・EMOTET（エモテット）感染等によって、なりすまし対象のメールアドレスのパスワードを含む送受信のための設定値やアドレス帳、スレッド（なりすましメールの送り先とのやり取りがわかるメール本文）が、なりすましメールを送信する攻撃者に知られたとき。

・送信者が実際に使用しているメールサーバを経由してなりすましメールが送られる。この場合、メールヘッダ等にも不審なところがなく自然であり、当然、送信者ドメイン認証もPASSする。なりすまされた相手がパスワードを変更するなどして、攻撃者が本来のメールサーバにアクセスできなくなるまでは、迷惑メールフィルターも効かない可能性が高い。


・返信や転送を装ったりして送られるので、タイムリーな本文だと、業務上、添付ファイルも開かざるを得ないと思ってしまう。本文に不自然な日本語がないかとか、知られた文例に似ているなどの判断をする。AIを使った判定が可能かもしれないが、確実ではない。送信者に、電話などメール以外の手段で確認するしかない。

・攻撃者が本来のメールサーバにアクセスできなくなっても、攻撃者のサーバーから、実際の送信者のメールアドレスを装ったなりすましメールが送られる。この場合は送信者ドメイン認証が通らない。pass以外の値を取ることが多い。値ごとの意味を簡単に説明する。

・none： 受信側サーバは送信者ドメイン認証に対応しているが、送信者の権威DNSサーバのTXTレコードにはSPFに関する記述がなく、検証できない。

・fail や hard fail、soft fail: 受信側サーバに接続してきた送信側サーバのアドレスが送信者ドメインの権威DNSサーバに記述されたメールサーバのIPアドレスと異なる。

・Received-SPF や　DKIMといった送信者ドメイン認証の要素がヘッダーにない。受信側サーバが送信者ドメイン認証に対応していない

※エンベロープFROM（封筒の差出人）のドメイン自体を攻撃者が用意、送信者ドメイン認証に必要な仕組みを整え、その権威DNSサーバに登録されたメールサーバからメールを送信するときは、矛盾がないので、Passとなるので注意が必要。この場合、エンベロープFROMがメールFROMとはかけ離れていることが多い。

※メールFROM（本文というか表向きの差出人）とエンベロープFROM（封筒の差出人）が一致しなくてもルール違反ではないため、メールとしては成立する。メールFROMは相手の知っているメールアドレスを詐称し、エンベロープFROMは送信者ドメイン認証の対象となるため、詐称しないことが多い。エンベロープFROMが知らない不審なメールアドレスであれば、そのメールは開かないほうがいい。