情報処理安全確保支援士
masazan (masazan)
情報処理安全確保支援士のmasazanと申します。
サイバーセキュリティ情報をわかりやすく発信します!
~~~セキュリティの基本を体系的に学べます~~~
「見慣れない署名のメールが届いているけれど、これはウイルスや詐欺なのだろうか……」
「自分の送ったメールの署名がgappssmtpになっているが、相手に怪しまれないか心配だ」
このような不安や疑問を抱える状況は、現代のビジネスシーンにおいて少なくありません。
gappssmtpはGoogleが公式に提供する正規の署名であり、メールの信頼性を証明するDKIM認証に深く関わっています。
今回の解説は、gappssmtpの概要から認証の方法、代表的なメールサービスの仕様までを解説します。
自らシステムを運用する個人事業主の方から、組織の安全を支える情シス担当者の方まで、取引先との信頼関係を大切にする方の一助となれば幸いです。
gappssmtp.comとは:DKIM(電子署名)の仕組みとGoogleの役割
gappssmtp.comは、Googleがメールの改ざんを防ぐための電子署名技術「DKIM(DomainKeys Identified Mail)」を付与する際に利用する専用ドメインです。
DKIMとは送信側がメールに電子署名を付加し、受信側が送信元の正当性と内容の改ざんの有無を検証する認証技術です。
送信側のサーバが署名を作成し、受信側のサーバが検証を行うプロセスを経てメールの安全性が確認されます。
署名ドメインにgappssmtp.comが表示されている状態は、Googleのサーバが署名を代行し配送経路の正当性を技術的に保証している事実を意味します。
しかし、ここで注意が必要なのは、「配送経路が正規であること」と「メールの内容が安全であること」は別問題だということです。
正規の Google Workspace アカウントが悪用された場合、フィッシングメールであってもgappssmtpの代理署名で届くことがあります。
gappssmtpであっても直ちにウイルスと断定はできませんが、「Googleのインフラをすり抜けて届いた悪意あるメール」が存在する可能性を念頭に置く必要があります。
Google Workspaceにおける代行署名
Google Workspaceを利用してメールを送信する場合、本来であれば送信元ドメインによる独自の電子署名を付与する運用が推奨されます。
しかし、送信側で独自のDKIM設定が完了していない状況では、Googleが便宜上自社のドメインを用いて署名を代行する仕組みが働きます。
代行署名のプロセスにおいて利用される識別子がgappssmtp.comであり、Googleがメールの正当性を最低限保証している状態です。
gappssmtp.comは送信者が意図的に当該ドメインを表示させているわけではなく、初期設定の状態や設定不足によってシステムが自動的に付加します。
そのため、受信画面に当該ドメインが現れたとしてもそれはGoogleのインフラを通じて正しく配送された事実を示すだけです。
ただし、代行署名が行われている事態は送信側のセキュリティ設定が「不完全」であることを示している点には注意が必要です。
独自ドメインと署名ドメインの不一致
メールソフトによっては、送信元のメールアドレスと署名ドメインが異なる場合に「署名元: gappssmtp.com」といった警告的な表示を出す場合があります。
例えば「example.com」という独自ドメインのメールに対し、署名が「gappssmtp.com」であれば、両者のドメイン名が不一致になります。
この場合、受信側のシステムは送信者が自称するドメインと署名の主導権を持つドメインが異なる事実を検知し、なりすましのリスクを考慮して警告を表示するのです。
昨今のセキュリティ基準では、この不一致が原因で正当なメールであっても迷惑メール扱いとなったり、配信そのものが拒否されたりするリスクが高まっています。
Googleの公式ヘルプでは、なりすましからドメインを保護しメールの信頼性を担保するために、独自ドメインでのDKIM設定を推奨しています。
Google Workspace 管理者 ヘルプ DKIMを設定する
外部とのやり取りにおいてメールの正当性を証明するためには、DKIMの公開鍵を作成し、DNSサーバに追加する設定作業が必要です。
DKIMを正しく設定して独自ドメインによる署名を行い、自社のメールが「本物」であることを客観的に示す体制を整えましょう。
メールが届かない主な原因と認証の関係
メール認証の仕組みが不適切であると、正当なメールであっても迷惑メールフォルダに振り分けられたり、受信を拒否されたりするリスクが高まります。
gappssmtp.comが表示される背景には、世界的に強化されている「送信者ガイドライン」への対応状況が深く関わっています。
送信者ガイドライン強化による影響
2024年以降、Googleや米Yahoo!などの大手プロバイダーは、なりすましメール対策として「送信者ガイドライン」を大幅に厳格化しました。
ガイドラインでは、一定数以上のメールを送信する者に対してSPF、DKIM、DMARCという3つの認証を正しく設定する義務を課しています。
gappssmtp.comによる代行署名のみに頼っている状態では、新しい基準を完全に満たすことができず、配送エラーが発生する可能性が高まっています。
特に、重要な通知やメルマガを送信する企業にとって、認証不備はビジネス機会の損失に直結する課題といえるでしょう。
DMARC認証における不一致のリスク
DMARCは、SPFやDKIMの認証結果に基づき、認証に失敗したメールをどのように処理するかを送信者が指定できる仕組みです。
DMARCを導入しているドメインにおいて、署名ドメインがgappssmtp.comのままであると「ドメインの一致」という判定項目で失敗扱いとなります。
送信ドメインが「example.com」で、署名が「gappssmtp.com」の場合はドメインの識別子が異なるためDMARC認証をパスすることができません。
2026年1月現在、公式なガイドラインでDMARC認証が必須とされているのは主に「大量送信者」です。
しかし、昨今のセキュリティ基準の急速な高まりにより、今後は送信数に関わらず全ての送信者に対してDMARC設定が事実上の必須条件となる可能性が非常に高まっています。
認証の「不一致」によるメールが届かない不具合を避けるためにも、DKIMの設定とセットでDMARC認証を正しく導入することを強くおすすめします。
主要サービスの認証仕様と注意点
メールサービスの種類によって、認証の挙動や表示されるドメイン名には明確な仕様の違いが存在します。
各無料メールサービスの認証対応状況
Google Workspace以外に一般利用されているメールについてどのような署名になっているかを調査しました。
結果としては以下のとおりです。
| サービス名 | 送信メールアドレスの例 | 署名ドメイン(signed-by) | 備考 |
| Gmail(無料版) | sample@gmail.com | gmail.com | Googleの標準署名。一致しているためエラーなし。 |
| Gmail(Workspace版) | name@example.com | gappssmtp.com | 初期状態では不一致。設定完了で独自ドメインに変化。 |
| iCloudメール | user@icloud.com | icloud.com | Appleの標準署名。一致しているためエラーなし。 |
| Yahoo!メール | user@yahoo.co.jp | yahoo.co.jp | Yahoo! JAPANの標準署名。一致しているためエラーなし。 |
Google Workspace以外はメールドメインと署名ドメインは同一になるため、ドメイン不一致による障害は発生しません。
しかし、無料メールサービスの利用は独自ドメインによる完全な認証が済んでいるメールと比較すると客観的な信頼性は一歩譲る形となります。
特に注意すべきは独自ドメインを持っているはずの組織からのメールです。
銀行や公的機関、一般企業を名乗るメールが独自ドメインでの署名を行わずgappssmtp.com を表示させている場合は、なりすましの可能性を考慮し警戒したほうがよいでしょう。
実際にメールを送ってシグネチャを見てみた
実際にメールを送ってシグネチャを確認してみました。
・Gmail(無料アカウント)の場合
署名は「gmail.com」になっています。
・Gmail(Google Workspace)の場合
署名は「gappssmtp.com」になります。(おかしい、設定忘れてる)
・iCloudの場合
署名は「icloud.com」になっています。
・Yahoo!メールの場合
署名は「yahoo.co.jp」になっています。
DKIMを設定してみた
Google WorkspaceのDKIMで署名されていないので設定してみました。
ドメインはエックスサーバで取得し、Google Workspaceをメールで利用しています。
①Google Workspaceの管理コンソールにログインし、
- アプリ
- Google Workspace
- Gmail
- メールの認証
を選択します。
②ドメインに対するDKIMレコードがなければ「新しいレコードを生成」を行います。
私の場合は生成して10分ほどで反映されました。
作成済みであれば生成は必要ありません。
※画面はレコードを生成後のため、既にレコードが作成されています
③エックスサーバのサーバパネルにログインし、
- ドメイン
- DNSレコード設定
- +DNSレコード設定を追加
を選択します。
④Google Workspaceで生成したDKIMレコードの値を入力し、「追加する」ボタンを押します。
⑤Google Workspaceの管理コンソールに戻り、「認証を開始」ボタンをクリックして完了です。
SPFを設定してみた
同様にSPFも設定しました。
エックスサーバのサーバパネルで
- メール
- SPF設定
を選択し、「Gmail許可」と「SPF設定」のトグルをONにすれば完了です。
なお、最初は「Gmail許可」が表示されていない場合は、DKIM設定が反映された後、もう一度サーバパネルにログインすると表示されると思います。
DMARCを設定してみた
同様にDMARCも設定しました。
①エックスサーバのサーバパネルで
- メール
- DMARC設定
- (設定したいドメイン)の編集アイコン
をクリックします。
②DMARCポリシー設定とレポート設定をお好みで設定し、「設定する」ボタンを押します。
以上で設定は完了です。
すべて設定した後のGoogle Workspaceシグネチャ
DKIM、SPF、DMARCを設定した後に、Google Workspaceからメールを送信しました。
無事、DKIM署名、SPF、DMARCが設定されるようになりました。
H2 まとめ
gappssmtp.comはGoogle Workspaceを利用して送信されたメールに付与されるDKIM代理署名用のドメインです。
gappssmtpの署名は「Googleのインフラを経由した」という事実を示す情報に過ぎません。
前回のフィッシングメール分析でも触れた通り、送り手のドメインと署名ドメインが一致していないケースは、そのメールを慎重に扱うべき理由です。
自身のドメイン名で署名を行うように設定し、取引先への信頼向上とメール到達率を改善しましょう。
コメント