※最近、SPFの設定ミスによってメールを送信できないという事案の発生があり、緊急全文公開!
筆者が使っているメールソフトで、ある方からのメールで、添付ファイルのような画像のメッセージ(警告:未認証の送信者です。)が表示されます。
「?」マークをクリックしたら、なぜこのような表示がされるかの理由が表示されます。
◯ 未確認の送信者- 実際の送信者が、メールを送信しているように見える個人/会社と同じでない場合。
◯ スパムチェック失敗 - メールがDMARC / SPF / DKIMチェックに失敗した場合。
とあります。
ここで、メールの「ソースヘッダ」をみてみます。
ソースヘッダとはメールのデータには、
送信元、送信先、送信時刻、経由サーバ、件名、本文、添付ファイルデータなど
多くの情報が、決まった形式で含まれています。
「メールヘッダ」は、これらの情報の種類と内容を示すものです。
メールソフトはこれを解釈して、わかりやすく表示しています。
多くのヘッダ情報がありますが、上の情報に関係すると思われる
「Authentication-Results」というヘッダの内容は、下記のようになっていました。
Authentication-Results: mx.zohomail.com;
dkim=pass;
spf=none (zohomail.com: 157.7.106.85 is neither permitted nor denied by domain of xxxx) smtp.mailfrom=<メールアドレス>
DKIMチェックはパス(dkim=pass) していますが、SPFは、”none”。他の正常に受診されたメールでは、
spf=pass (zohomail.com: domain of _spf.google.com designates 209.85.215.179 as permitted sender)
“pass”となっているので、失敗しているようです。
DMARCについては記載がないのですが、他の正常に受診されたメールでは、
dmarc=pass(p=none dis=none)
といった記載があります。
問題のメールはSPFのチェックが失敗したため、
送信者を信頼できない、スパムの可能性 と警告が表示されたのだと思います。
これは、筆者が使っているZOHO MAILの場合ですが、
Gmailでは、(ブラウザで操作する)画面で、同じ方からのメールを、
『<>メッセージのソースを表示』という操作を選択して表示しますと、
Gmailでのチェック状態を表示できます。
SPF: NEUTRAL(IP: 0.0.0.0)
DKIM: ‘PASS’(ドメイン: xxxxx)
と表示されました。
Gmailの場合、”NEUTRAL”とは、
NEUTRAL: 送信元のドメインのSPFレコードがこのIPアドレス(送信元IPアドレス)について明確な指示をしていない。
つまり、送信元IPが許可されているとも、拒否されているとも指定されていない。
ということで、メールの送信サーバが指定されていないため、
このメールを送ってきたサーバが、正しいサーバからのものか判断できないことを意味しています。
DKIMは成功しています。
DKIMとは、chatGPTで説明させると
『DKIM(DomainKeys Identified Mail)は、メールの送信者のドメインを確認し、
メールが改ざんされていないことを証明するための技術です。
送信者のメールサーバーがメールにデジタル署名を追加し、
受信者側が送信者のドメインの公開鍵を使って署名を検証します。
これにより、メールの信頼性が向上し、スパムやフィッシングメールの対策に役立ちます。』
となっています。
Gmailでは、SPFがNEUTRALの場合、筆者のメールソフトのような明確な警告は表示されませんが、
メールリストの送信元欄をよく見ると
<送信者メールアドレス> <実際に送信されてきたドメイン> 経由
と、「経由」情報が表示されます。
今年の1月に、
『神奈川県の公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生による登録や高校出願に支障が出ていた』
というニュースが流れました。
この原因は、
まず、昨年にGmailが迷惑メール等を排除するための「ガイドライン」を変更(厳しく)し、これに沿ったGmailの受信システムの変更を行っていたようです。
このガイドラインは、先の SPF DKIM DMARCの設定をチェックして、
gmailに「怪しくない」メールであると判断する基準を設定したもので、
問題が発生した時点のGmailは、警告を発生させたり、迷惑メールフォルダに振り分けるのではなく、
受信拒否する仕様になっていたものと「推察」されます。
迷惑メールの割合をCopilotに聞いてみたところ、
『日本国内で受信されるメールの約4割は迷惑メールです。総務省の統計によれば、1日あたり約14億6千万通のメールのうち、約37%が迷惑メール。日本の総人口が1億2,500万人だとすれば、1人あたり約4.3通の迷惑メールを受け取っていることになります。企業にも毎日膨大な数の迷惑メールが送信されており、適切な対策を講じないとさまざまなリスクが生じます。注意深く対処しましょう!』
というように、膨大な迷惑メールの数になっていることから、迷惑メールを防ぐ仕様として、SPF DKIM DMARCが開発されてきました。
これらの対策を取っていない場合、迷惑メールが届いてしまう数が増え、
大事なメール連絡を見逃したり、詐欺にあってしまったり、ウイルスに侵入されてしまう
リスクが高くなるので、各メール受信サーバでは、厳密にSPF DKIM DMARCの検証を行うようになってきていることから、
メールを送信する場合も、これらの設定を厳密に行っていく必要があります。
小生のメールに警告が表示された方は、中小企業の方で、
独自ドメインを使っていますが、送信サーバを自前で用意するのではなく、
メール業者のサーバ(いわゆるクラウドのメールサーバ) を使っているため、
SPFによって独自ドメインで送る送信サーバとしてメール業者のサーバを指定していないことが原因です。
SPFは、
このドメイン(@以降の部分)のメールは、このサーバから送信するよ
という情報で、インターネット上の(DNSサーバ)という役割のサーバに設定されます。
例えば、クラウドのメールサーバは、様々な業者が提供しています(ロリポップ、サクラインターネット、ムームーメール、その他多数)。
これらのサーバでメールアカウントを作成すると、それらの業者のドメインでのメールが割り当てられます。
業者のドメインに対しては、上記のSPF、DKIM,DMARCには正しく設定されているはずです。
しかし、独自ドメインのメールアドレスで
クラウドのメールサーバを使って メールを送信する場合は、
SPF情報をDNSサーバに記載しなければなりません。
DNSサーバは、独自ドメインを取得したドメイン業者のサーバです
(メールサーバの業者と異なる場合があります。設定する必要があるのが、メールサーバでなく、ドメイン(DNS)サーバであるのが、設定漏れの一因かもしれませんね)。
独自ドメインを取得してホームページを作成したり、メールアドレスを用意している方は、
その設定を依頼している業者の方に、SPF DKIM DMARCについて再確認するよう依頼されることをおすすめします。
一般社団法人 大阪府技術協会 