2023.11.16 「Salesforce からメールを送信する際、SPF と DKIM の設定は実施済みでしょうか?」
お世話になっております。
ウフル カスタマーサポートでございます。
最近お客様からよくお問い合わせをいただく、「Salesforce から取引先やリードにメールを送っているけど、届かないって言われることがあるんですよね」という件について、今回はちょっとお話をさせていただきます。
Salesforce からメールを送ると、届かなかったり迷惑メールに仕分けられたりすることがある。
Salesforce 上でリードや取引先責任者にメールを送信する運用を取っているお客様も多いと思います。特に Service Cloud でお客様窓口やコールセンターなどを運用する場合、ほぼ必須のオペレーションになります。
その際の送信元名義は、恐らくお客様のドメインに基づくメールアドレスを指定されていると思われますが、一旦考えてみましょう。
送信元アドレス: 名前@お客様会社のドメイン
実際の送信元: salesforce.com のサーバー
Salesforce の「私のメール設定」で任意のアドレスを指定することで(もちろん指定時に実際のアドレスに確認の通知が送られ、リンクをクリックすることで初めて有効化されますが)、Salesforce 上から自由なアドレスとして送信できますが、実際に受信したメールでソースを確認してみると、名義上の送信元と、システム上の送信元は異なって表示されます。
以下は、テスト用 Salesforce Developer 環境にて、ユーザーの個人設定でアドレスを指定の上、取引先責任に画面上からメール送信したものを受信した際のメッセージソースになります。
(Gmail の場合、右上の三点メニュー表示から「メッセージのソースを表示」をクリックします)
From は確かに Salesforce の個人設定で指定した「私のメール」アドレスなのですが、ソース内の "Return-Path" に記載された実際の送信元(不達の際にバウンスされる先)は最後が "bnc.salesforce.com" で終わっています。
つまりは、「名義上のアドレスを名乗ったうえで、Salesforce から送っている」ということが、受信側のメールシステムでもしっかりと認知されているわけです。
これにより何が起こるかというと、インターネットメールには付きものの「なりすましやフィッシングメール」と誤認され、受信が拒否されてしまう可能性がある、ということです。
Gmail や Yahoo メールは、既にプラットフォームとして、送信と受信の両面にて、上記のようなメールに対する厳格な対処を始めています。
Google Workspace - メール送信者のガイドライン
https://support.google.com/a/answer/81126?hl=ja
つまりは、ネイティブなアプリケーション(Gmail や Yahoo メールの Web ブラウザもしくは純正モバイルアプリケーション)以外からの送信、例えば外部一括メール送信サービスなどからの送信は、ガイドラインに沿った認証がされていない場合は、不正なメッセージとして処理される可能性がある、ということになります。
Salesforce から Gmail のアドレスを名乗って送信する場合も、この「外部サービスからの送信」になりますので、未対処のままではまさしく「不正なメッセージとして処理される」というわけです。
では、Salesforce からリードや取引先にメールを送る場合、どうするのが正解なのか?
Salesforce のヘルプにも、関連するエントリが上がっています。
Google の DMARC ポリシー変更による Salesforce 送信メールへの影響について
https://help.salesforce.com/s/articleView?id=000387977&type=1
=========================================
Google は、2016 年 6 月に厳格なメール認証 DMARC (Domain-based Message Authentication, Reporting & Conformance) ポリシーを実装すると発表しました。このポリシーでは、DMARC 準拠のメールサーバに、「差出人」アドレスが @gmail.com で Google のメールサーバから送信されていないメールを却下するように勧めています。
そのため、Salesforce 組織から送信されるメールで、表示される「差出人」アドレスが組織の @gmail.com アドレスになっているが Salesforce のメールサーバから送信されるメールも影響を受けます。これらのメールの受信者が DMARC 準拠のメールサーバを使用している場合、そのようなメールは却下される可能性があります。
=========================================
では、実際に何をすればよいのでしょうか。
=========================================
この変更に備えるため、お客様が管理するドメインに登録し、Salesforce から送信するすべてのメールにこの新しいドメインを使用する必要があります。
(中略)
メールが確実に届くようにするには、お客様が管理していないドメインから Salesforce サービスを通じてメールを送信しないようにします。そのようなドメインには、Gmail や Outlook.com などの主要なサービスプロバイダドメインが含まれますが、それらに限定されません。現時点で、Yahoo、AOL、および Google がこの厳格なメールポリシーを実装済みか実装予定であり、その他のドメイン所有者も今後実装する可能性があります。
=========================================
つまり、お客様の会社で所有するドメインに関連付けられたメールアドレス以外は使用しない、ということが大前提になります。
無料の Gmail はドメインが gmail.com ですが、これはお客様が所有することができないので、Salesforce からのメール送信者の名義としては使えないことになります。
後述のとおり、有料の Google Workspace のように、購入したドメインに関連付けたメールサービスのアドレスが「お客様が管理するドメインに登録した」アドレスになります。
=========================================
セキュリティのベストプラクティスとして、DomainKeys Identified Mail (DKIM) や Sender Policy Framework (SPF) を実装して、不正メールに対する保護をさらに強化することをお勧めします。詳細は、ヘルプトピック「DKIM 鍵の作成」および「送信設定の定義」を参照してください。
=========================================
ここでようやく具体的な施策が出てきました。「SPF」と「DKIM」の実装です。
Salesforce では、どちらか片方ではなく、両方の実装が推奨されています。
「SPF」と「DKIM」の詳細については、以下のリンク先をご参照ください。
JPNIC: インターネット用語1分解説 - SPFとは
https://www.nic.ad.jp/ja/basics/terms/spf.html
JPNIC: インターネット用語1分解説 - DKIMとは
https://www.nic.ad.jp/ja/basics/terms/dkim.html
Salesforce にも公式のヘルプ記事があります。
SPF と DKIM に関する FAQ
https://help.salesforce.com/s/articleView?id=000389240&type=1
Gmail でも、企業向け有料サービスである Google Workspace ならば、お名前ドットコム https://www.onamae.com/ などのドメイン管理会社から予めドメインを購入した上で、申込時にドメインの所有権証明などの手順を経てドメインを Gmail に関連付けることになるので、ドメインに設定した実装が Gmail の送受信時にも反映されることになります。
Salesforce においては SPF も DKIM も「基本的に DNS(ドメインを管理するシステム)での設定」になるのですが、実装においては以下の違いがあります。
SPF: Salesforce にて公開されている固定値を DNS の設定に追加する
DKIM: Salesforce の管理メニューで「鍵の値」を生成し、それを DNS の設定に追加する
SPF を DNS に追加する際の固定値については、以下の公式ヘルプに記載があります。
Salesforce の SPF レコードを設定する場合はどうすればよいですか?
https://help.salesforce.com/s/articleView?id=000384927&type=1
=========================================
Salesforce では、 _spf.salesforce.com の SPF レコードを用意しています。こちらの SPF レコードを DNS サーバの TXT レコードへ、 include:_spf.salesforce.com のように追加をしてください。
新規設定例
v=spf1 include:_spf.salesforce.com ~all
=========================================
DNS への追加方法は、ドメイン管理会社によって若干の相違があります。
ヘルプにはお名前ドットコムの例が記載されていますが、それ以外の場合はドメイン提供元のサポート情報を参照する必要があります。(後述する DKIM の場合も同じです)
SPF の設定と並行して、DKIM の準備も進めておきます。
DKIM は Salesforce 側で予め「DKIM 鍵」を生成しておく必要があります。
設定画面のクイック検索で「DKIM」と入力し、「DKIM 鍵」メニューを開きます。
DKIM 鍵の作成
https://help.salesforce.com/s/articleView?id=sf.emailadmin_create_secure_dkim.htm&type=5
鍵サイズは 2048 ビットの方がよりセキュアとなり、殆どの DNS は 2048 ビットの暗号化鍵に対応していますが、念のため事前に DNS が対応しているかをドメイン管理会社に確認したほうが賢明でしょう。
ドメイン一致パターンについては、Google Workspace の場合はサブドメインを考慮する必要はありませんが、メールサーバーを自社管理している場合など、サブドメインの扱いについては必要に応じてネットワーク管理者様にご確認ください。
=========================================
ドメインパターンのカンマ区切りリスト。このパターンにドメイン名が一致していないと、Salesforce はこの DKIM 鍵でメールに署名できません。次に例を示します。
example.com — 送信ドメインのドメインレベル (「mail.example.com」ではなく「example.com」) が一致する場合にのみ署名
*.example.com — 送信ドメインのサブドメインレベル (「example.com」ではなく「mail.example.com」) が一致する場合にのみ署名
example.com,*.example.com — 送信ドメインのドメインレベルとサブドメインレベル (「example.com」と「mail.example.com」) が一致する場合に署名
=========================================
必要事項を入力して保存すると「CNAME レコード」と「代替 CNAME レコード」が表示されます。
この値を控え、DNS に追加するようドメイン管理会社に問合せをします。
DNS に追加した CNAME レコードと代替 CNAME レコードが公開されると、Salesforce 側の DKIM 設定で有効化が実施できるようになります。
「有効化」ボタンを押すことで DKIM の設定は完了となります。
SPF と DKIM の設定が完了した DNS に関連する Google Workspace の Gmail アドレスを Salesforce の「私のアドレス」に登録し、メールを送信した場合、メッセージヘッダーに dkim=pass のパラメータが追加され、Return-Path のアドレスも bnc.salesforce.com ではなく、お客様のドメインのものに置き換わります。
SPF と DKIM の設定によって、Google Workspace など自社ドメインに基づくメールアドレスを安全に Salesforce のメール送信元として設定することができました。
但し、個別メールの場合はまず問題ないと思いますが、Lightning リストメールや Classic 一括メール送信など、複数の顧客に一斉にメールを送る場合は、セキュリティ要件が若干厳しくなり、もちろん受信側でよりセキュアな制限を掛けている場合、SPF と DKIM の追加だけでは十分ではない可能性もあり得ます。
その場合は、次策として「メールリレーを検討する」「ドメインに DMARC を実装する」といった対処が挙がってきます。
メールサービスプロバイダ DMARC ポリシーの変更: SPAM 防止対策
https://help.salesforce.com/s/articleView?id=000387241&type=1
DMARC とは?
https://help.salesforce.com/s/articleView?id=sf.emailadmin_dmarc.htm&type=5
メールリレーは、Salesforce から送信するメールを一旦すべて特定のメールサーバーを介して再送信するというものです。
これだけで一つのエントリが成立するくらいなので、詳細は日を改めてご案内させていただきます。
ドメインに DMARC を実装する件については、Salesforce ヘルプに以下の記載がありますので、先ずはドキュメントに目を通し、必要性については御社内でご検討いただければと存じます。
=========================================
Salesforce は DMARC をサポートし、DMARC を推奨します。ドメインでこれを実装するかどうかを決定するのはユーザです。
=========================================
===========================================================
弊社サポートチームには、日々お客様より多種多様なお問い合わせを頂きますが、同様のお問い合わせを複数のお客様から頂くことも少なくなく、今回の「SPF と DKIM」についても、お問い合わせを頂かないまでも同様の事象でお悩みの方もいらっしゃるかと思われ、そういったテーマについては今後も引き続き積極的に取り上げさせていただければと存じます。
今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、 何卒よろしくお願い申し上げます。
コメント