【実務ログ】社長名を騙る迷惑メールが急増。全社移行せず、レンタルサーバーを防波堤にした話

2026.02.12

これは「教科書通りのメールセキュリティ」ではなく、中小企業の現場で“現実的に回る”対策を探した記録です。

年始に入ってから、社内の迷惑メールの様子が明らかに変わりました。

特に目立ったのが、社長名を騙るなりすましメール
宛先は、

  • info
  • recruit
  • sales

といった、いかにもロボットが狙いそうなメーリングリスト宛が中心です。

文面は一見それっぽいのですが、

  • 表示名と実際の送信元が一致しない
  • 日本語が微妙におかしい
  • どこかで見たような定型文

といった、典型的な詐欺メールの特徴がありました。

最初は「年始で増えただけかな」と思っていたのですが、数日経っても減らず、
現場として無視できないレベルになってきました。

使っていたメール環境の限界

今回、対策を考えるうえで一番ネックだったのが、
既存のメール環境がかなり古い契約だったことです。

  • 迷惑メールフィルタは最低限
  • 細かい条件指定ができない
  • メールヘッダーを見た振り分けが弱い

最近のなりすまし系スパムに対しては、正直かなり厳しい印象でした。

「そろそろ移行した方がいいのは分かっている」
でも、現実はなかなか動けません。

中小企業あるある:分かっていても移行できない

メール環境を最新化すれば解決しそうなのは分かっています。

ただ、現実には、

  • メール設定を触れる人がほぼいない
  • 数十台〜100台近い端末がある
  • 少人数体制で全台再設定はかなり厳しい

という状況。

中小企業あるあるですが、
**「分かっているけど、すぐには動けない」**典型パターンです。

そこで今回は、考え方を切り替えました。

方針転換:「全部は変えない」

今回の条件は、次の3つ。

  • 既存のメール環境は極力そのまま
  • クライアント側の設定変更は最小限
  • それでも迷惑メールは減らしたい

この条件で色々考えた結果、
レンタルサーバーを“間に挟む”構成に行き着きました。

XServerを「メールの防波堤」として使う構成

今回使ったのは、XServerのレンタルサーバーです。

構成はかなりシンプルで、

既存メールサーバー
→ XServerへ転送
→ XServer側で迷惑メール判定・振り分け
→ 問題なければ各担当者へ再転送

という流れ。

XServerを簡易メールゲートウェイとして使うイメージです。

この方法のメリットは、

  • 既存環境をほぼ触らずに済む
  • 迷惑メールフィルタ性能だけを強化できる
  • 低コストで導入できる

という点。

全社移行が難しい状況では、かなり現実的な落としどころでした。

今回の対策は「メーリングリスト宛限定」

先に注意点を書いておきます。

この構成は、

info / keiri / recruit などのメーリングリスト宛メール対策が主目的

です。

  • 個人宛メールすべてを守る構成ではない
  • 全社のメールセキュリティ刷新ではない

あくまで、

「一番狙われやすく、事故が起きやすい代表アドレスを守る」

ための、現実的な応急+運用対策という位置づけです。

XServerのメール振り分け機能

XServerのレンタルサーバーでは、

  • 通常のメールアカウント作成
  • サーバー側での詳細な振り分け設定

が可能です。

条件としては、

  • メールヘッダー
  • 件名・本文のキーワード
  • 表示名・送信元の組み合わせ

など、かなり細かく指定できます。

今回は、

  • 表示名が社長名なのに送信元が外部
  • 件名・本文に不自然な定型文が含まれる
  • メーリングリスト宛では通常使われない開封通知系ヘッダー

といった条件を組み合わせ、
該当するメールは自動で迷惑メールフォルダへ振り分ける設定にしました。

特別なツールや有料オプションは使っていません。
XServer標準機能のみです。

DMARC(受信)設定についての補足

今回のように 外部サービスへメールを転送して迷惑メール判定を行う構成 の場合、
Xserver側の 受信DMARCはオフにしておいた方が安全 だと感じています。

実際に、受信DMARCを 有効のまま転送環境で運用 していたところ、
正常なメールまで「予期せぬ転送」と判定され、削除されてしまう事象 がありました。

DMARCはセキュリティ的に有効ですが、
転送+外部フィルタ構成では誤検知の原因になりやすい 印象です。

そのため、転送環境を使う場合は受信DMARCはオフ推奨 としています。

※ Xserver単体運用の場合は、有効のままでも問題ないケースが多いです。

実際の効果(体感)

完璧にゼロになるわけではありませんが、

  • 目に入る迷惑メールは激減
  • 社長名なりすまし系は、ほぼ隔離
  • メーリングリスト経由の事故リスクが大幅に低下

という体感です。

特に、

人が開く前に隔離されている

この状態を作れたのは、精神的にもかなり楽になりました。

向いているケース・向いていないケース

向いているケース

  • 古いメール環境を使っている
  • メーリングリスト宛の迷惑メールに困っている
  • 全社移行は難しいが、被害は止めたい

向いていないケース

  • 個人宛メールまで含めて完全対策したい
  • 高度なメールセキュリティ製品をすでに導入している
  • 全社でクラウドメールへ統一できる

まとめ:現場としての落としどころ

今回は、

環境を大きく変えずに、実害を止める

ことを最優先にした対応でした。

XServerのレンタルサーバーは、
今回のように**「メーリングリスト宛メールの防波堤」**として使う分には、
コスト・手間・効果のバランスがかなり良いと感じています。

年始から急に怪しいメールが増えた、
代表アドレスが狙われている、
でも全社移行は現実的じゃない。

そんな状況なら、一度検討する価値はある構成だと思います。

※ 本記事では、実際に業務で使用している XServerレンタルサーバー を紹介しています。
メール運用やWeb運用の実務用途として、私は現在この構成で運用しています。