メールの転送がDMARC認証の結果を狂わせることがあり、特にメーリングリストでは転送されたメールの管理方法についてよく質問を受けます。
メールは常に自動的に転送されます。転送は、あなたが myfriend@example.com にメールを送信し、その相手が myfriend@dmarcian.com のような別の受信箱にメールを転送するように設定した場合に自動的に行われます。
自動転送のもう一つの一般的な例は、Googleグループのようなメーリングリストです。メール受信者(DMARC XMLレポートを作成する側)から見ると、あなたのメールはあなたとは無関係のドメインから来ているように見えます。
Google Groupsでは、転送を表示するDMARCデータには、送信者としてあなたのドメイン、送信者としてGoogleのIP、そしてDMARCチェックの一部としてDMARCレポートを送信する様々な受信者が表示されます。転送がGoogleグループ配信の一部として行われる場合、この数はかなり劇的に増加する可能性があります。Googleグループはメーリングリストと同じ動作をします。
DKIM署名は転送にも有効です。あなたのドメインがDKIMでカバーされている場合、dmarcianの転送を検出する能力は増加します。SPFは単にあなたのドメインに代わって送信することを許可されたサーバーのリストであり、SPFレコードでフォワーダーのリストを維持することは実行不可能であるため、SPFは転送のコンテキストでは機能しません。dmarcianは、転送された電子メールトラフィックを識別し、分析するのに役立つように、プラットフォーム上でよく知られているフォワーダーを識別するための一連のルールをサポートしています。
以下の詳細ビューアのフォワーダタブでは、どのソースがお客様に代わってメールを転送しているか、またその転送がDMARCを通過しているかどうかが表示されます。先に述べたように、転送されたメールはDKIMによってのみ認証されますが、メッセージがさまざまなタイプのメールインフラを通して転送されるため、DKIM署名が不注意に破られることがあります。転送メールの場合、DMARCのコンプライアンスは、フォワーダーを通過するDKIM署名の「生存」と同じです。
全体として、フォワーダータブは、お客様が送信するメールが通常どの程度、どの程度の頻度で転送されているか、またそのDMARCコンプライアンスを表示するためのものです。DMARCのコンプライアンスを向上させるために、メールソースに可能な限りDKIMを導入してください。
dmarcian デプロイメントディレクター Asher Morin
オペレータがメールソースの転送能力を把握できるよう、DMARC関連のメール転送業者とそのDMARC相互運用性をリストアップしたディレクトリを下記URLにて公開しています。https://dmarc.io/forwarders/
転送でDMARCコンプライアンス率を高めるには、DKIMをサポートするDMARC対応ソースでDKIM署名を必ず使用してください。そうすることで、転送されたメッセージは、仲介者が本文または関連するヘッダーのいずれかを変更していない限り、次のホップでDMARCチェックを通過することができます。
また、ドメイン所有者として、受信者がいつどこであなたからの受信メールに自動転送ルールを設定するかはコントロールできないことを覚えておくことが重要です。転送に失敗した場合、受信者はそれを認識することになり、あなたのメールを正常に受信するために是正措置を講じるのは受信者の責任です。
私たちがお手伝いします
メールセキュリティの専門家チームと、ドメインセキュリティを通じてメールとインターネットをより信頼できるものにするという使命を持つdmarcianは、組織のドメインカタログを評価し、長期にわたってDMARCを実装・管理するお手伝いをいたします。
