メール転送

電子メールが送信サーバーから受信サーバーに直接送信される場合、SPFとDKIMは(正しく設定されていれば)電子メールを正常に認証し、通常はその電子メールが正当なものか不正なものかを効果的に検証します。しかし、転送されたメッセージのように、メールが受信者に届けられる前に中間のメールサーバーを通過する場合はそうはいきません。このブログでは、メールの転送がDMARC認証結果に与える影響についてご紹介します。

DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの標準的な電子メール認証プロトコルを利用して、受信メッセージを認証することはすでにご存じのとおりです。ここでは、フォワーディングがどのように影響するかを説明する前に、これらのプロトコルがどのように機能するかを理解するため、簡単に説明します。

送信者ポリシーフレームワーク

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。お客様のドメインから送信されるすべてのメールには、お客様のサーバーとお客様のドメインで使用されているメールサービスプロバイダーを特定するIPアドレスがSPFレコードとしてお客様のDNS内に登録されています。受信者のメールサーバーは、SPFレコードと照らし合わせて電子メールを検証し、それに応じてSPF合格または不合格としてマークします。

ドメインキーズ・アイデンティファイド・メール

DKIMは標準的な電子メール認証プロトコルで、秘密鍵を使って作成された暗号署名を割り当て、受信サーバーで電子メールを検証するもので、受信者は送信者のDNSから公開鍵を取得してメッセージを認証することができます。SPFと同様に、DKIM公開鍵もドメイン所有者のDNSにTXTレコードとして存在します。

メール転送がDMARC認証結果に与える影響について

電子メールの転送では、電子メールは最終的に受信サーバーに配信される前に、仲介サーバーを通過します。この場合、ドメインのSPFに中間送信元のレコードがないと、認証手続きに支障をきたします。

当然のことながら、メール転送時には、仲介サーバのIPアドレスが送信サーバのIPアドレスと一致せず、この新しいIPアドレスが元のサーバのSPFレコードに含まれていないため、SPFチェックは失敗します。逆に、メールの転送は、仲介サーバや転送先のエンティティがメッセージの内容を一定に変更しない限り、通常はDKIMメール認証に影響を与えません。

電子メールがDMARC認証を通過するためには、SPFまたはDKIMの認証と調整のいずれかを通過する必要があることに注意してください。電子メールの転送時にはSPFは必然的に失敗することがわかっているので、万が一、送信元がDKIMニュートラルで、SPFのみに検証を頼っている場合、転送された電子メールはDMARC認証の際に不正なものとみなされます。

解決策は?簡単です。すべてのインバウンドメッセージをSPFとDKIMの両方に照合し、認証することで、直ちにDMARCに完全に準拠することを選択すべきです。

PowerDMARCによるDMARCコンプライアンスの実現

DMARC準拠を達成するためには、電子メールがSPFまたはDKIMのいずれか、あるいは両方に対して認証される必要があることに留意することが重要である。しかし、転送されたメッセージがDKIMに対して検証されず、SPFのみに認証を依存している場合、前のセクションで説明したように、DMARCは必然的に失敗します。そこでPowerDMARCは、SPFとDKIMの両方の認証プロトコルに対して電子メールを効果的に整合させ、認証することで、完全なDMARCコンプライアンスの実現を支援します。このようにして、たとえ本物の転送メッセージがSPFに失敗したとしても、DKIM署名を使用して正当なものとして検証することができ、メールはDMARC認証を通過し、その後受信者の受信箱に届くことになります。

例外的なケース。DKIMの失敗とその解決方法とは?

特定のケースでは、転送先のエンティティが、MIMEバウンダリの調整、アンチウイルスプログラムの実装、メッセージの再エンコーディングなどにより、メールボディを変更することがあります。このような場合、SPFとDKIMの両方の認証が失敗し、正当なメールが配信されません。

SPFとDKIMの両方が失敗した場合、PowerDMARCはそれを特定し、詳細な集計ビューに表示することができ、Authenticated Received Chainのようなプロトコルは、メールサーバーがそのようなメールを認証するために利用することができます。ARCでは、Authentication-Resultsヘッダーをメッセージ配信の次の「ホップ」に渡すことで、メール転送時の認証問題を効果的に軽減することができます。

転送されたメッセージの場合、受信側のメールサーバーは、DMARC認証に失敗したメッセージを受信すると、最初のホップのARC Authentication-Resultsを抽出して、そのメールに対して提供されたAuthenticated Received Chainに対して2回目の検証を試み、仲介サーバーが受信側のサーバーに転送する前に正当性が検証されたかどうかを確認しています。

今すぐPowerDMARCに登録して、あなたの組織でDMARCコンプライアンスを実現しましょう。