2024.5.31「Salesforce - SPF と DKIM を設定しているのに Pass にならない - メール送信設定の「不達管理」と「メールセキュリティ準拠」のチェックについて
お世話になっております。
ウフル カスタマーサポートでございます。
今まで2回にわたって「Google のメール送信者ガイドライン変更に伴う SPF と DKIM の設定」に関してのご案内をしてきました。
2023.11.16 「Salesforce からメールを送信する際、SPF と DKIM の設定は実施済みでしょうか?」
https://csminfo.uhuru.jp/hc/ja/articles/25241204309017
2024.1.31 「改めてのリマインドです、SPF / DKIM /DMARC の設定はお済みでしょうか & 最近問合せの多い "証明書の有効期限が近づいています" について」
https://csminfo.uhuru.jp/hc/ja/articles/28251688204441
こちらの記事に関して、弊社にて保守サポートをさせていただいているお客様より、「設定したはずなのに、受信側でメールヘッダーを見ると、DKIM が "Pass" になっていないので、Google のガイドラインが実施されたら、今後メールが受信できなくなるかどうか不安だ」という問合せを数件いただきました。
改めて確認をいたしましたところ、Salesforce のメール設定が絡んでいるようでしたので、お客様にも情報共有をさせて頂きます。
「不達管理」と「メールセキュリティ準拠」が、ヘッダーの Return Path を変更してしまう?
Salesforce 管理メニューの [メール設定] - [送信] には、以下のメニューがあります。
- 不達管理 (Salesforce またはメールリレーからのメールのみ)
- メールセキュリティ準拠 (Salesforce またはメールリレーからのメールのみ)
不達管理、ならびに標準メールセキュリティのメカニズムへの準拠を有効にすることにより、メールヘッダー内の Return Path (envelope-from)が "sampleemail=salesforce.com__abc123@abc123.bnc.salesforce.com" といったものに変更されます。(Salesforce ヘルプでは「可変エンベロープリターンパス (VERP) 」と記載されています)
Google Workspace や個人 Gmail でメールを受信した際に、送信者名義によく「○○の代理で no-reply@salesforce.com が送信」と表示されているのを目にした方も多いと思いますが、それはこのヘッダーでの送信者情報の相違を Google 側が検知して、「受信者をなりすましメールから保護するために」表示する機能が発動し、このような表記になっているわけです。
Gmail の受信者 - “via” に続いて “d.bnc.salesforce.com” と表示されるのはなぜですか?
https://help.salesforce.com/s/articleView?id=000385778&type=1&language=ja
DKIM を有効化することにより、Salesforce から送信したメールの Return Path が、お客様が保有するドメインのものに置き換わることで、From ヘッダーのドメインと envelope-from のドメインが一致し、DKIM が Pass となるのですが、不達管理とメールセキュリティ準拠を有効化することで envelope-from のドメインが salesforce.com のものに変更されるため、結果として DKIM が Pass とならず、Gmail で受信した際の送信者ガイドラインに抵触し、受信がブロックされるリスクが高くなります。
SPF と DKIM のアラインメントが失敗する
https://help.salesforce.com/s/articleView?id=000381292&type=1&language=ja
~~~~~~~~~~
SPF のアライメントが失敗する根本原因:
不達管理およびメールセキュリティコンプライアンス、またはどちらかの設定が有効になっています。DKIM 署名が一致してパスする限り、DMARC はSPF も一致させる必要はありません。そのため、不達処理を継続したいお客様には DKIM の設定をお勧めします。
この 2 つの設定のいずれかが組織で有効になっている場合、envelope-from は、
sampleemail=salesforce.com__abc123@abc123.bnc.salesforce.com などの可変エンベロープリターンパス (VERP) アドレスに変更されます。この場合、envelope-from が From ヘッダーのドメインと一致しないため、DMARC のアライメント要件を満たしません。
DKIM のアライメントが失敗する根本原因:
DKIM 鍵のドメイン項目が From ヘッダーのドメインと一致しません。
~~~~~~~~~~
現時点でのベストプラクティス:SPF と DKIM を有効化し、不達管理とメールセキュリティ準拠を無効化する
では具体的にどうするのが最適解でしょうか。
答えは表題のとおりです。
実際に、Salesforce の「メールセキュリティ準拠」のヘルプにも、以下の記載があります。
メールセキュリティ準拠の有効化
https://help.salesforce.com/s/articleView?id=sf.emailadmin_enable_email_security_compliance.htm&type=5&language=ja
~~~~~~~~~
メモ
ほとんどの受信者は送信者 ID を使用しなくなりました。メールの受信者が送信者 ID を必要としていることを認識していない限り、この機能を有効にすることはお勧めしません。詳細は、送信者 ID に関する Microsoft Exchange の記事を参照してください。
Exchange Serverの送信者 ID
https://learn.microsoft.com/ja-jp/exchange/antispam-and-antimalware/antispam-protection/sender-id?view=exchserver-2019
~~~~~~~~~
「メールセキュリティ準拠」のチェック項目は、筆者(ウフル後藤)が Salesforce 業務に携わるようになった 2009 年の時点には既にありましたが、その後メール送受信をとりまくセキュリティ的な要件は大きく変わってきており、SPF と DKIM の実装がもはや必須化した今、この機能は「時流にそぐわないもの」になりつつある、という次第です。
その認識を前提として Salesforce のヘルプをチェックしたところ、公式にそのことが謳われていました。
私の組織にとってどのメール設定が最適ですか?
https://help.salesforce.com/s/articleView?id=000382640&type=1&language=ja
~~~~~~~~~
Send through Salesforce の推奨される設定
あなたのメールアドレスドメインが貴社 (mycompany.com など) によって所有されている場合:
- 「Enable compliance with standard email security mechanisms (標準のメールセキュリティメカニズムへの準拠を有効にする)」を無効にします。
- 「Enable Sender ID compliance (Sender ID 準拠の有効化) 」を無効にします。
- Salesforce の SPF レコードをクライアントのドメイン DNS に追加して、Salesforce が承認済みの送信者、たとえば SPF レコード「v = spf1 mx include:_spf.salesforce.com〜all」であることを示します。
- より良い配信性のために DKIM を設定してください。
~~~~~~~~~
「メールセキュリティ準拠」と同様に「不達管理」もヘッダーの From パスを salesforce.com のものに置き換えてしまうので、こちらも DKIM の要件を阻害するものとなります、同様に無効化する必要があります。
不達管理とメールセキュリティ準拠をそれぞれ有効化した際に From ヘッダーの値がどうなるかについては、こちらのヘルプにわかりやすい対照表があります。
メールセキュリティの維持
https://help.salesforce.com/s/articleView?id=sf.emailadmin_email_security.htm&type=5&language=ja
上記のことからわかるのは、まず DKIM 有効化ありきで、Salesforce 側で提供されているメールセキュリティ準拠の機能が DKIM を阻害するので、不達管理も含めてメールセキュリティ準拠の無効化が必要となり、それにより SPF に準拠しなくなるため、ドメイン側に SPF の設定をしてください、という流れであることです。(不達管理を有効化するだけで SPF が Pass になるのは初めて知りました、From ヘッダーの値を書き換えるんですから確かにそうですよね)
Salesforce 組織から取引先責任者に一切のメールを送信しないのでしたら施策は不要ですが、そのような運用をされているお客様も稀かと思います、今回の記事をご参照の上、今一度メール送信設定のご確認をいただければと存じます。
=================================================
お客様からのお問合せを受けて調査をすることで、今回の記事が作られました。
実際にタイプしている時間の数倍、情報の裏取り(執筆者の認識が間違ってないか、Salesforce や Google の公式ヘルプを逐一参照する工程)に時間を要しております。
もし認識に相違または不足点などありましたら、是非お知らせください、改めて調査の上、フォロー記事に反映させていただきます。
ご不明点は遠慮なくご相談ください。
今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、 何卒よろしくお願い申し上げます。
コメント