Defaults.Exposed

Defaults.Exposed修正Guides

誰かがあなたのドメインからメールを送っている:緊急対応ガイド(2026)

公開日 2026-07-08

データは 2026-06-29 時点 · メソドロジー v7。 261 百万採点済みドメインを対象とした集計センサスデータ。採点方法を参照。

偽メールがあなたの完全一致ドメインを使っているのか、そっくりドメインを使っているのかをまず確認する — 修正方法がまったく異なるからだ。完全一致ドメインのなりすましは DNS で遮断できる — しかしほとんどのドメインはまだ対処していない:261,086,232 採点済みドメインの Defaults.Exposed センサスによると、89.41% は DMARC ポリシーを適用しておらず、46.4% は SPF を全く公開していない。

これはインシデントのチェックリストだ:最初の1時間 — 悪化させずに何が起きているかを確認する;最初の1日 — 開いている穴を閉める、またはその穴が自分のものでなければテイクダウンを開始する;最初の1週間 — 監視、被害を受ける可能性のある人への警告、適用。これが起こりうるかどうかを知りたいだけ?誰かが自分のドメインをなりすましできるか?から始める — このページはすでに起きている場合用だ。

まず:本当に自分のドメインか、それとも模倣か?

偽メールを1通入手し、送信者アドレスを1文字ずつ読む。以降のすべてはこれにかかっている:

From アドレスが示すもの何が起きているか対処方法
[email protected] — あなたのドメイン、完全に正確なスペルなりすまし:見知らぬサーバーが From 行にあなたのドメインを偽造している。システムはハッキングされていない。DNS 修正 — SPF、DKIM、DMARC 適用。パス 1。
[email protected]yourcompany-billing.comyourcompany.co — 似ているが自分のではない他の誰かが登録したそっくりドメイン。あなたの DNS は参照されない。テイクダウン + 警告。パス 2。
あなたの正確なアドレスで、メッセージが自分の送信済みフォルダにある、または実際のスレッドに返信しているアカウント侵害 — 誰かが実際のメールボックスの中にいる。別のインシデントだ。何より先に:パスワードを変更し、セッションを取り消し、2FA を有効にし、転送ルールを確認する。

データは 2026-06-29 時点。

太字の行が最も一般的で最も修正しやすい。メールの基本プロトコルは From 行を検証しないため、誰でもそこにあなたのドメインを入力できる — だから修正は受信側が自分で確認できる DNS レコードを公開することだ。不快なセンサス数値:261,086,232 採点済みドメインのうち 121,145,609 ドメイン(46.4%)は SPF レコードを全く公開しておらず、SPF を公開している 138,927,207 ドメインのうち 36,014 は +all で終わっている — 文字通りインターネット全体に自ドメインとして送信することを許可している(データは 2026-06-29 時点)。

最初の1時間:反応せず確認する

  1. defaults.exposed で無料スキャンを実行する。 30秒、サインアップ不要。DNS に触れる前に、現在ドメインがなりすまし可能かどうかを教えてくれる — SPF が存在して厳格かどうか、DMARC が適用されているかどうか。
  2. 偽メールに返信せず、中のリンクをクリックせず、まだ連絡先に一括メールを送らない。 同じドメインからの「私たちからのメールを無視してください!」という焦ったメールは詐欺とまったく同じように読まれる。警告は後で、対象を絞って帯域外で行う。
  3. 完全なヘッダー付きのサンプルを1通収集する。 受信者に偽メールを添付ファイルとして転送してもらう(Gmail:「元のメールを表示」→ ダウンロード;Outlook:「メッセージのソースを表示」)。From 行のスクリーンショットでは不十分 — ヘッダーが以降のすべての証拠だ。
  4. 受信サーバーがすでに下した評決を読む。 ヘッダーで Authentication-Results: を探す — あなたの完全一致ドメインに対する dmarc=failあなたのドメインのなりすましを確認する;header.from= のそっくりドメインがパス 2 を確認する。細かい点が1つ:受信側は SPF を受信者が見る From ヘッダーではなく Return-Path ドメイン(RFC5321.MailFrom、バウンスアドレス)に対して評価する — なりすましメールでも、From にあなたのドメインを偽造しながらスパマーのドメインで spf=pass を示すことができる。DMARC のアライメントチェックがまさにそのギャップを塞ぐ。

パス 1 — 完全一致ドメインの場合:最初の1日

完全一致ドメインのなりすましは、あなたの DNS が受信側が拒否できるものを何も言っていない間だけ機能する。今日3つのレコードを公開(または強化)する;適用は1週間かけて行う。

  1. SPF: 本物の送信者をリストアップし -all(「他のすべて:失敗」)で終わる1つのレコードを公開する。+all?all で終わっている場合はまずそれを修正する — 自分で公開した開いた穴だ。ウォークスルー:SPF の修正方法、プロバイダー操作:GoDaddy での SPF
  2. DKIM: メールプロバイダーとニュースレター/請求ツールでドメイン署名をオンにする(通常それぞれ CNAME レコード数件)。
  3. DMARC: 今日 v=DMARC1; p=none; rua=mailto:... を公開してレポートを流し始める;p=reject は今時間のプロジェクトではなく今週のプロジェクト — 詳細はDMARC の修正方法。ドメインが正当なメールを一切送らない場合 — 古いブランド、駐車ドメイン — 慎重さを省いて今日ロックダウンする:リブランドからの古いドメインは開けたままの扉

安心する前の正直な注意書き: 適用された DMARC ポリシーは受信サーバーに完全一致ドメインの偽造を迷惑メールまたは拒否するよう伝える — 大手プロバイダーはこれを守る。しかしそれはチェックする受信側にしか拘束力がなく、そっくりドメインには何の効力もない:詐欺師があなたの yourcompany.com として送れなくなると、yourcompany-billing.com の登録は数ユーロだ。DMARC は攻撃を縮小するが、話を終わらせない — 最初の1週間のステップはあなたにも重要だ。

パス 2 — そっくりドメインの場合:これは DNS 修正ではない

自分が所有していないドメインから送られるメールには、自分のドメインに公開するいかなるレコードも影響しない — あなたの DNS は参照さえされない。対処法はテイクダウン+警告だ:

  1. そっくりドメインの背後にいる人物を特定する。 RDAP/WHOIS(例:lookup.icann.org)で調べてレジストラを取得し、ウェブサイトをホストしているか確認する。
  2. 完全なヘッダーサンプルを添付してレジストラの abuse 連絡先に報告する — レジストラは毎日フィッシングドメインを停止している;明確な証拠があれば早い。フィッシングサイト?ホスト、Google セーフ ブラウジング、Microsoft SmartScreen にも報告する。
  3. 受信メールボックスでメールをフィッシングとして報告する(Gmail/Outlook の「フィッシングを報告」)— これによりどんな書状よりも早くそっくりドメインに対して大手フィルターを訓練できる。
  4. 対象となりうる人に帯域外で警告する — 実際に資金流出を止めるステップだ。顧客、サプライヤー、経理担当に電話またはメッセージ(メールだけではなく)する:偽ドメインを具体的に伝え、「あなたから」の銀行口座情報の変更は電話で確認可能にする。その習慣がよく聞く請求書詐欺の話に対する最善の防御だ。
  5. そっくりドメインが商標を侵害している場合、UDRP 申し立てでドメインを移転できる — テイクダウンより遅いが永続的だ。

そしてパス 1 も実行する:攻撃者は実際のドメインがまだ開いている間はそっくりドメインを手間かけて使わないことが多く、89.41% のドメインは DMARC が適用されていない(2026-06-29 時点で 261,086,232 ドメインのうち 27,640,987 — 10.59% — のみが適用している)。自分の扉を閉めること。

最初の1週間:監視、警告、適用

  1. DMARC レポートを読む。 rua= タグが有効になってから1〜2日以内に、集計レポートがあなたのドメインとして送信しているすべてのサーバーを — 本物となりすまし者を、ボリュームと評決付きで — 示す。これが攻撃の収束を監視する方法だ。
  2. 正当な送信者が合格することを確認する。 すべての本物の送信元(メールプロバイダー、ニュースレターツール、請求アプリ、ウェブサイト問い合わせフォーム)が適用前にあなたのドメインにアライメントされた SPF または DKIM で合格する必要がある — さもなければ reject があなた自身のメールも遮断する。
  3. DMARC を p=quarantine、次に p=reject に引き上げる。 活発ななりすましの下では通常の数ヶ月を1〜2週間に凝縮する — しかし段階を凝縮するのであって、スキップはしない。段階的ロールアウト、pct ランプ、サブドメインポリシー:正規メールを失わずに p=none から p=reject へ
  4. 偽メールを受け取った可能性のある取引先に落ち着いた、対象を絞った通知を1通送る: 何が起きたか、偽メールが何を求めていたか、支払い変更の電話確認ルール、そして(パス 2 の場合)ブロックすべき正確なそっくりドメイン。
  5. 再スキャンしてレポートを保管する。 保険会社と顧客はメールセキュリティについて何をしたかをますます尋ねるようになっている;日付入りの採点済みレポートが文書で答える。

よくある質問

自分のアドレスから詐欺メールが届いた。ハッキングされたか? ほぼ常に違う — 「あなたから、あなたへ」の恐喝メールは同じ偽造トリックで、あなたのドメインが偽物を拒否しないという事実を利用している。送信済みフォルダと最近のログインを確認する;問題なければなりすましで、適用された DMARC ポリシーがそれを守るレシーバーでそのバリエーションを止める。2026-06-29 時点で、261,086,232 採点済みドメインの 89.41% がこれをまだ行っていない。

DMARC はそっくりドメインからのメールを止めるか? いいえ。あなたの DMARC ポリシーはあなたの完全一致ドメイン(とそのサブドメイン)のみを管轄する — そっくりドメインは独自の DNS を持つ他人のドメインで、あなたのレコードに対してチェックされることはない。そっくりドメインはレジストラの abuse 報告、フィッシング報告、取引先への警告で戦う — DNS ではない。

p=reject は実際にどれくらい早くなりすましを止めるか? DNS の変更は数時間以内に受信側に届き、Gmail、Outlook、ほとんどの大手プロバイダーが DMARC の評決を適用する — 完全一致ドメインの偽造はポリシーが有効になった日から減り始める。2つの正直な限界:DMARC をチェックしない小規模な受信側は偽メールを引き続き配信する可能性があり、自分の送信者がアライメントする前に適用すると正当なメールも遮断する — 段階を早めるのであって、スキップしない。

オーナーにレポートを送る

これを処理している IT 担当者なら:レコードが有効になったらスキャンを再実行し、採点済みレポートをビジネスオーナーに転送する。なりすましを可能にしたもの、変更したこと、現在のドメインの状態を平易な言葉で示す — 「今は安全か?」への文書による回答であり、保険更新や顧客アンケートの証拠だ。オーナーなら:まさにそのレポートを求め、前後を保管する。

ドメインがなりすまし可能かどうかを無料でチェック

見知らぬサーバーが現在あなたとして通過できるかどうかを確認する — 何を修正すべきかも — プライベートにオーナーのみで。

ドメインをチェックする → · p=none から p=reject へ → · DMARC を修正する → · 誰かが自分のドメインをなりすましできるか? → · 集計データのみ使用。データは EU 内で保存・処理。