Gmailで受信したメールに「メールの送信元が確認できません」や「このメールはなりすましの可能性があります」といった警告が表示されることがあります。これはDMARCやSPFの認証に失敗したことを示しており、メールが正規の送信元から送られたものかどうかが確認できない状態です。しかし、この表示が出たからといって必ずしも迷惑メールや危険なメールであるとは限りません。正規のメールでも設定の不備や転送などによって認証に失敗することがあります。本記事では、そのようなメールを受け取った際に、安全かどうかを自分で判断する方法や、トラブルが発生した場合の対処手順を解説します。会社のメールシステムにおいても役立つ内容ですので、受信トラブルに悩む方はぜひ参考にしてください。
【要点】この記事で確認すること
- 最初に見る場所: メールヘッダーの認証結果(Authentication-Results)とSPF、DKIM、DMARCの各ステータスを確認します。
- 切り分けの軸: 送信元ドメインの設定不備(SPF/DKIM/DMARC)なのか、受信側のフィルターによる誤判定なのか、それともメール転送やメーリングリストによる構造的な失敗かを切り分けます。
- 注意点: 会社のPCで受信した場合は、個人判断でメールを開封したりリンクをクリックする前に、必ずIT管理者やセキュリティ担当に確認してください。また、Gmailの設定を勝手に変更しないでください。
ADVERTISEMENT
目次
1. DMARCとSPFの基本知識
まず、DMARCとSPFが何かを簡単に説明します。SPF(Sender Policy Framework)は、送信元ドメインがどのメールサーバーからメールを送信するかをDNSに登録する仕組みです。受信側はそのレコードを確認して、送信元IPアドレスが許可されたものかどうかを検証します。DKIM(DomainKeys Identified Mail)は、メールに電子署名を付け、送信元ドメインがそのメールを送ったことを保証する仕組みです。DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFとDKIMの認証結果をもとに、認証に失敗したメールをどう扱うか(迷惑メールにする、拒否する、何もしない)を送信元ドメインが指定するポリシーです。Gmailでは、これらの認証結果をメールヘッダーに記録し、条件に応じてユーザーに警告を表示します。
2. DMARCやSPFの失敗表示が出る原因
2.1 送信元ドメインの設定不備
最も多い原因は、送信元ドメインのSPFレコードやDKIM署名の設定が正しく行われていないことです。例えば、正規のサービス(Salesforce, Mailchimp, Google Workspaceなど)からメールを送信しているのに、そのサービスがSPFに含まれていない場合、認証に失敗します。また、DKIMの公開鍵がDNSに登録されていない、または署名が壊れている場合も同様です。
2.2 メール転送やメーリングリストによる失敗
メールを転送した場合、転送先のサーバーがSPFチェックを行うと、元の送信元IPアドレスと転送サーバーのIPアドレスが異なるため、SPF認証に失敗することがあります。同様に、メーリングリストでメールが再配信されると、DKIM署名が壊れることがあります。DMARCはSPFとDKIMの両方を評価するため、片方でも失敗するとDMARCも失敗します。
2.3 受信側のGmail設定やレピュテーションの問題
まれに、Gmail側の受信フィルターが過剰に反応している場合や、送信元IPアドレスの評判が悪い場合にも認証失敗と表示されることがあります。ただし、このようなケースは少なく、多くの場合は送信元設定の問題です。
3. メールの安全性を確認する手順
失敗表示が出たメールが安全かどうかを判断するために、以下の手順でメールヘッダーを確認します。GmailのWeb版を前提とします。
- メールを開き、右上の三点リーダー(その他)をクリックし、「オリジナルを表示」を選択します。
- 新しいウィンドウにメールのヘッダー全体が表示されます。その中から「Authentication-Results」という行を探します。複数行ある場合もあります。
- Authentication-Results行には、spf=, dkim=, dmarc= の各結果が「pass」「fail」「neutral」「none」などで記録されています。例えば「spf=pass dkim=fail dmarc=fail」のような形式です。
- 各認証の結果を確認します。DMARCがfailであっても、SPFとDKIMのどちらかがpassしていれば、正規メールの可能性があります。両方failの場合はなりすましの可能性が高まります。
- さらに、送信元のドメインが自社ドメインか、取引先の信頼できるドメインかを確認します。もし見覚えのないドメインであれば、添付ファイルやリンクを開かずに削除することを推奨します。
- 必要に応じて、送信元IPアドレスをWhoisで調べるか、SPFレコードをdigコマンドで確認することもできますが、通常のユーザーには上記の手順で十分です。
4. 状況別の判断と対処(比較表)
認証結果の組み合わせから、どのように対処すべきかを以下の表にまとめました。参考にしてください。
| SPF | DKIM | DMARC | 判断 | 推奨アクション |
|---|---|---|---|---|
| pass | pass | pass | 完全に正規のメール | 通常通り扱って問題ありません。 |
| pass | fail | fail | SPFは通っているがDKIMが失敗。転送メールなどで発生。 | 送信元が信頼できる場合は開封可。ただし、DKIM失敗の理由を確認(転送など)。 |
| fail | pass | fail | DKIMは通っているがSPFが失敗。SPF設定が不足している可能性。 | 送信元が既知のドメインなら、管理者にSPFレコード追加を依頼。一時的には注意して開封。 |
| fail | fail | fail | 両方失敗。なりすましの可能性が高い。 | 基本的に開封せず削除。どうしても確認が必要なら、別の手段(電話など)で送信者に確認。 |
5. よくある失敗パターンと対処
5.1 正規のメールなのに認証失敗するケース
(1)取引先からのメールがSPF/DKIM失敗:取引先のIT担当者が設定を変更したばかりで、まだDNSに反映されていない可能性があります。時間をおいて再送してもらうか、別の連絡手段で確認します。(2)自社のメールシステムから送ったメールが自分宛に届かない:自社ドメインのSPFレコードに自社のメールサーバーが含まれているか確認します。(3)GmailからGmailへのメールで失敗:これは非常にまれで、もし発生したらGoogleのサポートに問い合わせる必要があります。
5.2 転送メールによる認証失敗
例えば、会社のメールを個人のGmailに転送している場合、転送されたメールはSPFチェックに失敗することがよくあります。この場合、送信元のドメインがSPFの許可リストに転送サーバーを追加するか、DKIM署名を再利用する仕組み(ARCなど)が必要です。受信側では、転送メールであることを認識し、安全性を個別に判断します。
5.3 メーリングリスト経由のメール
メーリングリストで投稿されたメールは、リストサーバーが再送信するため、元のSPF/DKIMが壊れることがあります。多くのメーリングリストは自分自身でSPF/DKIM署名を付けることで対応していますが、設定が不十分な場合は認証失敗が発生します。その場合、メーリングリストの管理者に通知しましょう。
6. 管理者に確認すべき情報
もし自社のドメインから送信したメールが認証失敗になる場合(つまり、社内で送ったメールが受信者側で警告表示される場合)、IT管理者は以下の点をチェックする必要があります。
- SPFレコード: 自社が使用しているすべてのメール送信サービス(Google Workspace、Office 365、マーケティングツール等)のIPアドレスまたはドメインが含まれているか。
- DKIM署名: 公開鍵がDNSに正しく登録されているか、署名アルゴリズムが正しいか。
- DMARCポリシー: ポリシーが「none」(監視のみ)、「quarantine」(迷惑メール扱い)、「reject」(拒否)のいずれか。自社のビジネス要件に合わせて適切に設定しているか。
また、Gmailの認証結果を確認するには、メールヘッダーの「Authentication-Results」行を管理者に転送すると迅速です。管理者はそこから送信元IPやドメインを特定し、設定を修正できます。
7. よくある質問
Q1. DMARCやSPFの失敗表示が出たメールは必ず迷惑メールですか?
A. いいえ、必ずしも迷惑メールとは限りません。特に転送メールやメーリングリスト経由のメールでは認証が失敗することがよくあります。本文の内容や送信者のドメインを総合的に判断してください。
Q2. 会社のメールで認証失敗表示が出た場合、自分で何か設定を変更できますか?
A. 個人では設定変更はできません。必ずIT管理者に連絡し、DNSレコードの修正や送信設定の見直しを依頼してください。Gmailのフィルタ設定を変更して警告を無視することは非推奨です。
Q3. Gmailの受信者に「このメールはなりすましの可能性があります」と表示されるのを防ぐにはどうすればよいですか?
A. 自社ドメインでSPF、DKIM、DMARCを適切に設定することが唯一の方法です。特に、すべての正規の送信元をSPFに含め、DKIM署名を必ず行い、DMARCポリシーを「none」から徐々に「quarantine」「reject」へ強化してください。
Q4. 認証失敗のメールを開いてしまいました。危険ですか?
A. 開封しただけでは通常問題ありませんが、メール内のリンクをクリックしたり、添付ファイルを開いたりしないでください。もし実行してしまった場合は、すぐにIT管理者に連絡し、セキュリティチェックを受けてください。
8. まとめ
GmailでDMARCやSPFの失敗表示が出た場合、まずはパニックにならずにメールヘッダーを確認し、認証結果の組み合わせからリスクを判断することが大切です。SPFとDKIMの両方が失敗している場合は高い確率でなりすましですが、片方のみ失敗の場合は正規メールの可能性もあります。特に転送やメーリングリストが原因のケースは頻繁に発生するため、送信元が信頼できるドメインかどうかを確認してから開封してください。もし自社ドメインから送信したメールで問題が発生している場合は、管理者と協力してDNS設定を適切に整えることで、将来のトラブルを防止できます。この記事で解説した手順を日頃のメールチェックに活用し、安全なメール運用を心がけてください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Gmail】なりすましメールを見分けたい時の送信元と認証情報確認
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】スマホを機種変更した後に認証できない時の確認
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Gmail】配信不能通知が返る時の宛先入力とドメイン確認