なぜ 1 通から始められるか
なりすましメールの多くは、 社内メールサーバーを侵害しなくても届きます( DMARC がない場合など)。 受信した 1 通には、 差出人ドメイン・送信経路の手がかりがヘッダに残っていることがあります。
外部攻撃面レビューの縮小版として、 「このドメインは第三者から見てどう見えるか」を SPF / DKIM / DMARC 中心に事実整理し、 読みやすい報告書にまとめる依頼形態です。 御社の Microsoft 365 / Google 管理画面へのログインはお願いしません。
お預かりするもの(例)
- .eml ファイル — Outlook 等で「名前を付けて保存」した原本(1 通で可)
- 確認したいドメイン名 — ヘッダの From ドメイン、Return-Path 等(契約時にすり合わせ)
- 背景メモ(任意) — いつ届いたか、社内で同様の連絡があったか
.eml は当社事業所内の閉域環境でのみ解析します。 クラウドのファイル共有や調査 SaaS への預け込みは行いません。
調査で「見る」ことの例
| 観点 | 内容(例) |
|---|---|
| ヘッダ | From / Return-Path / Received の整合 — 契約範囲内の読み取り・記録 |
| DNS(公開) | 該当ドメインの SPF / DKIM / DMARC レコードの有無と内容 |
| 送信元 IP | ヘッダから読める送信元と SPF 許可リストの対応(事実の記述) |
| 説明 | 「なりすましの可能性」「御社ドメイン設定の問題か」の切り分けを平易に |
目的は犯人特定や警察対応の代行ではなく、 事実と次に社内で確認すべき点の共有です。
含まないこと(よくある誤解)
- メールボックス全体のフォレンジック、他ユーザーへの横展開調査
- 送信者の身元特定、開封トラッキングの逆追跡
- 実際になりすましメールを送って再現する検証(別スコープ・要許可)
- 第三者ドメイン・無許可資産への調査
1 通のあとに広げる場合
単発で終わらず「御社ドメイン全体を地図化したい」場合の入口例です。
- 代表ドメイン 1 件のライト調査 — 公開情報のみ(外部攻撃面)
- メール認証の深掘り — SPF、DKIM、DMARC 強化
- ゲートウェイと SPF の整合 — MX・BEC 対策ベンダー
段階を上げる目安は攻撃面 → 脆弱性診断 → 必要ならペンテストです(いずれも別契約・別スコープ)。
調査データは閉域環境内で扱います
お預かりした .eml と調査結果は閉域環境内のみで保管・処理します。 公開 DNS 等への問い合わせは発生します。 報告書は基本メールで納品し、調査画面のログインはお渡ししません。