!? 2025年12月solar発電データ監視がストップ?の代替で継続を検討

次のようにフロンティアモニターのシステム終了のアナウンスがきています。
hsBoxを使って代替機能を実装していきましょう。

**** 様

日頃より【フロンティアモニター】ホームエネルギーモニタリングサービスをご利用いただき、誠にありがとうございます。

【システム終了のお知らせ】
2025年12月22日(月)をもって本計測装置のサービスを終了いたします。
なお、システムの都合により、一部サービス終了のタイミングについては前後する可能性がございますので、ご承知おきください。
詳しくはお客様ご利用サイトのお知らせ欄をご覧ください。

本メール発信は、メールシステムメンテナンスにより、1日遅延する場合があります。メンテナンスの日程は、お客様ログイン画面の「お知らせ」欄に随時記載いたします。
メンテナンス時はご不便をおかけしますが、何卒ご承知おきくださいますようお願いいたします。

下記の通り、2025年11月07日の発電量をお知らせいたします。

発電量:37.44kWh


今後ともフロンティアモニターをよろしくお願いいたします。
★なお、お心当たりのない方は、お手数ではございますが、下記メールアドレスまでご連絡頂きますようお願いいたします。
★このメールは送信専用メールアドレスから配信しています。このまま返信いただいてもお答えできませんのでご了承ください。
-----------------------------------------------
ソーラーフロンティア株式会社
【フロンティアモニター】お客様サービスセンター
電話:0570-053115(受付時間:9:00-17:00)※日曜、祝祭日、メーデー、年末年始を除く
メール:information@solar-frontier.com
-----------------------------------------------

順次、実装を進めていきます。 参考してみてください。 コメントなどあればお願いします。

まずは、次の情報を集めます

●パワーコンディショナー(メーカーと型番)
●フロンティアモニターの接続方式

関連記事
太陽光発電の軌跡:個人導入のリアル ~運用実績から見る2025年Solarの投資回収と総所有コスト~

最近怪しい郵便物が多い。 正式であるなら、正式と判定されるように公式な発信をしてほしい。

Grok4とGPT4に判定してもらいました。 結果は下の通り

GPT4: 確認できない → 判定不能
Grok4: 詐欺の疑いが強いと考えられます。

プロンプトは次

公益財団法人日本財団   口座記号番号 00150-5-293429 は 詐欺じゃないでしょうか?

Grok4の回答

ユーザーのご懸念、よくわかります。公益財団法人日本財団は実在の信頼できる組織ですが、寄付を装った詐欺が社会的に問題になっています。指定された口座記号番号「00150-5-293429」について、公式情報を基に検証した結果をお伝えします。

検証結果

  • この口座番号は日本財団の公式寄付口座として確認できませんでした。日本財団の公式ウェブサイト(nippon-foundation.or.jp)では、銀行振込やゆうちょ銀行振込の口座情報は寄付申し込み後にメール(kifu@ps.nippon-foundation.or.jp)で個別に案内される形式を取っており、公開された一覧に「00150-5-293429」は記載されていません。 また、ゆうちょ銀行対応は一部の基金(特定のプロジェクト)のみで、過去の公開例(例: 2019年の台風19号緊急支援)では異なる口座番号「00160-0-00266041」が使用されています。
  • ウェブ検索やX(旧Twitter)での調査でも、この具体的な口座番号を日本財団の公式寄付として言及した信頼できる情報は見つかりませんでした。一方、X上では日本財団の寄付活動自体を「詐欺的」と疑う投稿が散見されますが、これらは主に休眠口座の活用や政治的陰謀論に関するもので、この口座番号に直接結びつくものはありません。

詐欺の可能性

  • 詐欺の疑いが強いと考えられます。寄付を募る詐欺では、信頼できる団体の名前を騙り、偽の口座情報を提供するケースが急増しています。日本財団の名前を使った類似事例も報告されており、急な寄付依頼や不明瞭な口座情報は要注意です。 特にゆうちょ銀行の口座記号番号形式(例: 001XX-X-XXXXXX)は偽造しやすく、詐欺師が悪用しやすい点に注意してください。

正しい寄付方法のすすめ

日本財団への寄付は、以下の公式ルートをおすすめします。絶対に不明な口座に振り込まないでください。

  • 公式ウェブサイト: https://www.nippon-foundation.or.jp/donation でオンライン寄付や申し込み。クレジットカード、コンビニ払い、口座振替などが可能です。
  • 銀行振込の場合: 寄付申し込み後、公式メールで案内される口座を使用。
  • お問い合わせ: 寄付総合窓口(電話: 0120-533-236、平日9:00~17:00)またはメール(kifu@ps.nippon-foundation.or.jp)で直接確認を。 疑わしい情報があれば、すぐに相談してください。

もしこの口座情報をどこで入手したか(メール、SNSなど)詳細を教えていただければ、さらに深掘りして調べられます。安全第一でご判断ください!

GPT4の回答

私の調査では、公益財団法人日本財団が 口座記号番号「00150-5-293429」 を公式に案内しているという信頼できる情報は確認できませんでした。

一般的な安全確認のポイントとしては:

  • 灯籠口座(ゆうちょ銀行の「記号-番号」形式)を使った寄付の場合、その事務所/団体の公式ウェブサイトや公的な案内冊子に「ゆうちょ銀行記号番号:00150-5-293429」などと明記されているか確認する。
  • 団体の公式ウェブサイトで「この口座は正規です」と明記されているか。
  • 寄付を求める連絡が、公式のメールアドレス・電話番号からかどうか。 突然SNSや電話で「至急寄付を」と連絡が来た場合は注意が必要。
  • 団体に直接問い合わせて「この口座に振込しても良いか」確認する。

もしご希望であれば、日本財団の公式の寄付口座を探して、一緒に照合するお手伝いもできますが、どうしますか?

どう見ても詐欺メール、どう自動破棄処理するのが良い? spam

スパムフィルタを使っていると正当なメールをスパムメールと、誤判定してしまうケースがあるが、これらのメールは自動処理してしまってもよいだろう。グレーケースとあきらかな詐欺メールは分類して処理するのが良いかもしれない。

以下、明らかな、詐欺メールのサンプル

組織犯罪対策部:あなたはマネーロンダリングの疑いがあります。保釈金として150万を下記の口座にお振り込みください。捜査終了後、保釈金は返金されます。2025年10月31日までに送金しない場合は資産は凍結され、あなたは逮捕されます。

三菱UFJ銀行 (金融機関コード0005)
恵比寿支店(支店コード136)
普通 2041699
名義  TS 合同会社
  ティーエスゴウドウガイシャ

〒100-8974 東京都千代田区霞が関2丁目1番2号
電話番号 03-3581-0141(代表)


X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <iwashita_manami@e-nepia.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on **.xserver.jp
X-Spam-Flag: YES
X-Spam-Level: **************************************************
X-Spam-Status: Yes, score=52.2 required=30.0 tests=CMCL_1,FSL_HELO_NON_FQDN_1,
	HELO_NO_DOMAIN,RDNS_NONE,SPF_SOFTFAIL,TVD_SPACE_RATIO_MINFP autolearn=no
	autolearn_force=no version=3.4.0
X-Spam-Report: 
	*  0.0 FSL_HELO_NON_FQDN_1 No description available.
	*  1.0 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)
	*   50 CMCL_1 Cloudmark Authority detected spam
	*  1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
	*  0.0 HELO_NO_DOMAIN Relay reports its domain incorrectly
	*  0.0 TVD_SPACE_RATIO_MINFP Space ratio (vertical text obfuscation?)
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=69025ac7
	p=feqnlMpVuKP_xuHrwg4A:9 a=0FI5FzLfUpbmheKzllYW6Q==:17 a=IkcTkHD0fZMA:10
	a=x6icFKpwvdMA:10 a=5KLPUuaC_9wA:10 a=M51BFTxLslgA:10 a=QEXdDO2ut3YA:10
	a=Mfv3uX3kbRkA:10
Delivered-To: ***@***.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from qjbgdilxanftbstfbmypojfne (unknown [116.208.97.48])
	by ***.xserver.jp (Postfix) with ESMTPS id 08D85280D824FF
	for <**@**.or.jp>; Thu, 30 Oct 2025 03:19:47 +0900 (JST)
Authentication-Results: ****.xserver.jp;
	dkim=none;
	spf=softfail (****.xserver.jp: 116.208.97.48 is neither permitted nor denied by domain of iwashita_manami@e-nepia.com) smtp.mailfrom=iwashita_manami@e-nepia.com;
	dmarc=fail reason="No valid SPF, No valid DKIM" header.from=e-nepia.com (policy=none)
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=***.or.jp;
	s=default; t=1761761990;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding:in-reply-to:
	 references; bh=nTl06k+7cmfY6AQy1kTdVmH5deI5cl/IWBO0FE/8tIQ=;
	b=Pi5TvKEgEfIRkjKLRatfN1kP2V2M9Ms3PoWWJR1c7us+sedef+I2DW7chT6mpT1j70MyCf
	2o0rm8LslrqWEiIh4SPYRxnGRmQGCBroCZGDrfcuKFVD/NgzY4VfP3tanz8+b51aqliKZj
	k9pIZTAabz38tBmH3epRH3FeBIWSwCBZf0bZT5bobJTvbDOCJvQmoz/6xLn6udxZslvssz
	ox3rVC6lm1Bqd866eLHO2xjvJlcMpO1xbPjljbfODOYD/hk05PW77VMd6XdvzMonlIoAtG
	moZuB7iFmlAkYUUs8aRSkMGZFU7dLwXQQlEzO0vtY0hWJIG4DaxAe1ghSYnX7Q==
ARC-Authentication-Results: i=1;
	****.xserver.jp;
	dkim=none;
	spf=softfail (***.xserver.jp: 116.208.97.48 is neither permitted nor denied by domain of iwashita_manami@e-nepia.com) smtp.mailfrom=iwashita_manami@e-nepia.com;
	dmarc=fail reason="No valid SPF, No valid DKIM" header.from=e-nepia.com (policy=none)
ARC-Seal: i=1; s=default; d=***.or.jp; t=1761761990; a=rsa-sha256;
	cv=none;
	b=kalrckxcno2eldITQxlaTxFC6yejHUAK+XC67U4VQbiG3lW4PVTcwhFm8z8s2FCeY62OQl
	kYLJ5PTfGn2Z4fSQ+e3qbffTS0kQeC/SeaodSy2Ux29l3VALyDV/hLDtyPbZTtP5eDihGU
	sYAUuKppEhdOc2W9EeinimPhS9h/OVclQlPSHB9VQo8jzwbzwuMSU5KfoyA1uO0wrq2SYM
	a6Zu2XwgsBjozu9qbVknRsYNBpl5hPykoPBG+SxPAUZ3levk6JBHHeDRhgmxQDPTC5P+Pk
	+0yoBkcZ3uu02XGhAEHu4NSUu3Jokw5X922s7f0ufukr+18u16go8BgQSdVsEg==
Message-ID: <lrrhz5s26p.s54pk7.5710.8frl-545754632@qjbgdilxanftbstfbmypojfne>
From: =?utf-8?B?6K2m5a+f5Y6F?= <iwashita_manami@e-nepia.com>
To: =?utf-8?B?U2FtIEVsaXNhYmV0?= <***@**.or.jp>
Subject: [SPAM] =?utf-8?B?6YeN6KaB44Gq44GK55+l44KJ44Gb?=
Date: Wed, 29 Oct 2025 19:19:42 +0100
X-Priority: 3
X-Mailer: LTPGGSAOIBADJ WTSQNJGDOCNBQPA 880.24276.55564
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: base64
XSRV-Filter: ***@**.or.jp
X-Spam-Prev-Subject: =?utf-8?B?6YeN6KaB44Gq44GK55+l44KJ44Gb?=
XSRV-Filter: .Junk
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  
  マイナポイント再手続きのご案内
  


  
    
*** 様


    マイナポイント第2弾の登録情報に不備があったため、ポイント付与が行えませんでした。
以下より内容を確認し、再手続きをお願いいたします。


    期限:2025年11月01日(土)


    
      手続きに進む
    


    総務省

関連記事

難解になってきた、スパム(詐欺)メールの読み解き。
スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

最近増えている謎メール dmarc25? 実質スパム → 破棄に設定変更

最近、まとめて何通も送られてくる謎メールを解析してみた。 サンプルのメッセージソースは下に張り付けました。

GPTの解析結果はつぎ。

とても良い観察です。
この2通目(noreply-dmarc-support@google.com からのもの)は、
先ほどの「dmarc25.jp」メールとはまったく性質が異なります

✅ 結論から言うと

こちらは本物のGoogleから送信されたDMARC集計レポートメールです。
偽装スパムではありません。安全です。
ただし、開封や解析は不要で、そのまま削除して問題ありません。

🔍 技術解析(要点)

項目評価
Return-Path<noreply-dmarc-support@google.com>Google公式ドメイン
送信サーバーmail-qv1-f73.google.com [209.85.219.73]正規のGoogleメールサーバー
SPFpassGoogleのサーバーが正しく認証
DKIMpass (header.d=google.com)Google公式署名あり
DMARCpass (policy=reject)Googleのポリシーが適用済み
件名/本文構成DMARCレポート(XML添付)形式DMARC集計通知として正常
スパムスコアscore=-13.5(極めて低い)SpamAssassinが「安全」と判定

📄 どういうメールか?

あなたのドメインを名乗るメールが世界中でどう扱われたかを、
Gmailが自動でまとめて送信してくれる「DMARC Aggregate Report(集計レポート)」です。

送信元:
noreply-dmarc-support@google.com

添付ファイル名は通常:

google.com!***.***!<日付範囲>!<識別ID>.xml.gz

中には XML 形式で次のようなデータが入っています:

<feedback>
  <report_metadata>
    <org_name>Google Inc.</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <report_id>...</report_id>
  </report_metadata>
  <policy_published>
    <domain>***.***</domain>
    <p>none</p>
  </policy_published>
  ...
</feedback>

🚫 「dmarc25.jp」との違い

比較項目Google(今回)dmarc25.jp(前回)
ドメインgoogle.comdmarc25.jp(偽装)
送信元IP209.85.xxx(Google公式)59.106.xxx(GMO共用)
DKIM署名header.d=google.comheader.d=dmarc25.jp
SPF結果passpass(だが独自ドメイン)
内容正規のDMARCレポートDMARCレポート風スパム
対応放置・削除OK受信拒否推奨

💡 今後のおすすめ運用

もしあなたのドメインで
DMARCを設定済みであれば、世界中の主要メールサーバー(Google、Microsoft、Yahoo!など)が
定期的にレポート(XML.gz)を送ってきます。

これらは通常:

  • 安全(ただし開かなくてよい)
  • 内容は認証統計(なりすまし対策用)
  • 保存・放置しても問題なし

必要な場合のみ解析する

もし「自社ドメインのなりすまし状況を把握したい」場合、
以下のような無料ツールでレポートをまとめて可視化できます:

✳️ まとめ

種類ドメイン正体対応
@google.comGoogle正規サーバー正規DMARCレポート放置・削除OK
@dmarc25.jp偽装(docomo風)DMARCレポート風スパム受信拒否・開封禁止

以下は「偽DMARCレポート」と「正規レポート」の処置方法案

処置方針まとめ

レポート種別特徴推奨処置コメント
偽DMARCレポート差出人偽装、怪しい添付・リンクの可能性拒否 or 破棄SPF/DKIM fail、差出元不明なIPが多い場合は偽と判断可
正規DMARCレポート正規送信サーバーから、XML形式で集計破棄(中身を見ない場合)受信が煩雑な場合は破棄でOK
正規DMARCレポート正規送信サーバーから解析(中身を見る場合)偽装メール検出、送信経路確認、DMARC強化判断、監査目的で利用可能

正規レポートを解析するケース

自ドメインの偽装・スプーフィングの有無確認
  • 外部IPから SPF/DKIM fail があれば偽装メールあり
  • 対応策:SPF/DKIM/DMARC強化、受信者への注意喚起
メール送信経路の確認
  • 自社送信サーバーの SPF/DKIM/MX 設定が正しいか確認
DMARCポリシー強化の判断材料
  • p=nonep=quarantinep=reject の段階的運用
  • p=reject で偽装メールは受信者サーバーで自動的に破棄される
セキュリティ監査・リスク管理
  • 偽装メールの監視、ドメイン悪用の傾向把握

運用上の具体例

  • 偽DMARCレポート:メールサーバーで「SPF/DKIM fail」「差出元不明IP」の場合、自動破棄
  • 正規DMARCレポート:受信は継続
  • 中身を見ない場合:迷惑メール振り分けで破棄
  • 中身を解析する場合:XMLを専用ツール(dmarcianなど)に取り込み、送信状況を監視

まったく別観点からの対処案

このメールは、DMARCレポートは 送信されるメール自体ではなく、受信側サーバーが作成する通知 です。よって 通常の個人宛メールのように偶然届くものではなく、ドメイン管理者宛に体系的に届くもの です。もしレポートを受け取りたくない場合は、DMARC TXTレコードから rua / ruf を削除する(rua/rufフィールドを空にする)ことで送信先をなくせます。

当ドメインでは、 ”DMARCポリシー設定は不正「メールを配送しない」”、 ”通知を停止”、に設定変更しました。 まずはこれで、検証してみます。

dmarc25 からのほぼスパム

X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <docomoreport-bounceback@dmarc25.jp>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***
****.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=0.9 required=30.0 tests=DKIM_SIGNED,DKIM_VALID,
	DKIM_VALID_AU,SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,X_NONJAPANESE_SUBJECT
	autolearn=no autolearn_force=no version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=6901a979
	a=4nyRffA/pZpJxf3jz/ccCw==:17 a=x6icFKpwvdMA:10 a=z2Y1GidkDKYA:10
	a=tclcd6dtLQvEqt9_mmAA:9 a=CjuIK1q_8ugA:10 a=4Hp3Za8rNZdGw2VEeB8A:9
	a=49ladYHvHUoA:10
Delivered-To: **@****.or.jp
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mta01d.dmarc25.jp (mta01d.dmarc25.jp [59.106.216.209])
	by ***.xserver.jp (Postfix) with ESMTPS id 457AD281968215
	for <**@***.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
Authentication-Results: ****.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=****.or.jp;
	s=default; t=1761716601;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=HYzQ8SKPW/mTSd0zhR4TrhYT01Ep9m0fGtwaDt5UigYc=;
	b=nzJ4bQYZ5DF3X4MEkTlUVZbwka6l8ss6H0mpAWFXXVG5hK7jJALJLMNkY9Bwe9ICdOH8jiO
	fe0RawqZYSbzp4bl8MGc3QHBHuCucjiNqOPCxOC8x+u/kHvk/ZP3pOfZj8OQzjOefZStkD
	2MngfNdrn1pbMGOcDk/7ShmVs185ca87soFPhoNKX1gGdgUFi89GHVjxHt2GAdNi2NxcuF
	LdMFdMQWDCxJjaKDNPjGPBHe8Z0ccJ6Y69PKQZQuSBtICykOAN/sFs4bSHv3X62iPxHkL
	w8PbHQNUal1lhfQqF6bmRSpZmP895I3HGrHFgt3Ah67RAEOVy+ycQSDT3HJm5w==
ARC-Authentication-Results: i=1;
	***.xserver.jp;
	dkim=pass header.d=dmarc25.jp header.s=mta202206r header.b=goEzNkAQ;
	spf=pass (***.xserver.jp: domain of docomoreport-bounceback@dmarc25.jp designates 59.106.216.209 as permitted sender) smtp.mailfrom=docomoreport-bounceback@dmarc25.jp;
	dmarc=pass (policy=reject) header.from=dmarc25.jp
ARC-Seal: i=1; s=default; d=**.or.jp; t=1761716601; a=rsa-sha256;
	cv=none;
	b=KHep4fsgpeT1mhiFdziq/LgRb39yMdlYqoIuK8evM2vbafKp4rVAVO2P9Ey81khMzF/Z4r
	crd7YKwrIlvBUyp1XRE6nB76hDQCRbDgNOsZ1+KBNM85SN5PUMA+9qeTAJwx8wd9Sa43sQ
	nv6aAssOakDL/4S2e0IsUsYb9Tur/At0oK7kaJbnQX+Yd/1wFZmkjiRfuT1YUHdrShYu8W
	sOCIt15QbELfWumXp1pVbuVRBe4dXprMgan6eTe40VO7fjiI1d1pWRInuZ0WWXgWhnmhJ5
	aO8L9L1Z89aGWAg13w8Txyb/BHyzZ7jTBzn9S8pgswKLm5f45xe3vy9VbNphqg==
Received: from [153.125.224.196] (unknown [172.16.0.99])
	by dmarc25docomomta-01.dmarc25.jp (Postfix) with ESMTPSA id 0CB56A3808
	for <***@**.or.jp>; Wed, 29 Oct 2025 14:43:21 +0900 (JST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dmarc25docomomta-01.dmarc25.jp 0CB56A3808
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=dmarc25.jp;
	s=mta202206r; t=1761716601;
	bh=HYzQ8SKPW/mTSd0zhR4TrhYT1Ep9m0fGtwaDt5UigYc=;
	h=Subject:From:Date:To:From;
	b=goEzNkAQSdNEHFDF/aEqbsVYzSORdKoSo/d/3Lw52R7VhzSWm7Ahd/6vIs1jZLlG
	 QYmoT7MjAoWtqlIl9xTIJ2z4GI86LvS3uiF+GTbVn3aHTrcPLbP55UZHaLkoLilBxP
	 V6y5RnKXLBP8RPz56Ch0m0RFUxKoNn7EPRGrphRn7lJbyUXf1/Lwt0ADB2QKOjGva5
	 5gKAz2hLBB22lU8lOr7hhxvj5xyLr+x/R79IMNvOfnfkctau4xK7Ej4az7OQ5G0iyG
	 jseEZ7jhZkeEbVyFJBpitFgQ2fdY8Tc+MpM4Su2dNTLD+rGt272FQoL81es+ArG0+f
	 lAF0H6nv+XpHQ==
Content-Type: multipart/mixed; boundary="===============0657281041604779379=="
MIME-Version: 1.0
Subject: Report Domain: ***.or.jp
 Submitter: docomo.ne.jp
 Report-ID: <0579b07583e429af1ed1a5fe567b58c8>
From: "docomo.ne.jp by DMARC/25" <reporting@dmarc25.jp>
Date: Wed, 29 Oct 2025 05:43:21 -0000
To: ***@**.or.jp
TLS-Required: No
Message-ID: 
 <0579b07583e429af1ed1a5fe567b58c8.d074edf066b753a93afbc05bd4df0c91e7b0b70d.dcmdb-11@docomomta.dmarc25.jp>
X-Dmarc25-Report-Info: d074edf066b753a93afbc05bd4df0c91e7b0b70d
X-Dmarc25-BounceBack-Forward-To: docomoreport-bounceback@dmarc25.jp
XSRV-Filter: ***@**.or.jp

--===============0657281041604779379==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit


--===============0657281041604779379==
Content-Type: application/gzip
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="docomo.ne.jp!**.or.jp!1761609600!1761695999!079b07583e429af1ed1a5fe567b58c8.xml.gz"

H4sICHmpAWkC/2RvY29tby5uZS5qcCFtaWMub3IuanAhMTc2MTYwOTYwMCExNzYxNjk1OTk5ITA1
NzliMDc1ODNlNDI5YWYxZWQxYTVmZTU2N2I1OGM4LnhtbAB8Utty4yAM/ZVO3tfY6fo2o9L9Ew8G
kbA1lwLubv++smmyyWRmnxBH0tE5Anj9a5enD4zJePdyaKr68IROemXc6eWwZv1jOLxy0IhqFvKN
Q8TgY54sZqFEFhx8PE1OWOTKS2995bD6HYBdYUArzMJLH7H+UlZEeWz3qpK7kBrF67Yf57pvh2f8
eRyFblA1otXYdv3cDnIA9q8WSABOUbgTTZnxZBxv+q7p6rGra2AFAXSqwGM7jiONpDuw21b24Cn4xcjPKazzYtIZqUGoN25BFYCUJ6UO26NrHzcrXwjIFLQe+F2QuDvq6A55ByBBQJk5s0mbwsg3efp
SomH4RGlj9vp/1CLX6PEyQSi6aqmea6Ox6Eae+q+ZkD61dEcYCW4GMIPsazkfNudScEnk+nZ7yTc
4rB71fREhO+2N0/lvrtjj7xsF2kUEp829K84nFEojJOO3t4u7BYGdtch1nyeIqZ1yakM/c/CSx1P
Xuci7Ru4aLwnY5dlsuuf/gIAAP//AwCg03oZBAMAAA==

--===============0657281041604779379==--

類似の、googleからのもの。

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <noreply-dmarc-support@google.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on ***.xserver.jp
X-Spam-Level: 
X-Spam-Status: No, score=-13.5 required=30.0 tests=DATE_IN_PAST_06_12,
	DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,ENV_AND_HDR_SPF_MATCH,
	SPF_HELO_NONE,SPF_PASS,TVD_SPACE_RATIO,URIBL_BLOCKED,
	URIBL_DBL_BLOCKED_OPENDNS,URIBL_ZEN_BLOCKED_OPENDNS,USER_IN_DEF_DKIM_WL,
	USER_IN_DEF_SPF_WL,X_NONJAPANESE_SUBJECT autolearn=no autolearn_force=no
	version=3.4.0
X-Spam-CMAuthority: v=2.4 cv=UZQDS7SN c=1 sm=1 tr=0 ts=68f0d3d6
	a=Fqz2ctiUAAAA:8 a=1XWaLZrsAAAA:8 a=x6icFKpwvdMA:10 a=3vObA125-ToA:10
	a=flsTg8gXeVLoRtu52pQA:9 a=IKIoO-ieCDEA:10 a=wDOl-8IaFK0A:10
	a=Yy2xoct6d_2ZlxTvqP-Z:22 a=2GJp8AGDeS-V4P2SbgYv:22
Delivered-To: **@***.com
X-Virus-Status: scanned (With Secure/Atlant/virusgw12107.xserver.jp/)
Received: from mail-qv1-f73.google.com (mail-qv1-f73.google.com [209.85.219.73])
	by ***.xserver.jp (Postfix) with ESMTPS id F33BE2811D7AFD
	for <***@***.com>; Thu, 16 Oct 2025 20:15:33 +0900 (JST)
Authentication-Results: ***.xserver.jp;
	dkim=pass header.d=google.com header.s=20230601 header.b=YRAEr3n5;
	spf=pass (****.xserver.jp: domain of noreply-dmarc-support@google.com designates 209.85.219.73 as permitted sender) smtp.mailfrom=noreply-dmarc-support@google.com;
	dmarc=pass (policy=reject) header.from=google.com
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=**.com;
	s=default; t=1760613334;
	h=from:from:sender:reply-to:subject:subject:date:date:
	 message-id:message-id:to:to:cc:mime-version:mime-version:
	 content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding:in-reply-to:
	 references:dkim-signature; bh=JQF0fljcxSuoRS124ENe3cCdw4WeLzoayaVg3d1sVu8=;
	b=EgDtYvv5nZU2cpPezn5cfHsnBhIFJLX1csaOBAfa0LwSi3Os2Biaoxx3Mkme4kKO6qTboV
	7AGSE/6wSUf/NDQSoTAyK2/2WK8d4mF628fVJ+2bfNnDvqdVoRHQKXEA+lCOEPpY+c3/Ul
	bXM8diD9TT

関連記事

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

難解になってきた、スパム(詐欺)メールの読み解き。

以下、 いっぱい来ている詐欺メール(怪しいメール)のうち、ひとつを生成AIに判別してもらいました。
プロンプトは次のように入れました。「***」は伏字にしています。

メールの調査依頼 怪しいメールが来ました。調査をお願いします 文面は以下の通りです
--------------------------------------------
 社長からの指示で発注書を送付いたします。 ご確認よろしくお願いいたします。https://***.zh-oulu.com/article/ppt

GPT4、 Grok4ともに「そのメールは 非常に高い確率でフィッシング(詐欺)メール です。」の判定です。

これのメールについては正解(True Positive)に違いないのでしょうが、問題はFalse Positive (スパムメールと誤判定してしまう)こともありました。 具体的には税務署からの物理郵送物でした。 GPT4は、 それは詐欺メールだと判定してしまいました。 税金支払わなかったたら追徴課税が来てしまいします。まるで、詐欺メールのように、恐ろしい。。。 税務署にはGPTに聞いても詐欺メールと判定されないように努力してほしい。  しかし、 どういう判定基準なのかは、税務署など正式な役所の人よりも、詐欺側のほうが研究して、改善?して攻撃してくるので恐ろしい。
 20年以上前から電子署名などの仕組みはあるが、うまく活用できていない。 証明書のお値段が年間何万円もかかるのも、広まらない理由でもあるが、もう一つは1通ごとに証明書を計算しないといけないので配信処理のCPUコストが高くなってしまうこともあるだろう。 なかなか難しい。 ただ、スパムフィルターも通り抜けている。。。
参考になるのは「https://ymg.nagoya/spam-mail-3057/」同じ攻撃を受けている人の投稿の存在。 この情報があれば、確実に詐欺と判断できますね。

以下、今回のメールのGrokの読み解き

調査結果の概要

ご提供いただいたメールの内容を調査しました。このメールは、典型的なフィッシング詐欺の特徴を強く示しており、絶対にリンクをクリックしたり、情報を入力したりしないよう強くおすすめします。以下に詳細をまとめます。

メールの特徴と危険性

  • 内容の不自然さ: 「社長からの指示で発注書を送付いたします」という文言は、ビジネスメールとして一見普通ですが、送信元が不明瞭で、具体的な会社名や詳細が欠如しています。こうした曖昧な表現は、受信者を油断させてリンクをクリックさせるための典型的な手口です。
  • リンクのURL: https://www.zh-oulu.com/article/ppt
  • このドメイン(zh-oulu.com)は、フィンランドのオウル大学(University of Oulu)と関連づけられた偽装名ですが、実際には正規の大学サイトではありません。類似ドメイン(例: web-zh-oulu.com)は、信頼性評価サイトで極めて低いスコアを付けられており、詐欺サイトの可能性が高いと判定されています。
  • ページの内容を直接確認したところ、ほとんど有用な情報がなく(「Insufficient relevant content」)、これはフィッシングサイトの典型的な兆候です。こうしたページは、アクセス後にリダイレクトやスクリプトを実行し、個人情報を盗むためのトラップを仕掛けています。
  • 特に、このURLは携帯電話番号の奪取を狙った不正サイトとして、X(旧Twitter)上で明確に警告が出されています。ページに表示されるフォームなどで番号を入力させるよう誘導する可能性が高いです。

なぜフィッシング詐欺か?

  • 類似事例の多さ: オウル大学関連のドメインを悪用したフィッシング攻撃は過去に複数報告されており、大学側もスパムやフィッシングの注意喚起を繰り返しています。 これは、信頼できる機関の名前を借りて信用を偽装する手口です。
  • 一般的なリスク: クリックすると、マルウェア感染、個人情報(電話番号、メールアドレス、パスワード)の盗用、またはさらなる詐欺メールの連鎖を引き起こす可能性があります。FTC(米連邦取引委員会)も、こうした「発注書」や「確認依頼」を装ったメールをフィッシングの典型例として警告しています。

推奨アクション

  1. リンクを無視: 絶対にクリックせず、URLをコピーしてブラウザのアドレスバーに直接貼り付けないでください。メール全体を削除するか、迷惑メールフォルダに移動。
  2. 送信元を確認: メールヘッダーをチェックし、送信元ドメインが本物の会社(例: @yourcompany.com)と一致するか確認。疑わしい場合は、直接会社に電話で問い合わせを。
  3. 報告する:
  • Gmail/Outlookなどのメールクライアントで「スパム報告」。
  • 日本国内の場合、警察のサイバー犯罪相談窓口(#9110)やIPA(情報処理推進機構)のフィッシング報告フォームへ。
  • 国際的に、PhishTank(https://phishtank.org/)にURLを登録。
  1. 予防策:
  • 2段階認証を有効化。
  • アンチウイルスソフトでメールをスキャン。
  • 疑わしいメールは常に上司やIT部門に相談。

このようなメールは増加傾向にあり、2024-2025年でも同様の事例がRedditなどで報告されています。 追加の詳細が必要でしたら、メールのヘッダー情報などを共有いただければ、さらに深掘りします。ご注意ください!

関連記事

スパムメール/詐欺メール DMARC設定で激減、2025年以降この設定は必須!?

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。

スパムメール対策 、おや多いと思ったら設定し漏れ…

最近スパムメールが増えてきたので、設定の見直しをしてみた。いくつかのパターンに分けて対策を試みる。

fromが自分のメールアドレスに偽装されているもの

このパターンは、一目でスパムとわかるので、まとめて削除できるが、事前に何とかならないか設定方法を見直してみる。
 このパターンは、サーバーで拒否してほしい。これは、送信元IPや送信元サーバーのドメインで判断できる。しかし、ここのレンタルサーバサービスでは提供されていない。仕方ないので、メーラで受信後に自動削除してみよう。
 メーラによって設定方法や設定ができるかどうか変わりますが、以下はThunderbirdでの設定方法です。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件で”カスタムヘッダ”「Received」 に”次を含む”「.XXXX (unknown」を指定し、 動作に「メッセージ削除」を指定する。
  この設定で、 *.XXXX ドメインと語るサーバー(本当のドメイン名unknownつまりDNSで逆引きできない)から送信されたメールを削除する。

特定IPからの送信を拒否

特定IPからの送信を拒否するより、送信元のメールアドレスが自分で、送信元のIPが自分以外のものを拒否するほうが効果的だろう。このパターンも レンタルサーバサービスでは拒否方法が提供されていない。同様に、メーラーで削除設定してみよう。上と、同様に
 仕方ないので、メーラで受信後に自動削除してみよう。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件でカスタムヘッダ「差出人」に「次を含む」・「自分のメールアドレス」とand条件で「Received」 に「次を含む」、「unknown」を指定し、 動作に「メッセージ削除」を指定する。 「Received」 に「次を含む」、「(unknown」を指定し、 動作に「メッセージ削除」を指定する。※2019/12/26更新 普通にサービスされている正式なものにも意外に送信元名が設定されていないサーバーがあるので、IP逆引きできないものに限定することにした。これだけでも半数以上のスパムを処置できそうです。

以上の設定で、かなりの数のスパムメールが減るハズ。
とりあえず、1週間くらいこれで様子を見てみよう

spamの配信ツールはDNSキャッシュがずっと残る?

サーバが切り替わったので、古いサーバ宛のメールはほとんど来なくなりましたが、今日もまだ古いサーバに1件メールが来ていたので確認してみました。

”Security Notice. ……”というタイトルのspamメールでした。
送信ツールから、直接古いメースサーバ宛に送信されていました。普通のメールクライアントからの送信なら、送信用メールサーバーを経由するので、2段階以上の送受信となるはずですが、つぎのように、1段階だけでした。
 この部分をチェックするだけでも、何らかのツールを使って送信していることが分かります。

メールのソース
:省略
X-Mozilla-Keys:                                                                                 
Return-Path: <xxx@mic.or.jp>
Received: from tm.82.192.61.119.dc.telemach.net (tm.82.192.61.119.dc.telemach.net [82.192.61.119])
 by mic.or.jp (Postfix) with ESMTP id 7070911002A03
 for <xxxx@mic.or.jp>; Wed,  9 Oct 2019 10:25:50 +0900 (JST)
From: xxxx@mic.or.jp>
To: <xxxx@mic.or.jp>
Subject: 
:省略

  そして、DNSを切り替えて、1週間程度経過しているにも関わらず、古いサーバ宛に送信されています。 どこかにキャッシュされていたDNS情報を取得して古いサーバ宛に送信されたことが考えられます。しかし、今回のケースだと、1週間以上前にもメール送信した実績があり、その時に取得したDNS情報をキャッシュしていて、昨日メール送信する際にその情報を使ってメール送信したと考えるのが妥当でしょう。 メールマガジンの配信など大量メール送信ツールにはDNS情報のようにキャッシュできるものはキャッシュして性能を稼ぐ実装を採用しているものもあります。そのような技術をspam送信に利用しているのでしょう。