結論から言います。
見た目や差出人アドレスだけでは、公式メールかどうかは判断できません。
決定打は「メールヘッダー」です。※本記事は「PayPayが危険」「PayPalが安全」といったサービスの優劣を示すものではありません。あくまで今回実際に届いた2通のメールを、技術的に検証した結果を比較したものであり、どの事業者であってもなりすましメールの被害に遭う可能性があることを前提としています。
なぜ今、公式メールの見極めが重要なのか
- 金融・決済系サービスを狙ったフィッシングが急増
- 送信元アドレスは簡単に偽装できる
- 日本語・ロゴ・署名まで“本物そっくり”
「公式っぽい」は、もう安全の根拠になりません。
今回比較する2通のメール
| 区分 | メールの正体 |
|---|---|
| PayPayカード | ❌ フィッシング(なりすまし) |
| PayPal | ✅ 公式メール |
両者の違いは、本文ではなく メールヘッダー に明確に表れていました。
比較①:SPF(送信元サーバーの正当性)
PayPayカード(偽)
spf=softfail
送信IPが公式に許可されていない
PayPal(公式)
spf=pass
PayPalが許可した送信サーバー
比較②:DKIM(改ざん防止の電子署名)
PayPayカード(偽)
dkim=none
PayPal(公式)
dkim=pass
署名ドメイン:communications.paypal.com
比較③:DMARC(最終判定ルール)
PayPayカード(偽)
dmarc=fail (policy=reject)
PayPal(公式)
dmarc=pass (policy=reject)
比較④:送信元サーバーとIP
| 項目 | PayPay偽 | PayPal公式 |
| 送信IP | 海外汎用ホスティング | PayPal公式MX |
| ホスト名 | 不自然 | mx*.paypal.com |
比較⑤:文字コードという“見落としがちな違和感”
PayPayカード(偽)
charset=iso-8859-1
PayPal(公式)
charset=UTF-8
一目で分かる総合比較表
| チェック項目 | PayPay偽 | PayPal公式 |
| From表示 | 公式風 | 公式 |
| SPF | softfail | pass |
| DKIM | なし | pass |
| DMARC | fail | pass |
| 送信IP | 不審 | 正規 |
| 総合判定 | 詐欺 | 正規 |
実践編:読者が今すぐできるチェック手順
- 差出人アドレスだけで判断しない
- メールソフトで「メールのソース/ヘッダー」を表示
- 以下3点を見る
- SPF:pass?
- DKIM:pass?
- DMARC:pass?
- 1つでもfailならリンクは踏まない
まとめ
公式メールを信じる時代は終わりました。
✔ 本物は 技術的に破綻しない
✔ 偽メールは 必ずどこかで失敗する
「公式に見える」ではなく
「公式として検証できる」かどうか
これが、これからのセキュリティリテラシーです。
でも、メールヘッダーを細かくチェック✅するのは現実的ではありませんよね?
生成AIへ「メールヘッダー」をそのまま投げれば判定してくれます。
誠ちゃん
最後まで読んでいただき、ありがとうございます!
