「SPF alignment failed」の修正のやり方は？

SPFアライメントを理解する

2021年12月13日
著者: Maitham Al Lawati
翻訳: 竹洞陽一郎

この記事はPowerDMARCのブログ記事 How to fix “SPF alignment failed”?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCの集計レポートで「SPF alignment failed」と表示された場合、SPFアライメントの意味とこの問題の解決方法について説明します。
ドメインとオンラインのアイデンティティを詐欺師から守るためには、メールドメインにDMARCを設定する必要があります。

DMARCは、SPFおよびDKIMプロトコルによるメール認証の取り組みを統合することで機能します。
さらに、DMARCを利用することで、メールの配信問題、認証、およびアライメントの失敗に関するレポートを受け取ることができます。
DMARCについての詳細はこちらをご覧ください。

SPFアライメントとは？

メールメッセージは、複数の異なるヘッダーで構成されています。
各ヘッダーには、送信日、送信元、送信先など、メールメッセージの特定の属性に関する情報が含まれています。
SPFは以下の2種類のメールヘッダーを扱います。

Fromヘッダー
Envelope Fromヘッダー

FromヘッダーのドメインとEnvelope Fromヘッダーから転記されたReturn-Pathのドメインが一致している場合、そのメールのSPFアライメントは「合格」となります。
しかし、これら2つが一致しない場合、アライメントは「失敗」となります。

SPFの整合性は、メールメッセージが正当であるか偽装されているかを判断する重要な基準です。


From: <sender@company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <sender@company.com>
To: <receiver@example.com>
Subjetct: Test Mail

上記の例では、From: ヘッダーがEnvelope Fromヘッダー（Mail From）とアライメント（完全に一致）しているため、このメールのSPFアライメントは「合格」となります。

どうしてSPFアライメントが失敗するのか？

ケース1: SPFのモードをstrictにしている

デフォルトのSPFアライメントモードはrelaxedですが、SPFアライメントをstrictに設定すると、Fromヘッダに組織ドメインが組み込まれているにもかかわらず、Return-pathのドメインがたまたまルート組織ドメインのサブドメインだった場合、整合性が取れず失敗することがあります。
これは、SPFがstrictモードで適合するためには、2つのヘッダのドメインが完全に一致する必要があるためです。
しかし、relaxedアライメントでは、2つのドメインが同じトップレベルドメインを共有していれば、SPFアライメントはパスします。


From: <sender@marketing.company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <sender@company.com>
To: <receiver@example.com>
Subjetct: Test Mail

上の例は、トップレベルドメインは同じですが、ドメイン名が完全には一致していないメールの例です。
Fromドメインは組織ドメインcompany.comのサブドメインmarketing.company.comです。
この場合、SPFアライメントモードが「relaxed」に設定されていれば、メールはSPFアライメントを通過しますが、「strict」モードの場合は失敗します。

ケース2: ドメインをなりすましされている

SPFアライメントの失敗の原因として非常に多いのが、ドメインの偽装です。
これは、サイバー犯罪者があなたのドメイン名やアドレスを偽装してあなたのIDを乗っ取り、あなたの受信者にメールを送信する現象です。
Fromドメインにはお客様の身元が表示されますが、Return-pathヘッダにはなりすましの元の身元が表示されます。
偽装されたドメインに対してSPF認証を行っている場合、受信者側では必然的にメールの整合性が取れなくなります。


From: <sender@marketing.company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <spoofer@xyzdomain.com>
To: <receiver@example.com>
Subjetct: Test Mail

「SPF alignment failed」の修正

SPFアライメントの失敗を修正するには、以下の方法があります。

アライメントモードを "strict"ではなく"relaxed"に設定する。
御社のドメインのSPFとDKIMに加えて、DMARCを設定する。
これにより、メールがSPFヘッダのアライメントに失敗しても、DKIMのアライメントに合格し、DMARCを通過して受信者に配信されます。

PowerDMARCの監査機能は、送信メールの100％DMARC準拠を実現し、なりすましの試みやプロトコルの誤設定によるアライメントの失敗を防ぐことができます。
今すぐPowerDMARCの無料トライアルを申し込んで、より安全で信頼性の高い認証体験をお楽しみください。

Redirect	?
App cache	?
DNS lookup	?
TCP Connection	?
First Byte Download	?
DOMContentLoaded	?
Load	?