DMARCレポートで、SPFレコードなしのSPF認証混合合格/不合格

さまざまな認証メカニズムがチェックされるアドレスを理解することが重要です。電子メールメッセージには、少なくとも2つのfromアドレスがあります。エンベロープfrom（RFC 5321）とヘッダーfrom（RFC 5322）です。SPFはエンベロープfromアドレスに対してチェックされ、DMARCはヘッダーfromに対してチェックされます。いくつかの例を使用する場合：

ENV From: [email protected]
HEADER From: [email protected]

SPFレコードの欠如は自動パスであり、ドメインは同じであるため、DMARCSPFアライメントがパスします。

ENV From: [email protected]
HEADER From: [email protected]

SPFはdifferentdomain.comに対してチェックされ、ルールに応じて合格する場合と合格しない場合があります。DMARCはドメインに対してチェックされますが、ドメインが異なるため、SPFアライメントは失敗します。

DMARCでは、SPFアライメントが必要です[〜＃〜]または[〜＃〜] DKIMアライメントが合格します。 SPFアライメントがENVFromドメインを渡すには、ドメインからのヘッダーと同じであり、SPFが渡す必要があります。 DKIMアライメントがDKIMのd=属性で指定されたドメインを渡すには、fromヘッダーのドメインと一致し、DKIM署名が有効である必要があります。

アドレスがヘッダーにある場合はDMARCレポートを取得しますが、エンベロープ内のドメインでない場合は、ドメインが何であれ、SPFの結果が表示される場合があります。いずれの場合も、DKIM署名が正しく行われていれば、DMARCに合格します。これは、どちらか一方のアライメントチェックに合格するだけでよいことを忘れないでください。

DMARCレポートの例：

ホスト216.207.245.17（逆ルックアップはlists.digium.comを教えてくれます）はあなたのメールドメインに代わって147通のメールを送信します。これらのメールはSPFチェックに合格しますが、SPFチェックに使用されるドメインは整列しないため、メールドメイン、DMARCに関して失敗します。

特にメールフォワーダー/メーリングリストはこのように動作します。電子メールをリストのメンバーに配布する前に、バウンスアドレス（別名smtp.mailfrom/return-path/Envelope from address）が書き直され、配信不能レポート（NDR）がメーリングリストプロバイダーに返送されます。元の送信者ではありません。

FROMアドレスが電子メールクライアントの受信者に表示されている間、envelope fromアドレスは非表示になっていますが、[〜＃〜]は[〜＃〜]ですSPFをオンにするために使用されます。 SPF（またはDKIM）だけでは、受信者が見るFROMアドレスを認証しないため、DMARCがフィッシングから保護することが非常に重要であるのはこのためです。

envelope fromドメインとDMARCドメイン間のアラインメントが削除されるため、メーリングリストの通常の動作はSPFチェックでのFROM認証に失敗します。また、件名などのDKIM署名済みフィールドが編集されることがあり、これにより元のDKIM署名が破損します。これが、ARC（Authenticated Received Chain） がDMARCの拡張として作成されている理由です。残念ながら、ARCはまだドラフト段階です。

したがって、この例を振り返ると、メーリングリストプロバイダーはenvelope fromアドレスを[email protected]に書き換え、受信メールサーバーはドメインlists.digium.comでSPFをチェックします。見つかったレコード："v=spf1 a mx ip4:216.207.245.0/26 ~all\"。 SPFは合格し（216.207.245.17は範囲216.207.245.0/26の一部です）、DMARCは失敗します。 DMARCポリシーのアクションと受信サーバーの構成によっては、電子メールがスパムとしてマークされたり、隔離されたり、拒否されたり、受信トレイに配信されたりする場合があります。