ドメインを取ったあとに、急に迷惑メールや怪しい更新通知が増えることがあります。
最初に見るべき場所は、メール本文ではなくドメインの公開情報と管理画面です。
焦ってメール内のリンクを開く前に、WHOIS情報、公開代行、ドメイン管理画面、送信ドメイン認証を順番に見れば、かなり落ち着いて切り分けられます。
この記事では、ドメイン取得後の迷惑メール対策を、会社サイトの実務で使える形に整理します。
要点迷惑メール対策は3つに分ける
ドメイン取得後の対策は、WHOIS公開範囲を減らす、詐欺メールを見分ける、自社ドメインのなりすましを防ぐの3つに分けると進めやすくなります。
ドメイン取得後に迷惑メールが増える主な原因
ドメイン取得後に迷惑メールが増えたとき、原因を1つに決めつけるのは危険です。
WHOIS情報が収集された可能性はありますが、問い合わせフォーム、過去に公開したメールアドレス、名簿、メールアドレスの推測送信など、別の入口もあります。
ただ、ドメイン取得直後というタイミングなら、まずWHOISを疑うのは自然でしょう。WHOISはドメインの登録情報や連絡先を確認するための仕組みで、技術的な連絡や紛争解決などのために使われます。
一方で、公開情報である以上、営業目的や迷惑メール目的で収集される余地もあります。
出典: JPRS「Whoisとは」
WHOISは公開目的のある仕組み
WHOISそのものは、危険な仕組みではありません。ドメインの登録者や連絡先を確認できる状態にしておくことで、技術的なトラブル時の連絡、同じようなドメイン名の確認、紛争解決などに役立つ仕組みです。
問題は、会社の担当者名、個人メール、電話番号、住所などを必要以上に見える状態にすることです。
事業用ドメインでは、公開する必要がある情報と、代理公開で守れる情報を分けて考えます。
出典: JPRS「JPドメイン名の登録情報等の開示について」
WHOIS以外にも迷惑メールの入口はある
「公開代行を入れたのに迷惑メールが止まらない」という相談は、切り分けを間違えていることがあります。
公開代行は今後の公開範囲を減らす対策であって、すでに収集された情報やフォーム経由の営業メールを消すものではありません。
会社サイトにメールアドレスをそのまま載せている場合や、問い合わせフォームに迷惑投稿が来ている場合は、WHOISとは別の対策が必要です。
サイト全体の守り方は、ホームページのセキュリティ対策で最低限見る項目もあわせて確認すると、抜け漏れを減らせます。
まず確認する場所は3つ
迷惑メールが増えたときは、メールの正体を先に決めつけないことが大事です。
最初の10分で見る場所を3つに絞ると、社内でも外部パートナーにも説明しやすくなります。
| 確認場所 | 見る内容 | 次の判断 |
|---|---|---|
| WHOIS | 担当者名 メール 電話番号 | 公開代行を確認 |
| 管理画面 | 更新期限 支払い 認証通知 | メールが本物か照合 |
| 受信経路 | 直接メール フォーム 転送先 | 対策を分ける |
ドメイン自体の管理が曖昧な場合は、迷惑メール対策以前に契約情報の棚卸しが必要です。
名義、更新期限、管理会社、支払い方法は、ドメイン管理で確認すべき項目と重なります。
- 差出人名だけで本物と判断しない
表示名は偽装されることがあるため、リンク先と管理画面の通知を見ます。 - メール内リンクを開かない
公式管理画面をブックマークや直接入力から開きます。 - 受信した部署を社内で共有する
経理、総務、Web担当、代表宛てに似たメールが届いていないか確認します。 - WHOISとフォームを分けて見る
直接メールならWHOISや公開メール、フォーム経由ならフォーム側の対策を優先します。
WHOIS情報公開代行でできる対策
WHOIS情報公開代行は、登録者本人の情報の代わりに、ドメイン事業者などの情報を表示する仕組みです。
エックスサーバー公式マニュアルでは、対象ドメインでWhois代理公開サービスやWhois初期設定を確認する手順が案内されています。
ここで大事なのは、取得済みドメインの公開状態と、今後取得するドメインの初期値を分けて確認することです。
新しく取るドメインでは初期値が効いていても、過去に取得したドメインで個別設定が残っていることがあります。
エックスサーバー利用者が見る設定
エックスサーバーやXserver Domainを使っている場合は、管理画面のWhois関連設定で、代理公開や初期値を確認します。
公式マニュアルでは、XServerアカウントのWhois初期設定から、新規取得や移管時に使うWhois情報の初期値を確認できると案内されています。
実務では、次の順で見ると迷いにくいです。
最初に対象ドメインの現在の表示を確認し、次に今後の初期値を整える。この順番です。
- 対象ドメインの種類を確認する
.com、.jp、co.jpなど、ドメイン種別により公開項目や設定が変わります。 - 現在のWHOIS表示を確認する
担当者個人のメール、電話番号、住所が外から見えていないか確認します。 - 代理公開の状態を見る
事業者名義で代理公開されているか、管理画面の表示で確認します。 - JP系は登録者名非表示も見る
公開代行とは別に、登録者名非表示の設定が用意されている場合があります。
出典: Xserver Domain「Whois初期値設定」
注意公開代行は万能ではない
公開代行を入れても、すでに収集されたメールアドレスや、フォーム経由の迷惑投稿までは消えません。今後の露出を減らす対策として捉えてください。
これから会社ドメインを選ぶ段階なら、公開代行の有無だけでなく、管理しやすさや信用面も見ておくと後が楽です。
.jpと.comの違いを含めたドメインの選び方も、取得前の判断材料になります。
ドメイン登録をかたる詐欺メールの見分け方
迷惑メールの中でも危ないのは、ドメイン失効、アカウント認証、支払い失敗を装うメールです。
ドメインが止まるとホームページもメールも困るため、担当者が焦ってクリックしやすくなります。
見分け方の基本は単純です。メール内リンクではなく、公式管理画面を直接開いて確認する。
管理画面に同じ通知がなければ、メール本文の指示に従う必要はありません。
警告期限切れ通知ほど一呼吸置く
「本日中に停止」「認証しないと失効」といった文面ほど、先に公式管理画面を見ます。リンク先の見た目が本物に似ていても、管理画面で確認するまでは入力しないでください。
社内で共有する確認ルール
ドメイン関連の詐欺メールは、Web担当者だけに届くとは限りません。代表、経理、総務、問い合わせ窓口に届くこともあります。
そのため、ドメインやサーバー関連のメールは、担当者が一人で判断しないというルールを作っておくと安全です。
エックスサーバー名をかたるメールへの見方は、エックスサーバーのなりすましメール対策でも詳しく整理しています。
すでに開封や入力をしてしまった場合は、スパムメールを開封した後の対応を先に確認してください。
ドメイン更新期限の不安がある会社は、詐欺メール対策とあわせて、正規の更新管理も整えておくべきです。
本物の更新漏れと偽物の失効通知を混同しないために、ドメインの有効期限管理を台帳化しておきます。
SPF、DKIM、DMARCは何を守るのか
ドメインの迷惑メール対策でよく出てくるのが、SPF、DKIM、DMARCです。
ここで誤解しやすいのは、これらが自社に届く迷惑メールを直接消す設定ではないことです。
SPF、DKIM、DMARCは、送信ドメイン認証と呼ばれる仕組みに関係します。簡単に言えば、受信側のメールサーバーに対して、このメールは本当にそのドメインから送られたものかを判断してもらうための土台です。
出典: Anti-Phishing Council「送信ドメイン認証技術導入マニュアル」
自社ドメインのなりすましを減らす設定
会社の独自ドメインでメールを送っているなら、SPF、DKIM、DMARCは棚卸し対象です。
GoogleもGmail送信者向けのガイドラインで、送信者認証やDMARCなどに触れており、メールを正しく届ける上でも無視しにくい項目です。
ただし、設定を急いで上書きするのは避けてください。メール送信元が、会社メール、Google Workspace、メール配信ツール、問い合わせフォーム通知などに分かれていると、どのサービスをSPFに含めるかでミスが起きます。
出典: Google「Email sender guidelines」(英語)
メモSPF、DKIM、DMARCはDNS設定を触ります。設定前に現在のレコードを控え、送信元サービスを洗い出してから作業してください。
今日やるチェックリスト
ここまでの内容を、実務の順番に戻します。
迷惑メールが届いた日に全部を完璧に直す必要はありません。まずは、危ないリンクを踏まないことと、公開情報を減らすことから始めてください。
- 不審メールのリンクを開かない
管理画面は公式URLから直接開きます。 - WHOISで公開情報を見る
個人名、個人メール、電話番号、住所が出ていないか確認します。 - WHOIS情報公開代行を確認する
対象ドメインで有効か、今後の初期値も含めて見ます。 - JP系ドメインの非表示設定を見る
登録者名非表示など、ドメイン種別ごとの設定を確認します。 - 送信元サービスを洗い出す
会社メール、フォーム、配信ツールのSPF、DKIM、DMARCを確認します。 - 社内の共有ルールを作る
ドメイン、サーバー、支払い関連メールは一人で判断しない形にします。
相談目安DNSやメール設定は無理に触らない
WHOISの確認までは社内でも進めやすい一方、SPF、DKIM、DMARCはメール停止につながることがあります。現在のDNSレコードの意味が分からない場合は、管理会社や制作会社に依頼するほうが安全です。
ノーサイドでは、ドメイン、サーバー、WordPress保守、メール設定まわりをまとめて確認できます。
誰の名義で、どこまで公開され、何を直せばいいかが分からない場合は、お問い合わせフォームから状況をお知らせください。
よくある質問
Qドメイン取得後に迷惑メールが急に増えるのはなぜですか?
AWHOIS公開情報、問い合わせフォーム、過去に掲載したメールアドレスなど、複数の入口が考えられます。取得直後なら、まずWHOIS情報と公開代行設定を確認します。
QWHOIS情報公開代行を設定すれば迷惑メールは止まりますか?
A今後の露出を減らす効果はありますが、すでに収集された情報や別経路のメールは残ることがあります。完全停止ではなく、リスクを下げる対策として考えます。
Qエックスサーバーではどこを確認しますか?
AXServerアカウントのWhois初期設定や対象ドメインのWhois設定を確認します。ドメイン種別により、代理公開や登録者名非表示の扱いが変わります。
Qドメイン更新や認証を求めるメールは本物ですか?
Aメールだけで判断せず、公式管理画面を直接開いて確認します。管理画面に同じ通知がなければ、メール内リンクから手続きしないでください。
QSPF、DKIM、DMARCを設定すれば受信迷惑メールは減りますか?
ASPF、DKIM、DMARCは主に自社ドメインのなりすまし送信を受信側に判定してもらう仕組みです。自社に届く迷惑メールを直接止める設定ではありません。
Q自社で対応すべき作業と外注すべき作業はどう分けますか?
AWHOIS表示や管理画面通知の確認は自社でも進めやすい作業です。DNSレコードやメール認証の変更はメール停止リスクがあるため、不安があれば外部に依頼します。
まとめ
ドメイン取得後の迷惑メールは、WHOISだけで説明できるとは限りません。
ただ、ドメイン取得直後なら、WHOIS公開情報と公開代行設定を先に見る価値があります。
次に、ドメイン登録や更新をかたる詐欺メールは、メール内リンクではなく公式管理画面で確認します。
最後に、会社の独自ドメインでメールを送っているなら、SPF、DKIM、DMARCを棚卸ししてください。
公開情報を減らす、詐欺メールを踏まない、なりすまし送信を防ぐ。
この3つを分けて進めれば、担当者が一人で抱え込まなくても、会社ドメインの守り方はかなり整理できます。