変更履歴
- Rev. 0.7 : 2026年05月09日
- 新規作成
1 はじめに
本記事では、誤判定の少ない迷惑メール・フィルターの条件式を紹介します。
一般的には、特定のメールアドレスやドメインで判定する、
件名や本文中に特定の文字列を含んでいることで迷惑メールだと判定する
手法が多いかと思います。
この方法は、下に言及するようにほとんど用を無しません。
迷惑メールの主であるフィッシングメールは、メールアドレスやドメインを次々と
変えて送ってきます(追跡すると、ほぼ同じところから発信されているようなのですが)。
ですから、送られてきたメールアドレスをフィルタリング登録しても、全く機能しません。
件名や本文中に特定の文字列を含んでいることでフィルタリングするのも、
万能なキーワードを見つけ出すことはほぼ不可能です。
本記事で紹介する方法でも、全ての迷惑メールをフィルタリングできるわけではありません。
多少ではありますが、このフィルタリング設定で
誤判定なく迷惑メールを振り分けることができるようになります。
Windows DeskTop版OutLookと Thunderbird へのフィルター設定例も示します。
2 迷惑メール判定条件
本章では、どのような条件式で迷惑メールであると判定するのかを明確にします。
条件A: メールヘッダー
DMARC
検証結果がFail
条件B: 発信元が特定の国(チウゴクなど)
条件C: 発信者および受信者が自分となっている
こちらのページも併せてご覧いただければと思います。
【DMARC / Email】
送信ドメインを詐称しているDMARCエラーのメールをフィルタリングする
| dotいがの快適インターネット
本記事では、上の記事に条件Bと条件Cのフィルター条件式が追加されています。
他にも、汎用的な迷惑メール判定方法があれば、 お問い合わせまで お教えいただけると幸いです。
2.1 条件A: メールヘッダーのDMARC検証結果がFail
メールヘッダーの“Authentication-Results:”で、DMARCが“dmarc=fail”となっている。
これは、発信元を詐称している可能性が非常に高いメールであることを示しています。
最近では、フィッシングメールといえども、
多くは堂々と自ドメイン名を名乗ってきていますから、この条件は万能ではありません。
少なくとも、怪しいメールであることがわかります。
なお、“dmarc=fail”のメール全てが、 発信元を詐称しているわけでは無いことに注意が必要です。
一部のショッピングサイトでは、
複数あるドメインの設定でDMARC設定を行っていない場合があります。
たとえば、2026年05月現在、下に示すドメインの一部からの発信メールには
DMARC設定がなされていません。
・ レンタルサーバー会社の一部のドメイン発信のメール
・ GMOとくとくBBの一部のドメイン発信のメール
・ 宝くじ公式サイト
・ などなど
このようなドメインからのメールは、フィルターに除外設定を行えば、
迷惑メールに振り分けられることはなくなります。
2.2 条件B: 発信元が特定の国(チウゴクなど)
フィッシングメールの7~8割が、
特定の国(チウゴク)からの発信です。
この国からのメールをフィルタリングすれば、かなりの迷惑メールを減らすことができます。
チウゴク発信であることは、次のことからわかります。
① エンベロープFromのトップレベルドメインが“.cn”
② メールヘッダー“Date: ”のタイムゾーンが“+0800”(“+0700”を加えても良い)
③ 発信元IPアドレス
③の発信元IPアドレスからは、どこの国からのメールであるかをほぼ完全に判別できます。
都市までが追跡可能となっています。
チウゴクに割り当てられているIPアドレスグループは、
CIDR
表記でさえ5,000以上です。
これら全てのCIDRをメールソフトにフィルター設定するのは現実的ではありません。
そもそもが、OutLook、Thunderbirdのメールソフトのフィルター管理では、
CIDR表記を解釈できません。
①、②は、③の代わりに簡易的に利用するものです。
①、②による判定は、完璧ではないことに注意が必要です。
最近、日本のメールサービスプロバイダを利用しているのか?、
日本発信のように偽装しているフィッシングメールが多くなってきています。
やはり、正確にどこの国から発信されたメールであるかは、
発信元IPアドレスから辿っていかなければなりません。
ちなみに、タイムゾーン“+0800”はチウゴク、日本は“+0900”です。
タイムゾーン“+0700”は、東南アジアの国々です
(メール本文中のフィッシングサイト・リンクURLから、
ドメイン名登録がチウゴクとなっているなどで、どうもサイトオーナーはチウゴクである
ケースが多いようだ)。
2.3 条件C: 発信者メールアドレスが自分のものとなっている
多くの方は、下に示すようなメールを受信することは無いかと思います。
メールの発信者が自分となっている。
メールソフト設定テスト以外に、このようなことはありえません。
このようなメールは、完全なイヤガラセあり、ほとんどが脅迫であり金銭を要求しています。
これもフィッシングのひとつと言えます。
このようなメールは、見たくもありません。
3 Outlookへのフィルター設定
本章では、
2章で示した迷惑メール判定条件の
Outlookへのフィルター設定方法について示します。
3.1 フィルターの設定手順
以下に示す手順で、迷惑メール・フィルターを設定します。
1. トップメニュー「ファイル」を選択、開いた画面から「仕分けルールと通知」を選択します。
2. 開いた「電子メールの仕分けルール」画面タブの「新しい仕分けルール」を選択します。
3. 「新しい仕分けを作成します」画面の
「ステップ1: テンプレートを選択してください」の「メッセージの整理」から
「特定の人から受信したメッセージをフォルダーに移動する」を選択します
(図3.1-1参照)。
4. 「条件を指定してください」の画面が開くので、フィルター条件を設定します
(図3.1-2参照)。
5. 「処理を選択してください」の画面において、次のどちらかの処理を選択します。
・「削除する」(「削除済みアイテム」フォルダーに移動されるだけです)
・「削除する(復元できません)」
6. 例外条件があれば、「例外条件を選択します」の画面においてその条件を設定します。
3.2 条件Aのフィルター
条件Aの設定すべき値は、次のようになります。
メッセージヘッダーに次の文字が含む
“dmarc=fail”
念のため次の文字を含めると、判定精度が高まります。
“dmarc=none”、“spf=fail”、“dkim=fail”
「条件を指定してください」の画面で、次のものにチェックを入れます
(図3.2-1参照)。
①「このコンピューターで送受信を行った場合」
②「メッセージヘッダ―に特定の文字が含まれる場合」
②の「特定の文字」をクリックします。
図3.2-2において、先に示した文字を入力します。
「処理を選択してください」の画面で、次の処理を選択します。
・「削除する」
最後に、仕分けルールに名前を付け、ルールを保存します。
3.3 条件Bのフィルター
Outlookでは、条件Bのフィルター設定はできません。
設定すべき値は、次のようになります。
① メッセージヘッダーに、
“Received:”かつ“.cn”の文字が含まれている
② メッセージヘッダーに、
“Date:”かつ“+0800”の文字が含まれている
上の2つの設定値において、Outlookでは赤下線部のANDの条件式を設定できないからです。
“.cn”、“+0800”の単独文字設定では、誤判定が増えるものと考えられます。
3.4 条件Cのフィルター
「条件を指定してください」の画面で、次のものにチェックを入れます。
①「このコンピューターで送受信を行った場合」
②「[差出人]が名前/パブリックグループの場合」
③「[宛先]または[CC]に自分の名前がある場合」
“名前/パブリックグループ”に自分のメールアドレスを追加します。
この条件にマッチするメールは、100%迷惑メールです。
「処理を選択してください」で、下に示す処理をチェックします。
・「削除する(復元できません)」
4 Thunderbirdへのフィルター設定
本章では、
2章で示した判別条件式フィルターのThunderbirdへの設定方法について示します。
4.1 フィルターの設定手順
以下に示す手順で、迷惑メール・フィルターを設定します。
1. 受信トレイ左ペインから目的のアカウントを選択します。
表示された右ペイン上部の「メッセージフィルターを管理」を選択します。
2. 「メッセージフィルター」画面右側の「新規」、
または既存フィルターを編集する場合には「編集」を選択します。
3. 「フィルターの設定」画面において
これからするフィルター設定ための事前準備として、
チェックすべきメールヘッダー項目を追加しておきます。
・ 条件式/「件名」のプルダウンを開き、「カスタムヘッダー」を選択します
(図4.1-1参照)。
「カスタムヘッダー」画面において、次の3つのメールヘッダー項目を追加します
図4.1-2参照)。
・ Authentication-Results
・ Received
・ Date
4. フィルター条件を設定します。
5. 次のどちらかの処理を選択します。
・「削除する」
・「指定フォルダーへ移動する」
「迷惑メール」フォルダーを選択するか、別の新しく作成したフォルダーを選択します。
4.2 条件Aのフィルター
条件Aの設定すべき値は、次のようになります。
① “Authentication-Results”に“dmarc=fail”を含む
② “Authentication-Results”に“spf=fail” を含む
③ “Authentication-Results”に“dkim=fail” を含む
①、②、③の「いずれかの条件に一致」した時のDMARCエラーのメールであっても、
迷惑メールではない可能性もあるので削除せず次の動作を行うものとします。
「迷惑メール」フォルダーに「メッセージを移動する」
4.3 条件Bのフィルター
条件Bの設定すべき値は、次のようになります。
① “Received”に”.cn”を含む
② “Date”に”+0800”を含む
①、②の「いずれかの条件に一致」した時、このメールは100%迷惑メールです。
次の動作を行うものとします。
・ 「メッセージを削除する」
4.4 条件Cのフィルター
条件Cの設定すべき値は、次のようになります。
① 「差出人」に”<自分のメールアドレス>”を含む ② 「宛先」に”<自分のメールアドレス>”を含む
①、②の「すべての条件に一致」した時、このメールは100%迷惑メールです。
次の動作を行うものとします。
・ 「メッセージを削除する」
5 フィッシングメール、迷惑メールを通報する
迷惑メールを受信したら、
「
フィッシング対策協議会」、
「
迷惑メール相談センター」などに通報しましょう。
実体験から受信する迷惑メールの総数が減ることはないと思いますが、
少なくとも「
特定電子メール法」に違反しているメールについては、
発信業者に対して警告を行ってくれるそうです。
詳しくは、次のページをご覧いただければと思います。
以上
本記事の元となっているWordで作成したPDFを
ページ最後に貼り付けました。
少しでも役に立てていただければ、うれしく思います。
このPDFファイルは、自由に配布されてもかまいません。
ただし、再配布の際には、
入手元と著者名は明らかにしてください。
なお、上のPDFファイルの内容、また本文中の記述に、
誤字や脱字、誤った内容の記述など見つかりましたら、
下に示すフォームでご連絡いただければ幸いです。
コメント