【IT管理者が本音で解説】迷惑メール対策の限界と現実的な対処法

「迷惑メールが多いんですけど、なんとかなりませんか？」

こういう問い合わせをよくいただく。

結論から言うと、迷惑メールを完全になくすことはできない。

終わり。

…とはいかないので、なぜなくせないのかを説明していきたい。

メール送信元の偽装が簡単な理由
迷惑メールフィルタの誤検知リスク
SPF・DKIM・DMARC対策技術の限界
今すぐできる迷惑メール対策
迷惑メール対策の隠れたコスト
まとめ

メール送信元の偽装が簡単な理由

まず、なぜ迷惑メールの送信元を偽装できるのかという話をする。

郵便を思い浮かべてほしい。封筒には差出人の欄がある。でも、あの欄は自己申告だ。嘘を書こうと思えば書ける。郵便局は差出人が本物かどうかを確認しない。届けるのが仕事だからだ。

メールも同じ仕組みである。

差出人の欄（Fromアドレス）は、送る側が自由に書ける。「〇〇銀行」と書けば〇〇銀行から届いたように見えるし、「amazon.co.jp」と書けばAmazonからのメールに見える。

「なんでそんな仕組みになっているんだ」と思うかもしれない。

メールの仕組みが作られたのは1970年代だ。当時はインターネットを使う人も限られていて、基本的にお互いを信頼できる環境だった。悪意を持って差出人を偽装する人がいるなんて、あまり想定されていなかったのだ。

善意で成り立つ前提だった。その前提が崩れた今も、基本的な仕組みは変わっていない。

迷惑メールフィルタの誤検知リスク

「じゃあフィルタを厳しくすればいいじゃないか」

そう思うかもしれない。確かに、フィルタの設定を厳しくすれば迷惑メールは減る。しかし、別の問題が発生する。

正規のメールまで弾かれるのだ。

以前、迷惑メールが多いという声を受けてフィルタを強化したことがある。その翌週、こんな連絡が来た。

「取引先からの請求書が届いていないんですけど」

確認したら、迷惑メールフォルダに入っていた。

また別の日には「〇〇会社からのメールが来ないんですが」という問い合わせ。これも迷惑メールフォルダ行きになっていた。正規の取引先からの、正規のメールである。

つまり、こういうことだ。

フィルタを厳しくすると、正規のメールが弾かれる
フィルタを緩くすると、迷惑メールが通り抜ける

どちらに振っても文句が来る。

「迷惑メールが多い」と言われて厳しくすれば「大事なメールが届かない」と言われる。緩くすれば「また迷惑メールが増えた」と言われる。

このジレンマの中で、どこでバランスを取るかという話になるのだ。完璧な解決策は存在しない。

SPF・DKIM・DMARC対策技術の限界

「そんなに偽装が簡単なら、対策技術はないのか」

実はある。SPF、DKIM、DMARCという技術だ。

難しい名前だが、やっていることは単純である。身分証明書のようなものだと思ってほしい。

技術	役割
SPF	「このメールは正規のサーバから送られました」という証明
DKIM	電子署名で「このメールは改ざんされていません」という証明
DMARC	「もし偽物のメールが来たら、こう処理してください」という指示書

これらを正しく設定していれば、偽装メールはかなり防げる。

ただし、問題がある。

全員が対応しているわけではない。

この技術を正しく設定している企業は、実はそこまで多くない。設定していない企業からのメールは、正規のメールなのに「証明書がない」という理由で怪しまれる。最悪の場合、迷惑メールフォルダ行きになる。届かないこともある。

そもそも、この技術の存在を知っている人がどれだけいるだろうか。

メールは「送れば届く」と思われている。設定なんて意識しなくても使える。確かにそうだ。でも、裏側ではこうした技術が動いている。理解していなくても使えるが、理解していないと「なぜか届かない」「なぜか迷惑メールになる」という状況に陥る。

そして、その問い合わせがインフラに飛んでくるのである。

今すぐできる迷惑メール対策

ではどうすればいいのか。

残念ながら、迷惑メールを完全になくす方法は存在しない。ある程度は付き合っていくしかないのが現実だ。

ただ、できることはある。

迷惑メールフォルダを定期的に確認する

大事なメールが迷惑メールフォルダに入っている可能性がある。「届いていない」と思ったら、まず迷惑メールフォルダを確認する習慣をつけてほしい。週に一度でもいい。

怪しいメールの見分け方

差出人の表示名ではなく、メールアドレスを確認する。「Amazon」と表示されていても、アドレスが「[email protected]」のような見慣れないものなら怪しい。

リンクをクリックする前に、リンク先のURLを確認する。マウスを乗せるとURLが表示される。「amazon.co.jp」ではなく「amaz0n-login.com」のようになっていたら偽物だ。

届かないメールがあったら迷惑メールフォルダを見る

「返信が来ない」「請求書が届かない」と思ったら、まず迷惑メールフォルダを確認する。相手を責める前に、自分のフォルダを見る。これだけでトラブルが減る。

完璧な対策はない。しかし、少しの習慣で被害は減らせるのだ。

迷惑メール対策の隠れたコスト

ここで一つ、本音を言わせてほしい。

「迷惑メールをなんとかしてくれ」という依頼はよく来る。それ自体は分かる。迷惑メールは確かに迷惑だ。

ただ、それを無料でなんとかしろという姿勢には正直疑問がある。

迷惑メールの対策には、コストがかかるのだ。

簡単に計算してみよう。

50人の会社があるとする。社員一人あたり、1日10分を迷惑メールの確認と削除に使っているとしよう。たった10分だ。大した時間ではないと思うかもしれない。

1人10分 × 50人 = 500分 = 約8時間（1人分の労働力）

8時間 × 時給1,000円 = 8,000円/日

8,000円 × 月20日 = 16万円/月

迷惑メールの分別作業だけで、月16万円のコストが発生している計算になる。

「分別なんて簡単でしょ」と言う人がいる。簡単なら、バイトを雇えばいい。月16万円で雇えるのだ。でも、そうはしない。社員にやらせる。タダだと思っているからだ。

タダではない。見えていないだけで、コストは発生しているのだ。

まとめ

迷惑メールは完全にはなくせない。

メールの仕組み上、差出人の偽装は簡単にできる。フィルタを厳しくすれば正規のメールが弾かれ、緩くすれば迷惑メールが通り抜ける。どこかでバランスを取るしかないのだ。

そして、対策にはコストがかかる。

「迷惑メールをなんとかしてくれ」と依頼する前に、少し考えてみてほしい。それは本当にタダでできることなのか。見えないところで誰かの時間を使っていないか。

完璧な解決策はない。でも、仕組みを理解して、できることをやっていく。それしかないのだ。