メール配信事業者向けReturn-Path一致のやり方
最小の改修で様々な顧客のドメインのReturn-Pathを一致させる
Sender Policy Framework (SPF) レコードは、電子メールの送信元を検証するためのDNSレコードの一種であり、フィッシング攻撃などから受信者を守る重要な役割を果たします。
SPFレコードは、ドメイン所有者が指定した送信元IPアドレスのリストを提供し、受信サーバーがメールの送信元を検証するために使用します。
しかし、SPFは、IPアドレスが合致していれば合格できる仕様であるため、共用のメール配信サービスを利用している場合には、簡単にすりぬけて、なりすましメールを送信することが可能です。
例えば、攻撃者が共用のメール配信サービスを利用して受信者を欺くフィッシングメールを送信する場合、正当な送信元として認識されてしまうリスクがあります。
そこで、DMARCはAlignment Checkの機構が仕様として入り、SPFの検査で合格したならば、次にReturn-PathがMailFromのドメインと同じかどうかを検証し、一致していない場合にはDMARCは不合格とすることで、なりすましメールを防いでいます。
また、DKIM署名についても、署名ドメインがMailFromのドメインと同じかどうかを検証し、有効であるかも確認します。
メール配信事業者にとってのチャレンジ
今年に入って、Googleの新しいメールセキュリティポリシーの適用により、1日あたり5,000通以上メール送信するドメインについては、SPF/DKIM/DMARCの設定が不可欠となりました。
そのことで、メール配信事業者にとっては、Return-Pathを如何に顧客のドメインに一致させるかが悩みの種となっています。
しかし、Return-Pathを顧客のドメインに一致させる方法は、世界的にやり方が定着しているので、それに従えば簡単に実装が可能です。
CNAMEを使ってReturn-Pathを一致させる方法
まず最初にCNAMEを使って、Return-Pathを一致させる方法をご紹介します。
- Return-Pathは、利用企業のサブドメインにします。
- 利用企業は、DNSで、そのサブドメインに対してCNAMEを設定し、そのCanonical名をメール配信事業者のホストにします。
- メール配信事業者は、Canonical名について、MXレコードとTXTでSPFを設定します。
- 利用企業は、DMARCの設定でRelaxモードを指定し、Return-Pathにサブドメインがついていても合格できるようにします。
- バウンスメールは、利用企業のDNSを参照して、CNAME先であるメール配信企業のDNSをLookupし、MXレコードを確認して到達します。
サブドメインのMXを使ってReturn-Pathを一致させる方法
次にサブドメインのMXを使って、Return-Pathを一致させる方法をご紹介します。
- Return-Pathは、利用企業のサブドメインにします。
- 利用企業は、DNSで、そのサブドメインに対してMXを設定し、メール配信事業者指定のホスト名にします。また、そのサブドメインに対して、メール配信事業者指定のSPFをincludeします。
- 利用企業は、DMARCの設定でRelaxモードを指定し、Return-Pathにサブドメインがついていても合格できるようにします。
- バウンスメールは、利用企業のDNSを参照して、MX先であるメール配信企業のホストに到達します。
バウンスメールのマッチングフィルタの修正
CNAME方式か、MX方式、どちらかで利用顧客のDNSで設定してもらえば、バウンスメールは従来通り、メール配信事業者のMXに届きます。
一般的には、Return-Pathで記載しているアドレスの@より前の方で、利用顧客毎にユニークIDを振っているので、従来どおりのマッチングフィルタで処理が可能です。
もしも、@より後ろのドメイン部で一段目のフィルターをしている場合には、そこを顧客毎のドメインに書き換える改修を入れれば済むでしょう。