メーリングリストにおけるGmailへの配送不可となる事象について
Google は gmail にメールを送る送信者に対し、2024年2月以降は送信者ガイドラインに従うことを求めております。
この中で、Google はメールの転送を行う場合には ARC (The Authenticated Received Chain, RFC8617) を使用することを推奨する一方で、SPFやDKIMによる送信者の検証に成功した場合でも ARC の検証に失敗した場合、あるいは失敗が見つかった場合には送信者のドメインの検証に成功しなかったとみなすと言及しております。
ここで、問題になるものはメーリングリスト等でSubjectの書き換えや本文中のヘッダやフッタの挿入、添付ファイルの除去などの変更を行った場合には、その書き換えによって ARC の検証情報が壊れるために ARC の検証も失敗するようになるということです。ARCではその性質上ARCのchainの検証と署名を切り離せないため[3]、メーリングリストシステム自身が責任をもって検証、書き換え、再署名を行うことが必要になります。
JCA-NETでは Google のメール送信者のガイドラインに従うべく ARC を導入いたしましたが、現在使用しております Mailman 2 ではこの ARC に対応する機能をもっておりません。その結果として、現時点では上記の理由によってメーリングリストからのメールの配送が Google によって受信拒否される可能性が高くなっております。
このため、JCA-NETのメーリングリストサーバーでは外部ソフトウェアと連携してARC機能に対応させる改修を行います[4]。対策を完了するまではしばらくご迷惑をおかけいたしますが、何卒ご理解・ご協力をお願い致します。
(2024-02-09 追記)
Google の "メール送信者のガイドラインに関するよくある質問" によれば、メール送信者ガイドラインに従わないことを理由に受信の拒否を実際に開始するのは4月以降とのことです。従いまして、現2024年2月の時点でGmailでメールを受ける受信者宛にメールが届かない問題があります場合には、2024年2月から適用される送信者ガイドラインの変更とは無関係の問題と考えられます。
以下にメーリングリストの配信メールが参加者に届かなくなる理由の例を挙げます
- メーリングリストでSubjectにプレフィクスを入れる書き換えや添付ファイルの除去、本文内の先頭や末尾に案内文の挿入などを行うことを行うと、投稿者のドメインでDKIMの署名をつけていても、その署名が壊れ、DKIMの検査もfailすることになります。
- JCA-NETのメーリングリストではリスト参加者へのメールの配信においてはエンベロープ送信者をメーリングリスト専用のメールアドレスを用い、その送信を行うサーバーに対してSPFによるドメイン認証を設定しております。メーリングリストの設定で "From を書き換え"[1] を設定していない場合には、ヘッダの From: のメールアドレスとエンベロープ送信者のドメインが異なるものとなりますため、SPFの結果によらずDMARCの結果にpassすることを求めるサイトでのメール受信ができなくなります
- メーリングリスト設定で"From を書き換え"[1] を設定していない場合、リスト参加者が転送を行ったときに転送先の受信ポリシーでSPF,DKIM,DMARC等にpassすることを求める場合にはSPFも有効ではなくなるためにメール受信ができなくなります
これらは、メーリングリストの設定にて"From の書き換え"または"メール内に添付"を行うように設定した場合[1]にはヘッダーのFrom: もメーリングリスト専用のアドレスに設定を行った上で DKIM の署名を行い、DMARCの検証もpass するようになりますため、この設定をおこなった場合には SPF,DKIM,DMARC の検査にpassしないことを理由として受信を拒否されることは原則としてありません。
その他の理由としては、受信者のドメイン固有のポリシーによりメールの内容の検査やIPアドレスや送信元のドメインに対するreputation(評判)などを組み合わせて迷惑メールの判定を行っている場合なども考えられますが、そうした場合にはメール受信を拒否した理由を送信側に正直にその詳細を伝えてくるとも期待できないため、一般にはその正しい理由を知ることはできません。
[1] "From を書き換え" についての設定は[全体オプション]内のもの(from_is_list)と[プライバシーオプション]->[送信者フィルタ]内の投稿者のメールアドレスのドメインがDMARCに対応している場合のもの(dmarc_moderation_action)がありますが、[全体オプション]内のもの(from_is_list)を指しています。
[2] "メール内に添付" を設定した場合、改修を行うまでもなく、もともとメーリングリストシステムから新規のメールを送るという動作を行っておりました。(2024-02-09 20:45 追記)
[3] OpenARC milterの古いバージョンでは検証と署名を切り離せませんでしたがより新しいバージョンのものでは検証と署名を切り離すことが可能で、検証を行った結果を保存しておき必要な変更を行った後に適切に再送時に署名用milterにその検証結果を引き渡せれば正しくARCを継続することが可能です。(2024-02-11 05:15 追記)
[4]2024-02-13 以下より訂正 「このため、JCA-NETのメーリングリストサーバーではメーリングリストの設定で "From の書き換え"[1] ((この部分訂正により削除) または "メール内に添付")[2] を選択した場合には投稿者からメールサーバーへの配送の記録を削除して、新たなメールとして配送する対策を近日中に実装いたします。」
(2024-02-09 15:20 上記メーリグリストで届かなく理由の列挙内にDKIMの署名が壊れる問題を追記)
(2024-02-11 追記)
Mailman 2単体ではなく、他のソフトウェアと組み合わせることでARCに対応することが可能な見込みが立ちました。ただし、Mailman 2にも一部に変更を加える必要があるため、対応完了までしばらくお待ちください。
(2024-02-13 追記)
対応のためのソフトウェアの修正は完了しましたので、次回のメンテナンスにより対応が完了する見込みです。
(2024-03-04 追記)
2024-02-20のメンテナンスにより対応が完了いたしました。