Catch-all メールアドレスのリスクと代替策|Web 担当者向けの判断材料
目次
この記事でわかること
- catch-all(万能受信)の動作と、よく使われる場面
- catch-all が引き起こす 4 つのリスク(スパム / なりすまし / 列挙攻撃 / 監査困難)
- 個別エイリアス運用 + サブアドレスで代替する手順
- どうしても catch-all が必要な場合の緩和策
catch-all とは
catch-all は、ドメイン宛の 存在しないローカルパート全て を 1 つのメールボックスで受け取る設定です。alice@example.com bob@example.com xyz123@example.com などすべて info@example.com 等に集約されます。Google Workspace では「未配信メールの受信者」、Microsoft 365 では「Accept Domain」の catch-all 設定で実現します。
4 つのリスク
1. スパム流入が爆発する
スパマーは無差別生成したアドレスへ大量送信します。通常なら宛先不明で弾かれるメールが、catch-all により全て受信トレイへ。1 日数千通のスパムが流入することも珍しくありません。
2. なりすまし・フィッシングの土壌
support-team@、it-helpdesk@、ceo-office@ 等、社内に存在しない部署名のアドレスを名乗ったメールが catch-all で受信できてしまうと、社員が「会社の正規メール」と誤認するリスクが上がります。攻撃者は社外からのメールに見せかけ、社内アカウントに見せかけて転送、というシナリオが組めます。
3. アドレス列挙攻撃
スパマーが「どのアドレスなら届くか」を調査する列挙攻撃に対し、通常は存在しないアドレスへの送信は 550 User unknown で弾かれて存在情報が漏れません。catch-all では全て受信成功するため、攻撃者は どのアドレスが本物か区別できない代わりに、全部に送ればどれかは正規ユーザに届く という戦略が成立します。
4. 監査・SPF 検証の困難化
catch-all 経由で届いたメールは「本来宛先になかったはず」のものであり、ログ調査時に「これは誰宛の正規メールか」の判別が困難。SPF / DKIM / DMARC のレポート分析も歪みます。
代替策: エイリアス + サブアドレス
- 個別エイリアス:
sales@,support@,info@,recruit@など必要なものを個別に作成 - サブアドレス(+ サフィックス): Gmail / Microsoft 365 はデフォルト対応。
info+google@example.cominfo+newsletter@example.comのように個別 ID を付与でき、フィルタや漏洩追跡に使える - 動的エイリアス: SimpleLogin / Fastmail Masked Email など、必要時に動的にエイリアスを発行するサービスもある
どうしても catch-all が必要な場合
- レガシー業務システムから「過去のメールアドレス全て」に届くメールを失わせたくない期間限定(移行期間 3 ヶ月など)
- スパムフィルタを最強モードに(Google Workspace / Microsoft 365 の追加フィルタ + サードパーティの Mimecast 等)
- DMARC
p=rejectで外部からのなりすまし送信を弾く(DMARC 設定ガイド 参照) - catch-all 受信メールは別ボックスに分離し、人が定期確認する運用に
まずは現状を把握しましょう
自社のメール運用が catch-all 依存になっていないか、まず棚卸しから始めましょう。無料のドメイン診断で SPF / DKIM / DMARC の状況を確認し、判断に迷う場合はお問い合わせからご相談ください。
関連記事: DMARC 設定ガイド / メールヘッダの読み方 / BEC 攻撃の事例