私は Gandi でホストされているバニティ ドメイン (mydomain.com) を持っており、家族用のメール エイリアスがそれぞれの Gmail アドレスを指すように設定されています。
等々。
Gmail はバニティ アドレスとしてメールを送信するように設定されており、SPF レコードも設定されています。
v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all
mail-tester.com では SPF が正しく設定されていると報告されていますが、[anyone]@mydomain.com から [anyone else]@mydomain.com にメールを送信すると SOFTFAIL が発生する可能性があります。
送信元 | に送信された | メールのSPF結果 |
---|---|---|
[メールアドレス] | [メールアドレス] | 合格 |
[メールアドレス] | [メールアドレス] | 合格 |
[メールアドレス] | [メールアドレス] | 合格 |
[メールアドレス] | [メールアドレス] | ソフトフェイル |
電子メールが SOFTFAIL になったときのヘッダーは次のとおりです。
Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]
mydomain.com から mydomain.com の別のアドレスに送信されるメールが SPF に失敗しないようにする方法はありますか?
答え1
メールが Gandi サーバーから受信されたことがわかります。
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
Gandi サーバーが SPF レコードで承認されていないことがわかります。
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)
SPF は、ヘッダーに対してチェックを行いますreturn-path
。mailfrom
ヘッダーではありません。はreturn-path
です[email protected]
。したがって、gmail.com の SPF レコードでは、Gandi サーバーが gmail.com のメール アドレスを使用してメールを送信することを許可しませんreturn-path
。
SPF は正常に機能しています。ここで確認されているのは、メール転送に関する SPF プロトコルの固有の弱点です。メールが MTA (メール サーバー) レベルで転送される場合、ヘッダーはmailfrom
書き換えreturn-path
られません (書き換えられるべきでもありません)。しかし、転送されたメールが受信者のメール サーバーに到着すると、そのメールは転送サーバーから送信されたもので、送信者の元のメール サーバーから送信されたものではありません。したがって、受信者のメール サーバーは SPF をチェックし、ドメインがreturn-path
転送メール サーバーにメール送信を許可していないことを確認します。
転送は SPF を破壊します。ドメインの SPF レコードを管理していないためgmail.com
、Gmail に代わって Gandi サーバーにメールを転送する権限を与えることはできません。そのため、メールが承認されているかどうかを判断するために SPF を単独で使用することはできません。
解決策は 4 つあります (オプション 1 と 2 では有料の Google Workspace アカウントが必要だと思います)。
- エイリアス メール アドレスを使用して Gmail からメールを送信する場合は、ヘッダーでもメール エイリアスが使用されていることを確認してください
return-path
。また、 の SPF レコードに Gmail サーバーを追加してくださいmydomain.com
。Gmail でエイリアスとしてメールを送信する方法の詳細については、こちらを参照してください。https://support.google.com/mail/answer/22370?hl=ja - MX レコードと Gmail を設定して、エイリアス宛のメールがサードパーティ経由で転送されるのではなく、Gmail のサーバーに直接送信され、受信トレイに届くようにします。
- メッセージを転送するのではなく、エイリアスメールアドレス宛てのメールを第三者で受信します。次に、Gmailでそのメールを第三者から収集するように設定します。他のアカウントからメールをインポートする (POP3)Gmailのオプション。
- 転送メール サーバーの動作を制御できる場合は、メール エイリアスのいずれかから受信され、そのエイリアス宛てに送信されるメールを転送するときに、ヘッダーを
return-path
一致するように書き換えるルールを作成できます。mailfrom
答え2
これ5月Gmailのバグが原因と思われる
一部の投稿者は成功したと報告していますが、解決したとは思いません。
答え3
問題は、SPF だけでは認証に失敗した電子メールを阻止するのに十分ではないと考えられていることです。ハード フェイルでもそれは実現できません。
これが DMARC 開発の動機となりました。これにより、受信サーバー (内部から内部への送信を含む) に、認証に合格しない電子メールを拒否するように指示できます。
ハードフェイルとソフトフェイルの違いと、DMARC が答えとなる理由の詳細については、こちらをご覧ください。https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail