DMARC は、当社のメールのごく一部が Google、Microsoft、およびその他のプロバイダーから発信されていることを報告しています。
DMARC は、これらの電子メールのかなりの部分が SPF と DKIM の両方に失敗し、したがって DMARC にも失敗したと報告しています。
当社は電子メールの送信にこれらのプロバイダーを使用していないため、これらの統計は転送された電子メールやなりすましメールを反映していると考えられます。
明らかに、SPF は転送されたメールやなりすましのメールに対しては失敗しますが、正当な DKIM ヘッダーが転送中に壊れてしまう可能性はあるでしょうか?
質問、
電子メールの送信に使用しない場合でも、転送された電子メールの DMARC を通過できるように、Google と Microsoft の SPF ホストを SPF レコードに含めることは意味がありますか?
これは SPF の精神に反し、なりすましを助長することになるため、私はこれを実行することに消極的です。
それとも、失敗した DMARC はスプーフィングを反映しており、ほとんどの転送ケースでは DKIM ヘッダーがそのまま渡されると確信できますか?
答え1
絶対にそうではありません。SPF/DKIM/DMARC は意図したとおりに機能しているようです。
SPF レコードには、ドメインを使用して実際に送信するホストのみを含める必要があります。
Microsoft および Google のソース メールを示すレポートは、ほぼ確実にこれらのサービスを使用しているスパム メッセージに関連しています。そのため、第三者があなたのドメインからスパム メールを受信し、SPF レコードを検索して、DNS レコードによって正当なものであると判断されてそれらのメッセージを受け入れるような事態は避けなければなりません。
私が考えられる唯一の他のシナリオは、あなたの組織内の(またはあなたの組織で働いている)誰かがあなたの知らないうちに Microsoft / Google サービスを使用していて、それらのサービスの 1 つを使用してメールを送信している場合です。その場合、今のところ、彼らが IT に何をしているかを知らせて適切なレコードを追加できるようになるまで、メールは配信されません。ただし、DMARC レポートに基づいて SPF レコードを追加することは決してありません。正当なメールが本当にそこから来ていることがわかっている場合のみ追加します。
また、転送されたメールはそのようなシナリオを引き起こすことはありません。転送はそのような仕組みではないからです。ただし、ユーザーが愚かにも、自分のドメインから自分のメールを Google アカウントに転送し、さらに Google アカウントで他の場所にもメールを転送するように設定した場合は別です。しかし、そのような転送は推奨されません。また、私見ですが、それらのメールが意図した受信者に届かない場合は、あなたや組織全体の問題ではなく、転送の設定が不十分な人の問題です。
答え2
SPF レコードはできるだけシンプルに保ち、承認された送信元を多くしすぎないようにしてください。SPF レコードに複数のホストを読み込むとエラーが発生し、メール受信者がメッセージを無視する原因になります。これにより、送信者の評判や配信率に影響が出る可能性があります。