クリニックのドメインから偽メールが送られる前に ― SPF・DMARCの最低限

最初に正直に書いておきます。SPFやDMARCを設定しても、すべてのフィッシングメールは防げません。

「paypay.ne.jp」を装った偽メールはブロックできても、「paypay-info.com」のような似ているけど別ドメインから来るメールは止められません。これは別のフィッシングメール記事で書いた通り、ドメインの見分けはユーザーには難しい現実があります。

それでも、メール認証の3点セット——SPF（Sender Policy Framework：このドメインからの送信を許可するサーバーを宣言する仕組み）、DKIM（DomainKeys Identified Mail：送信メールに電子署名を付けて改ざんを検知する仕組み）、DMARC（Domain-based Message Authentication, Reporting and Conformance：SPFやDKIMが失敗したメールをどう扱うかをドメイン所有者が指示する仕組み）——を入れる価値は大きいです。「クリニックのドメインを名乗った偽メール」を、患者や取引先に届かなくする効果があるからです。

何を防げて、何を防げないか

整理しておきます。

攻撃	SPF/DMARC で防げる？
`your-clinic.jp` を名乗る偽メール	✅ 防げる
`your-clinic-info.com` から来る偽メール	❌ 防げない
似たドメイン（`yyourclinic.jp` 等）からの偽メール	❌ 防げない

SPF/DMARCは「完全に同じドメインの偽装」だけを止める仕組みです。それでも、攻撃者が最も労力なくできる「ドメインの完全偽装」を遮断できるので、入れない理由はありません。

クリニック業界の実態

Cartaスキャンでは、全国1500院以上のクリニックサイトをパッシブに診察しています。メール認証の設定状況はこうなっています。

SPFレコード：8割以上に何らかのレコードあり（ただし中身は別問題）
DKIM：約2割しか設定していない
DMARC：約3割しか設定していない
MTA-STS（Mail Transfer Agent Strict Transport Security：メールサーバー間の通信を必ず暗号化させる仕組み）：ほぼ皆無

「SPFがあるなら大丈夫」と思いたくなりますが、ここに落とし穴があります。SPFレコードが存在しても、ポリシーが ~all（ソフトフェイル）や ?all だと受信側はメールをブロックしてくれません。「SPFを書いただけ」と「実際に偽メールを止める設定」は別物です。

そして、ポリシーを実際に効かせるための仕組みがDMARCです。DMARCは「SPFやDKIMが失敗したメールをどう扱うか」を明示的に宣言します。これが入っていないと、SPFを書いていても実効性は限定的です。

クリニック業界でDMARCを設定しているのは3割。つまり残りの7割は、ドメインを偽装されても受信側で止める仕組みがないということです。

院長として確認すべきこと

技術的な詳細はベンダーに任せて構いません。院長としては、以下を確認するだけで十分です。

SPF・DKIM・DMARCの3つが設定されているかベンダーに聞く。「設定しています」だけでは不十分です。3つそれぞれが入っているか、確認してください。
DMARCのポリシーが何か聞く。DMARCには p=none、p=quarantine、p=reject の3段階があります。none は「監視のみ」で、偽メールを実際にブロックしません。最終的には quarantine か reject まで上げる必要があります。
自分でも確認する。Cartaスキャンに自院のドメインを入力すると、SPF・DKIM・DMARC・MTA-STSの設定状況がすぐに分かります。ベンダーの回答と突き合わせると、実態が見えます。

何を守っているのか

最後に、なぜこれが医療機関で重要なのか。

クリニックのドメインを偽装した「予約変更のお願い」「健康診断結果のご連絡」のようなメールが患者に届いたら、患者はクリックします。そこから個人情報の窃取、マルウェア感染、医療不信——どれも起き得ます。

院長を守るためだけでなく、患者を守るための対策でもあります。SPF・DKIM・DMARCはコストはほぼゼロで、設定だけで効果が出る数少ない対策です。今日、ベンダーに一行だけメッセージを送ってみてください。「うちのドメインのSPF・DKIM・DMARCは設定されていますか？」と。