電子メールの転送とそのDMARC認証への影響-結果

電子メールが送信サーバーから受信サーバーに直接送信される場合、SPFとDKIMは（正しく設定されていれば）通常、電子メールを認証し、正当か不正かを効果的に検証します。しかし、転送されたメールなど、受信者に届くまでに中間メールサーバーを経由する場合は、そうはいきません。このブログでは、メール転送がDMARC認証結果に与える影響について説明します。

DMARCは、SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）という2つの標準的な電子メール認証プロトコルを利用して、受信メッセージを認証することはすでにご存じのとおりです。ここでは、フォワーディングがどのように影響するかを説明する前に、これらのプロトコルがどのように機能するかを理解するため、簡単に説明します。

送信者ポリシーフレームワーク

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。お客様のドメインから送信されるすべてのメールには、お客様のサーバーとお客様のドメインで使用されているメールサービスプロバイダーを特定するIPアドレスがSPFレコードとしてお客様のDNS内に登録されています。受信者のメールサーバーは、SPFレコードと照らし合わせて電子メールを検証し、それに応じてSPF合格または不合格としてマークします。

ドメインキーズ・アイデンティファイド・メール

DKIMは標準的な電子メール認証プロトコルで、秘密鍵を使って作成された暗号署名を割り当て、受信サーバーで電子メールを検証するもので、受信者は送信者のDNSから公開鍵を取得してメッセージを認証することができます。SPFと同様に、DKIM公開鍵もドメイン所有者のDNSにTXTレコードとして存在します。

メール転送がDMARC認証結果に与える影響について

電子メールの転送では、電子メールは最終的に受信サーバーに配信される前に、仲介サーバーを通過します。この場合、ドメインのSPFに中間送信元のレコードがないと、認証手続きに支障をきたします。

当然ながら、通常、メールの転送中にSPFチェックが失敗するのは、仲介サーバーのIPアドレスが送信サーバーのそれと一致しないからであり、この新しいIPアドレスは通常、元のサーバーのSPFレコードに含まれない。逆に、仲介サーバーまたは転送エンティティがメッセージのコンテンツに特定の変更を加えない限り、転送メールは通常DKIMメール認証に影響を与えません。

電子メールがDMARC認証を通過するためには、SPFまたはDKIMの認証と調整のいずれかを通過する必要があることに注意してください。電子メールの転送時にはSPFは必然的に失敗することがわかっているので、万が一、送信元がDKIMニュートラルで、SPFのみに検証を頼っている場合、転送された電子メールはDMARC認証の際に不正なものとみなされます。

解決策は？簡単です。すべてのインバウンドメッセージをSPFとDKIMの両方に照合し、認証することで、直ちにDMARCに完全に準拠することを選択すべきです。

PowerDMARCによるDMARCコンプライアンスの実現

DMARC準拠を達成するためには、電子メールがSPFまたはDKIMのいずれか、あるいは両方に対して認証される必要があることに留意することが重要である。しかし、転送されたメッセージがDKIMに対して検証されず、SPFのみに認証を依存している場合、前のセクションで説明したように、DMARCは必然的に失敗します。そこでPowerDMARCは、SPFとDKIMの両方の認証プロトコルに対して電子メールを効果的に整合させ、認証することで、完全なDMARCコンプライアンスの実現を支援します。このようにして、たとえ本物の転送メッセージがSPFに失敗したとしても、DKIM署名を使用して正当なものとして検証することができ、メールはDMARC認証を通過し、その後受信者の受信箱に届くことになります。

例外的なケース。DKIMの失敗とその解決方法とは？

特定のケースでは、転送先のエンティティが、MIMEバウンダリの調整、アンチウイルスプログラムの実装、メッセージの再エンコーディングなどにより、メールボディを変更することがあります。このような場合、SPFとDKIMの両方の認証が失敗し、正当なメールが配信されません。

SPFとDKIMの両方が失敗した場合、PowerDMARCはそれを特定し、詳細な集計ビューに表示することができ、Authenticated Received Chainのようなプロトコルは、メールサーバーがそのようなメールを認証するために利用することができます。ARCでは、Authentication-Resultsヘッダーをメッセージ配信の次の「ホップ」に渡すことで、メール転送時の認証問題を効果的に軽減することができます。

転送されたメッセージの場合、受信側のメールサーバーは、DMARC認証に失敗したメッセージを受信すると、最初のホップのARC Authentication-Resultsを抽出して、そのメールに対して提供されたAuthenticated Received Chainに対して2回目の検証を試み、仲介サーバーが受信側のサーバーに転送する前に正当性が検証されたかどうかを確認しています。

今すぐPowerDMARCに登録して、あなたの組織でDMARCコンプライアンスを実現しましょう。

• について
• 最新記事

Ahona Rudra

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日
• 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
• ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには？- 2024年4月25日