JCA-NETのサービスでは主にWebでの使用を想定して独自ドメイン利用の設定を提供しておりましたため、その独自ドメインのメールアドレスを用いてのメール送信については特にそのためのサーバー設定は提供しておりませんでした。

しかしながら、昨今はメールアドレスのなりすましやドメインの試用サービスや格安ドメイン等を用いた迷惑メールが数多く見られるようになることに伴い、メール受信サーバーに於いてメール送信者のドメインの検査を行えるようにと送信側のメールサーバーを設定することが求められるようになってきております。

そうした中で、大手通信事業者で Google が運用する Gmail は昨年(2023年)10月の「メール送信者のガイドライン」の改訂にて今年(2024年)の2月より、メール送信者のホスト/ドメインに対しての要求を引き上げることを予告しております[1][2]。

[1] メール送信者のガイドライン(日本語)
https://support.google.com/mail/answer/81126?hl=ja
[2] Email sender guidelines
(上記の英語;日本語版は内容が遅れて改訂され,内容に誤りがあることがあります)
https://support.google.com/mail/answer/81126?hl=en

その中で、Gmailに確実にメールを届けるためにはドメインの送信者ドメイン認証のSPF, DKIM および DMARC を設定すること、さらにはメールを転送する場合にはARC にも対応することを求めています。

このため、JCA-NETの独自ドメインサービスでも送信者ドメインの認証のための SPF, DKIM, DMARC の設定の申し込みの受付をいたします。(ただし、DKIMにつきましては、別途会員向けにメールにてお知らせいたします送信時のSMTP認証の厳格化の実施の後に適用とさせていただきます)

[SPFについて]
SPF はエンベロープ送信者メールアドレス(From: ヘッダで示される送信者のメールアドレスではなくメールサーバー間でのメール送信のやりとりで示される送信者のメールアドレス; envelope from)のドメインに対し、そのドメインのメールを送信する可能性のあるメールサーバーのホスト名あるいはIP addressのリストを宣言しておき、受信者側メールサーバーで確かにそれらのメールサーバーからメールが送られていることを確認するというドメイン認証の方式です。

より詳しくは情報処理推進機構(IPA)作成の以下の資料をご覧ください。

なりすましメール撲滅に向けたSPF（Sender Policy Framework）導入の手引き:
https://warp.ndl.go.jp/collections/info:ndljp/pid/12308150/www.ipa.go.jp/security/topics/20120523_spf.html

メール送信を行う可能性のあるメールサーバーのリストはドメインの情報を登録するためのDNS(domain name service)にあらかじめ登録しておく必要があります。このため、自身の独自ドメインにてこの SPF の利用を希望される場合には、JCA-NETのメール送信サーバー(mail.jca.apc.org)以外から契約サイトのドメインを送信者とするようなメールアドレスを用いてのメールの送信を(JCA-NETのメールサーバーにてSMTP認証を行わずに)行う可能性のあるホストをお知らせ下さることが必要になります。

自身の独自ドメインのメールアドレスからのメールはすべてJCA-NETのメールサーバーからのみ送信を行う場合には、その旨をお知らせいただければ設定をいたします。

なお、DKIMを同時に併用する際には JCA-NET のメール送信サーバー以外から契約サイトのドメインを送信者とするメールを直接受信者のメールサーバーへと送信する場合の対応は難しくなりますので外部のWebサーバー、JCA-NETのWebサーバーなどからのメールの送信についてはJCA-NETのメールサーバーでSMTP認証を行った上で送信するようにすることをお勧めいたします。

SPF によるドメイン認証は、受信者側でメールの転送を行った場合には転送先のメールサーバーから見ると、その受信者側のメールサーバーから送信されたように見えるため、転送元のドメインおよび転送先のドメインがそれぞれARCという送信者ドメインを補強する技術を導入していない場合には送信者ドメイン認証に失敗する場合があるという弱点がありますため、SPFだけではなくDKIMを併せて設定を行うことをお勧めいたします。

[SPF利用の申込みについて]
SPF利用の申込みについては、

1. 申し込み対象の現在ご利用中のドメイン
2. SPFの利用を希望する旨
3. JCA-NETのメール送信サーバー(mail.jca.apc.org)以外からのサイトのドメインを送信者としたメール送信の有無
4. 2.で有りの場合、その送信を行うサーバーのIPアドレス、ホスト名の一覧

をお知らせ下さい。

[DKIMについて]
DKIM は送信するメールの内容について、その送信者情報(送信者メールアドレス等)および本文に対してそのドメイン固有の公開鍵暗号を用いて署名を行い、受信者側サーバー(あるいは受信者自身)が確かにそのドメインの責任をもって内容を保証する(途中で改竄されたり、虚偽の署名を用いたりしたものでないことを保証する)というドメイン認証の方式です。

DKIM についてのより詳しい解説は以下のIAjapan作成の資料が参考になるかと思います。

IAjapan - 技術解説 - DKIM (Domainkeys Identified Mail):
https://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/
(8. ADSP および 9. の中の ADSP に関する部分は廃止済みのために参考にしないでください)

DKIM の導入につきましては、独自ドメインを管理されている会員の方からの利用の申し込みがありましたら設定を致します。ドメイン固有の公開鍵暗号の鍵生成、公開鍵のDNS登録、メール送信時にサーバーで秘密鍵にて署名を行う設定を行います。

DKIMの導入そのものにつきましては申込み以外には利用者側での設定変更は必要がありません。しかしながら、DKIMの署名付でメールを送るには以下の条件を満たす必要があります。

• メールの送信サーバーに mail.poem.jp を使用し、SMTP認証を行うこと
• envelope from とヘッダーの送信者メールアドレスが一致すること

上記2つの条件を満たさない場合にはメールの送信自体は受け付けてもDKIMの電子署名は付与しませんのでご注意下さい。特にJCA-NETのメール送信サーバー以外のサーバーから送信先のサーバーへと直接通信してメールを送信を行おうとした場合には別途そのサーバーにおいてもDKIMの署名の設定を行わない限りは電子署名がつかないことになります。

なお、独自ドメインのメールアドレスにおいて、envelope from に使用できるメールアドレスについてはJCA-NETのメールサーバーでのSMTP認証の厳格化を適用後は

• 自身の利用している独自ドメインにおいて aliasが設定されていてそのメンバーとなっているもの
• JCA-NET事務局に設定の依頼があったもの

に限られます。

ヘッダーの送信者メールアドレスとは、送信メールにSender: ヘッダーがある場合には Sender: ヘッダーで示されるメールアドレスで、Sender: ヘッダーがない場合には From: ヘッダーのメールアドレスのことです。(From: ヘッダーはその送信メールの内容を記した者のメールアドレスを示しますが、メールを
記した者とメールを送信した者が異なる場合にはSender: ヘッダーで送信者を示します。メールを記した者と送信した者が同一である場合には From: のみでSender: ヘッダーは付与しません)

使用することを許されたメールアドレスと異なるメールアドレスを From: ヘッダーに使用する場合には Sender: ヘッダーに envelope from と一致するアドレスを設定するようにして下さい。envelope from と From: または Sender: ヘッダーで指定したメールアドレスが異なる場合には、送信サーバー側で送信依頼を拒否するということはありませんが、DKIMの署名は付与されませんので受信者側のメールサーバーで受信を拒否される恐れがあります。

DKIM署名は DKIM-Signature: というメールヘッダーとして付与されます。DKIMの設定が行われた後に自身の送信メールに署名がついているかどうかを確認するには「SMTP認証の厳格化について」の(註)に示した方法にて自身にメールを送信して、そのヘッダーを表示してみて下さい。

DKIM設定に併せてDMARC設定にて「DKIM認証に成功しなかったメッセージを 1. 拒否する、または 2. 隔離する」と宣言した場合には、受信時のDMARCの判定を導入しておりますサイトにおいては、DKIMの署名が付与されていないメールは迷惑メールボックスに振り分けられたり届かなくなったりします。また、DMARC判定を導入を導入していないサイトにおいてもDKIM認証を通るメールがある場合にはその送信元でDKIM認証を通らないメールは受信を拒否するような迷惑メールの学習やサイトのポリシーによって、DKIM署名のメールが届きにくくなるおそれはありますのでご注意下さい。

[DKIM利用の申込みについて]
DKIM利用の申込みについては、ご利用のドメインを明記の上利用を申し込む旨のみお知らせいただくだけで結構です。

[DMARCについて]
DMARC とは SPF と DKIM によるドメイン認証の枠組みを補強する仕組みで、自身のドメインを送信者メールアドレスとするメールにおいてSPFおよびDKIMによるドメイン認証を通らなかったメールをどのように扱って欲しいかを宣言として公開しておくという仕組みです。具体的に DMARC による検証の失敗というのは

1. SPFについて、エンベロープ送信者メールアドレスに対するSPFの検証が失敗するかヘッダーの From: のメールアドレスのドメインがエンベロープ送信者メールアドレスのドメイン(relaxモードの場合にはサブドメインで良い)に一致しない場合
2. DKIMにおいて、ドメイン認証に失敗するか、ヘッダーの From: のメールアドレスのドメインがDKIMでの署名を行ったドメイン(relaxモードの場合にはサブドメインで良い)に一致しない場合

の両方に合致してしまった場合を指します。

SPFを導入済みであれば、JCA-NETのメール送信サーバーをSMTP認証つきで利用した上で、ヘッダーの From: を エンベロープ送信者メールアドレスに一致させている場合、受信者側のメールサーバーがメールの転送を行っている場合、あるいは特殊な障害が発生した場合以外は(1)の失敗となることはありません。

また、DKIMを導入済みであれば、JCA-NETのメール送信サーバーをSMTP認証つきで利用した上で、ヘッダーの From: を エンベロープ送信者メールアドレスに一致させている限りは(2)の失敗となることは、特殊な障害が発生した場合以外はありません。

失敗したメールの扱いについては

(a) none

特別な扱いをせずに受け入れる

(b) quarantine

不審なメールとして隔離(迷惑メールとして振り分ける)

(c) reject

受け入れを拒否する

のいずれかを宣言します。DMARC に対応した受信者側メールサーバーはこの宣言を見てDMARCの検証に通らないメールの扱いを決めることになります。

また、さらに、自ドメインを送信者として名乗っているにもかかわらずDMARCの検証に通らなかったメールを分析するため、DMARCに対応した受信サーバーからDMARC検証の結果のレポートを送ってもらうためのメールアドレスの登録を行うことも可能です。レポートには一定期間ごとの定期集計レポートと検証に失敗したメール毎のレポートがあり、それぞれについてのレポートの送り先を宣言に含めることが可能です。このレポートの送り先の宣言は必須のものではありません。また、少なくとも現時点ではそれぞれのレポートの分析はJCA-NETおよび市民電子情報網のサービスでは行っておりません。自ドメインのなりすましメールや不正利用について積極的に分析を行いたいなどの御要望がございます場合には、別途ご相談ください。

なお、Google の送信者ポリシーにおいては DMARC が設定されていることが要件に挙がってはおりますが、現在のところはその設定したポリシーとしては(a)の none を許容はしております。しかしながら、今後のポリシーの改訂によっては(b) quarantine または (c) の reject とすることを要求される可能性があることには注意が必要です。

[DMARCの導入について]
SPFまたはDKIMあるいは両方が導入済み、または同時に申込みの場合のみDMARCの導入の申込みを受け付けます。

申込みにあたっては以下をお知らせ下さい。必須項目は 1., 2., 3. の三つのみです。

1. (必須) 申し込み対象の現在ご利用中のドメイン
2. (必須) DMARCの利用を申し込む旨
3. (必須) DMARC に失敗した場合に受信サーバーでとってほしい扱いについて、上のセクションで説明した (a) none, (b) quarantine, (c) reject のどれか。
4. (なくてもよい) サブドメインのメールアドレスについて、 DMARC に失敗した場合に受信サーバーでとってほしい扱いについて、上のセクションで説明した (a) none, (b) quarantine, (c) reject または (d) 指定しない のどれか。特に指定がなければ(d)として扱います。
5. (なくてもよい) DMARC のポリシーを適用するメールの割合の100分率(0～100までの整数)。指定しない場合には100%となります。
6. (なくてもよい) DMARCにおけるSPFの検証において、From: ヘッダーのドメインにサブドメインを許すかどうか。特に指定がなければ宣言には指定を行いません(サブドメインを許す動作となります)
7. (なくてもよい) DMARCにおけるDKIMの検証において、From: ヘッダーのドメインにサブドメインを許すかどうか。特に指定がなければ宣言には指定を行いません(サブドメインを許す動作となります)
8. (なくても良い) DMARCの集計レポートを受け取るメールアドレス。これを指定する場合には、このメールアドレスはDMARCの申し込み時点で存在するメールアドレスである必要があります。また、当該独自ドメインサイト以外のメールアドレスを指定することは可能ですが、その場合には集計レポートを受け付けるメールアドレスのドメインの管理者に事情を説明した上でそちらの管理者に設定を別途御依頼ください。
9. (なくても良い) DMARCの失敗レポートを受け取るメールアドレス。これを指定する場合には、このメールアドレスはDMARCの申し込み時点で存在するメールアドレスである必要があります。また、当該独自ドメインサイト以外のメールアドレスを指定することは可能ですが、その場合には失敗レポートを受け付けるメールアドレスのドメインの管理者に事情を説明した上でそちらの管理者に設定を別途御依頼ください。
10. (なくてもよい; 8. を指定した場合のみ)失敗レポートを送る条件。以下の 0, 1, d, s のいずれか
    

    0 ...

    SPFおよびDKIMのDMARCによる検証のどちらも成功(pass)しなかった場合

    1 ...

    SPFおよびDKIMのDMARCによる検証のどちらか一方でも成功(pass)しなかった場合

    d ...

    DKIMの署名の検証が成功しなかった場合

    s ...

    SPFの評価に成功しなかった場合

    指定がない場合には 0 の場合と同様となります。

以上