メール認証実務メモ(ブログ番外編): SPFもDKIMもpassなのにDMARCだけがfailする理由――外部メール配信サービス利用時のアライメント不整合
以前に掲載した当ブログで「NIST CSF 2.0 と実践的な運用体制の構築に向けて」と題して専門職におけるサイバーガバナンスの重要性について述べた。本稿では、その中でも日常的なメール運用に関わる具体的な論点として、DMARCにおけるアライメント不整合を取り上げる。
事業活動の一環として、ニュースレター、セミナー案内、問い合わせ返信など、自社ドメインのメールアドレスを表示上の送信元として使いつつ、実際の配信は外部のメール配信サービスやSMTPリレーサービスを利用する場合がある。
この場合、設定によっては、SPF及びDKIMはpassしているにもかかわらず、DMARCだけがfailとなることがある。
一見すると矛盾しているように見えるが、原因はDMARCにおける「アライメント」の不整合である。
DMARCは、単にSPF又はDKIMの認証に成功したかだけを見ているわけではなく、表示上の送信元であるHeader Fromドメインと、SPF又はDKIMで認証されたドメインとが整合しているかを確認する。
たとえば、表示上の送信元が、
である一方、Envelope From/Return-Pathが、
xxxxx@bounce.mail-service.example
であり、DKIM署名ドメインも、
mail-service.example
であったとする。
この場合、SPF及びDKIMがそれぞれpassしていても、いずれもexample.co.jpとは整合していない。そのため、DMARCでは、
SPF not aligned
DKIM not aligned
としてDMARC failとなる。
これは、直ちに不正メールであると判定されることを意味するものではない。しかし、受信側の環境によっては、迷惑メールと判定されフィルタリングされたり警告表示されたりすることで到達率低下につながる可能性がある。また、自社ドメインのなりすまし対策としてDMARCを導入していても、正規のメールまでDMARC failとなってしまえば、運用上好ましくない。
筆者自身、以前に当事務所のメール配信システムで外部SMTPリレーを用いた配信基盤を構築した際にも、初期段階で同様のアライメント不整合に遭遇したことがある。DMARCだけがfailとなる原因を突き止めるのに苦労した。
このような場合、example.co.jp又はそのサブドメインでDKIM署名できるように設定するのが通常の対応である。具体的な設定としては、外部配信サービス側で自社ドメイン用のDKIM設定を行い、DKIM署名ドメインが自社ドメイン又はそのサブドメインと整合するようにする。可能であれば、Envelope From/Return-Pathについても自社ドメイン又はそのサブドメインを設定し、SPF側でもアライメントを取ることが望ましい。
重要なのは、「SPF pass」「DKIM pass」という表示だけで安心しないことである。DMARCでは、表示上の送信元ドメインとの整合性が確認される。
ニュースレターや一斉配信メールを自社ドメインで送信している企業は、配信サービス側のDKIM設定、Envelope From/Return-Path設定、DMARCの判定結果を、一度確認しておくべきである。これは単なる技術的細部の問題ではなく、自社ドメインの信頼性、メール到達率、なりすまし対策に関わる実務上の問題である。