PMailServer2 送信者認証

PMailServer2 送信者認証・確認

SPF / SenderID 認証はマルチドメインで運営されている場合も全て同一の設定が適用されます。

SPF / SenderID を利用上の注意事項
SPF / SenderID は送信者のメールアドレスを使って SPF認証を行います。その為メーリングリスト等で、送信者のアドレスと送信サーバーが違う場合、PASS 判定される場合があります。

前提条件

example.com の SPF レコードは「v=spf1 +ip4:192.168.11.2 -all」である。
これは「example.com は 192.168.11.2 から送信され（+ip4:192.168.11.2）、それ以外からは全て不正である（-all）」という条件になります。
メーリングリストの送信サーバーは 10.0.0.2 である。

SPF / Sender ID が FAIL 等になる状態。

送信者が user@example.com でメーリングリストに投稿する。
メーリングリストが user@example.com からのメールを user@example.jp に配信する。
example.jp のサーバーで SPF / Sender ID を確認する。
メールを送信してきたサーバーは 10.0.0.2 だが、SPF では 192.168.11.2 以外は不正である。という設定を行っている為、SPF / Sender ID の結果は FAIL となる。

SPF レコードを DNS に設定する場合、そのドメインで送信をするメールアドレスがメーリングリストに参加している場合などは設定に注意をして下さい。

サーバーマネージャーを起動します。
サーバ管理タブを開き、SMTP用設定タブを開き、送信者認証を開きます。
- SPF Classic / Sender ID
  - SPF Classic / Sender ID で送信元認証を行う
    SMTPプロトコル中の MAIL FROM に従って Sender Policy Framework(SPF)情報を参照します。
    Sender ID 方式(PRA)を利用するが有効になっている場合は、ヘッダ中の from: に対してもチェックが行われます。
    Sender ID は PMailServer2 のみ有効
  - SPF 情報のキャッシュ時間
    DNS へ問い合わせた SPF 情報の結果を指定時間キャッシュします。０を指定した場合はキャッシュされません。
    キャッシュされた情報は cache フォルダに拡張子 .spf で保存が行われます。
    Version 2.52 以降で上記のキャッシュファイル (.spf/ .nospf)ファイルは廃止となりました。
    代わりに拡張子 .txt で対象サーバーの SPF レコードが直接記録されるようになりましたので Cache フォルダにある .spf / .nospf ファイルは削除を行って下さい。
  - SPF 情報による処理
    SPFによる送信者認証を行った結果による処理を指定します。
    - SPF情報を書き込んでスルー
      受信メールのヘッダ中に X-SPF: 又は Received-SPF:(SenderID利用時に SPF Classic で PASS 判定され、PRA方式でチェックが行われた場合のみ）もしくは両方を結果として書き込みます。
      PASS/FAIL/SOFTFAIL/NEUTRAL と PMailServer2 固有の PASS [+ALL] の合わせて５種類があり、それぞれ「送信者は詐称されていません(PASS)」「送信者が詐称されています(FAIL)」「送信者は詐称されていない場合があります(SOFTFAIL)」「送信者の判断ができません(NEUTRAL)」「送信者は詐称されていない結果が出ていますが、全てのIPから送信される設定が行われています(PASS [+ALL])」となります。
      製品版付属の Webmail ではこの情報を参照して認証結果を表示します。またメールクライアント側でフィルターなどを使っている場合は同情報を利用して処理を行うことも可能です。（設定方法等についてはお使いのメールフィルタのマニュアルを参照してください）
    - FAILの場合は受け付けない
      SMTPコマンド中の MAIL FROM の時点で SPF認証を行いますが、その時点で FAIL と判断した場合はメールを受け付けないようにします。
  - SPF問い合わせ時のDNSタイムアウト時間
    SPF情報の問い合わせ時に DNS へのタイムアウト時間を設定します。SPF は頻繁にアクセスが行われる為、MTA と比較して DNS のタイムアウト時間が短く設定されております。この時間を長くする場合は、こちらの値を変更してください。
    最長で「DNSタイムアウト時間×DNSリトライ回数」の処理時間がかかるようになります。
  - SPF問い合わせ時のDNSリトライ回数
    SPF情報の問い合わせ時に DNS へのタイムアウト時間を設定します。SPF は頻繁にアクセスが行われる為、MTA と比較して DNS のリトライ回数が少なく設定されております。この時間を長くする場合は、こちらの値を変更してください。
    最長で「DNSタイムアウト時間×DNSリトライ回数」の処理時間がかかるようになります。
  - 各種フィルタの接続許可又はPASSを SPF にも適用(PMailServer2 のみ利用可能)
    通常は各種フィルタの接続許可又は PASS 設定とは独立して SPF のチェックが行われますが、この設定を有効にすることにより、接続許可された接続からの送信者については SPF チェックを行わないようになります。
  - Sender ID方式(PRA)を利用する。(PMailServer2 のみ利用可能)
    メールヘッダ中に含まれる from: に対しても SPF チェックを行います。
  - ベイジアンフィルタと連動させる。(PMailServer2 のみ利用可能)
    受信アカウントでベイジアンフィルタが有効になっている場合（サーバー側でベイジアンフィルタが有効且つ、Webmail 側でベイジアンフィルタを利用する設定） SenderID の結果でベイジアンフィルタ学習を行います。（SPF Classic はベイジアンフィルタのしきい値で判定をしますが、こちらでは SenderID の結果で行います。
    また、学習のみで、学習した結果からの処理は行われません。
- ローカル送信者確認(Local Sender Policy)
  - ローカル送信者確認
    ローカル送信者確認は、ローカルユーザーが送信を行う際にメールヘッダ中の From: 項目を確認し、この項目に指定されていないメールアドレス又はドメインが指定されていた場合に送信を拒否します。（差出人を詐称して送信が出来なくなります）
    1. ドメイン名を指定する場合は、@example.com のように @ を含むドメイン名を指定してください。
    2. メールアドレスを指定する場合は、user@example.com のように完全な形のメールアドレスを指定してください。
    3. メールアドレス、ドメイン名共に大文字小文字は区別されません。
    4. このオプションは SMTP フィルタと同じ扱いとなります。該当した場合は「動作設定２」の「SMTPフィルタ」の内容に従って処理が行われます。
      ただし例外的に「動作設定２」の「メールサイズ」の影響は受けません。（メールサイズの上限が 500KByte の場合に、他のフィルタは 500KByte 以下でしか確認が行われませんが、このオプションのみサイズ制限を受けずにチェックが入ります）
    5. 拒否、スルーのリストはこちら
- ローカル送信者確認を有効にする
  ローカル送信者確認を有効にします。チェックが入っていない場合は上記のローカル送信者確認は無効となります。
- プロトコル中アドレスと一致しない場合は拒否
  SMTPプロトコル中で指定された差出人のメールアドレスとメールヘッダに含まれるアドレスが一致しない場合に拒否します。（拒否時の処理内容はローカル送信者確認に準拠します）
  「ローカル送信者確認を有効にする」とは排他的に動作します。（こちらにチェックを入れた場合はローカス送信者確認で指定された内容は無効となります）
  例外的に SMTPプロトコル中で空アドレスが指定された場合はチェックは行われません。これは開封確認メールなどで利用される場合がある為です。
- PrivateIPからの送信アドレスにリストを適用
  このオプションは「ローカル送信者確認を有効にする」「プロトコル中アドレスと一致しない場合は拒否」のオプションとは独立して動作します。
  このオプションが有効になっている場合、ループバックアドレス（127.0.0.1）を除くプライベートIPアドレスから接続された場合にSMTPプロトコル中の送信者の指定コマンド(MAIL FROM)で指定する送信者のアドレスのドメインがリストに含まれない場合に MAIL FROM コマンドを受け付けなくなります。（送信が出来なくなります）
  また、このオプションは「接続フィルタ」「SMTP認証」等の影響を一切受けません。
  主にプライベートIPアドレスからの偽装送信や、不正な送信を防ぐ為の機能です。

ローカル送信者確認は主に送信者を偽装したメール（ゾンビＰＣからの送信など）を外部へ配信させない為の機能です。
ただし、以下のようなケースでも該当してしまうので設定には注意を行ってください。

ユーザーがメールアドレスを間違えている場合。
意図的に返信先を変えている場合。
多くの場合は、In-Reply-To: などで返信先を指定しますが、From: 項目に違う返信先を指定している場合も該当してしまう場合があります。（メールマガジンの配信でエラー受信を別にしている場合）
CGI等からメールを送信する場合に From: 項目が設定されていない場合。
送信専用のメールアドレスから送信した場合、返信を受け付けないようにする為に差出人を空欄にする場合があります。この場合も該当します。

特に Trash へ保存する場合、送信者は送信が完了したように見えますので設定には注意をしてください。

自サーバのドメインは example.com、guest@example.com はローカルアドレス
LSP には @example.com と @example.jp を設定

一致＝「プロトコル中のアドレスと一致しない場合は拒否」

No.	LSP	一致	プロトコル中MAIL FROM	ヘッダFROM	結果
1	×	×	guest＠example.com	guest@example.com	スルー(正常)
LSPが無効になっている為スルーされます
2	○	×	guest＠example.com	guest@example.com	スルー(正常)
ヘッダFROMが LSP に登録されている為スルーされます
3	○	×	guest＠example.com	guest@example.jp	スルー(正常)
ヘッダFROMが LSP に登録されている為スルーされます
4	○	×	guest＠example.com	test@example.jp	拒否
ヘッダFROMが LSP に登録されていない為拒否されます
5	○	×	test＠example.jp	test@example.jp	拒否
中継設定が行われていない限り不正中継と見なされます。
6	×	○	guest＠example.com	guest@example.com	スルー(正常)
MAIL FROM とヘッダFROMが一致するのでスルーされます
7	×	○	guest＠example.com	guest@example.jp	拒否
MAIL FROM とヘッダFROMが一致しないので拒否されます
8	×	○	guest＠example.com	test@example.jp	拒否
MAIL FROM とヘッダFROMが一致しないので拒否されます
9	×	○	test＠example.jp	test@example.jp	拒否
中継設定が行われていない限り不正中継と見なされます。

「LSP」と「プロトコル中のアドレスと一致しない場合は拒否」が両方とも有効の場合は「プロトコル中のアドレスと一致しない場合は拒否」のみチェックされます。

「PrivateIPからの送信アドレスにリストを適用」ルール
リストには @example.com を指定

接続元のIPアドレス	MAIL FROM で指定するアドレス	結果
127.0.0.1	abuse@example.com	スルー
127.0.0.1	abuse@example.jp	スルー
192.168.11.1	abuse@example.com	スルー
192.168.11.1	abuse@example.jp	拒否
プライベートIPアドレス以外	abuse@example.com	スルー
プライベートIPアドレス以外	abuse@example.jp	スルー

プライベートIPアドレスは下記の範囲のIPアドレスを指します。

CLASS A	10.0.0.0～10.255.255.255
CLASS B	172.16.0.0～172.31.255.255
CLASS C	192.168.0.0～192.168.255.255