「SPF alignment failed」の修正のやり方は？

SPFアライメントを理解する

2021年12月13日
著者: Syuzanna Papazyan
翻訳: 竹洞陽一郎

この記事はPowerDMARCのブログ記事 How to fix “SPF alignment failed”?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

あなたのドメインとオンラインアイデンティティを、あなたになりすまそうとする詐欺師から守るために、メールドメインにDMARCを設定する必要があります。
DMARCは、SPFとDKIMプロトコルの累積的なメール認証の取り組みによって機能します。
また、DMARCユーザは、メールの配信問題、認証、調整の失敗に関するレポートを受け取ることができるというメリットもあります。

DMARCとは何かについて、詳しくはこちらをご覧ください。

DMARC集計レポートに「SPF alignment failed」と記載されている場合、SPFアライメントとは何か、またこの問題をどのように解決すればよいのかを説明します。

SPFアライメントとは？

メールのメッセージは、複数の異なるヘッダで構成されています。
各ヘッダには、送信日、送信元、送信先など、メールメッセージの特定の属性に関する情報が含まれています。
SPFは2種類のメールヘッダを扱います。

Fromヘッダ
Return-Pathヘッダ

FromヘッダのドメインとReturn-pathヘッダのドメインが一致している場合、そのメールに対してSPFアライメントは合格します。
しかし、両者が一致しない場合は、その結果は失敗となります。
SPFアライメントは、Eメールメッセージが正当なものか偽物かを判断する重要な基準となります。


From: <sender@company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <sender@company.com>
To: <receiver@example.com>
Subjetct: Test Mail

上記の例では、FromヘッダがReturn-pathヘッダと一致しているため、このメールに対してSPFアライメントが合格しています。

どうしてSPFアライメントが失敗するのか？

ケース1: SPFのモードをstrictにしている

デフォルトのSPFアライメントモードはrelaxedですが、SPFアライメントをstrictに設定すると、Fromヘッダに組織ドメインが組み込まれているにもかかわらず、Return-pathのドメインがたまたまルート組織ドメインのサブドメインだった場合、整合性が取れず失敗することがあります。
これは、SPFがstrictモードで適合するためには、2つのヘッダのドメインが完全に一致する必要があるためです。
しかし、relaxedアライメントでは、2つのドメインが同じトップレベルドメインを共有していれば、SPFアライメントはパスします。


From: <sender@marketing.company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <sender@company.com>
To: <receiver@example.com>
Subjetct: Test Mail

上の例は、トップレベルドメインは同じですが、ドメイン名が完全には一致していないメールの例です。
Fromドメインは組織ドメインcompany.comのサブドメインmarketing.company.comです。
この場合、SPFアライメントモードが「relaxed」に設定されていれば、メールはSPFアライメントを通過しますが、「strict」モードの場合は失敗します。

ケース2: ドメインをなりすましされている

SPFアライメントの失敗の原因として非常に多いのが、ドメインの偽装です。
これは、サイバー犯罪者があなたのドメイン名やアドレスを偽装してあなたのIDを乗っ取り、あなたの受信者にメールを送信する現象です。
Fromドメインにはお客様の身元が表示されますが、Return-pathヘッダにはなりすましの元の身元が表示されます。
偽装されたドメインに対してSPF認証を行っている場合、受信者側では必然的にメールの整合性が取れなくなります。


From: <sender@marketing.company.com>
Date: Mon, Oct 24 2021, 18:22 PM
Return-path: <spoofer@xyzdomain.com>
To: <receiver@example.com>
Subjetct: Test Mail

「SPF alignment failed」の修正

SPFアライメントの失敗を修正するには、以下の方法があります。

アライメントモードを "strict"ではなく"relaxed"に設定する。
御社のドメインのSPFとDKIMに加えて、DMARCを設定する。
これにより、メールがSPFヘッダのアライメントに失敗しても、DKIMのアライメントに合格し、DMARCを通過して受信者に配信されます。

PowerDMARCの監査機能は、送信メールの100％DMARC準拠を実現し、なりすましの試みやプロトコルの誤設定によるアライメントの失敗を防ぐことができます。
今すぐPowerDMARCの無料トライアルを申し込んで、より安全で信頼性の高い認証体験をお楽しみください。

Redirect	?
App cache	?
DNS lookup	?
TCP Connection	?
First Byte Download	?
DOMContentLoaded	?
Load	?