電子メールが送信サーバーから受信サーバーに直接送信される場合、SPFとDKIMは（正しく設定されていれば）通常、電子メールを認証し、正当か不正かを効果的に検証します。しかし、転送されたメールなど、受信者に届くまでに中間メールサーバーを経由する場合は、そうはいきません。このブログでは、メール転送がDMARC認証結果に与える影響について説明します。

DMARCは、SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）という2つの標準的な電子メール認証プロトコルを利用して、受信メッセージを認証することはすでにご存じのとおりです。ここでは、フォワーディングがどのように影響するかを説明する前に、これらのプロトコルがどのように機能するかを理解するため、簡単に説明します。

送信者ポリシーフレームワーク

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。お客様のドメインから送信されるすべてのメールには、お客様のサーバーとお客様のドメインで使用されているメールサービスプロバイダーを特定するIPアドレスがSPFレコードとしてお客様のDNS内に登録されています。受信者のメールサーバーは、SPFレコードと照らし合わせて電子メールを検証し、それに応じてSPF合格または不合格としてマークします。

ドメインキーズ・アイデンティファイド・メール

DKIMは標準的な電子メール認証プロトコルで、秘密鍵を使って作成された暗号署名を割り当て、受信サーバーで電子メールを検証するもので、受信者は送信者のDNSから公開鍵を取得してメッセージを認証することができます。SPFと同様に、DKIM公開鍵もドメイン所有者のDNSにTXTレコードとして存在します。

メール転送がDMARC認証結果に与える影響について

電子メールの転送では、電子メールは最終的に受信サーバーに配信される前に、仲介サーバーを通過します。この場合、ドメインのSPFに中間送信元のレコードがないと、認証手続きに支障をきたします。

当然ながら、通常、メールの転送中にSPFチェックが失敗するのは、仲介サーバーのIPアドレスが送信サーバーのそれと一致しないからであり、この新しいIPアドレスは通常、元のサーバーのSPFレコードに含まれない。逆に、仲介サーバーまたは転送エンティティがメッセージのコンテンツに特定の変更を加えない限り、転送メールは通常DKIMメール認証に影響を与えません。

電子メールがDMARC認証を通過するためには、SPFまたはDKIMの認証と調整のいずれかを通過する必要があることに注意してください。電子メールの転送時にはSPFは必然的に失敗することがわかっているので、万が一、送信元がDKIMニュートラルで、SPFのみに検証を頼っている場合、転送された電子メールはDMARC認証の際に不正なものとみなされます。

解決策は？簡単です。SPFとDKIMの両方に対してすべてのインバウンドメッセージを整合し、認証することによって、あなたの組織で直ちに完全なDMARCコンプライアンスを選択する必要があります！

PowerDMARCによるDMARCコンプライアンスの実現

DMARCのコンプライアンスを達成するためには、メールはSPFかDKIMのどちらか、あるいは両方に対して認証される必要があることに注意することが重要である。しかしながら、転送されたメッセージがDKIMに対して検証され、認証のためにSPFのみに依存しない限り、前のセクションで説明したように、DMARCは必然的に失敗します。このため、PowerDMARC は、SPF と DKIM 認証プロトコルの両方に対して効果的に電子メールを整合し、認証することで、完全な DMARC コンプライアンスを達成するのに役立ちます。このようにして、たとえ転送されたメールがSPFに失敗したとしても、DKIM署名を用いて正当なものであると認証することができ、メールはDMARC認証に合格し、その後受信者の受信トレイに届きます。

例外的なケース。DKIMの失敗とその解決方法とは？

特定のケースでは、転送先のエンティティが、MIMEバウンダリの調整、アンチウイルスプログラムの実装、メッセージの再エンコーディングなどにより、メールボディを変更することがあります。このような場合、SPFとDKIMの両方の認証が失敗し、正当なメールが配信されません。

SPFとDKIMの両方が失敗した場合、PowerDMARCはそれを特定し、詳細な集計ビューに表示することができますし、Authenticated Received Chainのようなプロトコルは、そのようなメールを認証するためにメールサーバーによって活用することができます。ARC では、Authentication-Results ヘッダーをメッセージ配信の次の「ホップ」に渡すことで、メール転送中の認証の問題を効果的に軽減することができます。

転送されたメッセージの場合、受信側のメールサーバーは、DMARC認証に失敗したメッセージを受信すると、最初のホップのARC Authentication-Resultsを抽出して、そのメールに対して提供されたAuthenticated Received Chainに対して2回目の検証を試み、仲介サーバーが受信側のサーバーに転送する前に正当性が検証されたかどうかを確認しています。

今すぐPowerDMARCに登録して、あなたの組織でDMARCコンプライアンスを実現しましょう。