SPF / SenderID 認証はマルチドメインで運営されている場合も全て同一の設定が適用されます。
SPF / SenderID を利用上の注意事項
SPF / SenderID は送信者のメールアドレスを使って SPF認証を行います。その為メーリングリスト等で、送信者のアドレスと送信サーバーが違う場合、PASS 判定される場合があります。
SPF / Sender ID が FAIL 等になる状態。
サーバーマネージャーを起動します。
サーバ管理タブを開き、SMTP用設定タブを開き、送信者認証を開きます。
SPF Classic / Sender ID で送信元認証を行う
SMTPプロトコル中の MAIL FROM に従って Sender Policy Framework(SPF)情報を参照します。
Sender ID 方式(PRA)を利用するが有効になっている場合は、ヘッダ中の from: に対してもチェックが行われます。
Sender ID は PMailServer2 のみ有効
SPF 情報のキャッシュ時間
DNS へ問い合わせた SPF 情報の結果を指定時間キャッシュします。0を指定した場合はキャッシュされません。
キャッシュされた情報は cache フォルダに拡張子 .spf で保存が行われます。
Version 2.52 以降で上記のキャッシュファイル (.spf/ .nospf)ファイルは廃止となりました。
代わりに拡張子 .txt で対象サーバーの SPF レコードが直接記録されるようになりましたので Cache フォルダにある .spf / .nospf ファイルは削除を行って下さい。
SPF 情報による処理
SPFによる送信者認証を行った結果による処理を指定します。
SPF情報を書き込んでスルー
受信メールのヘッダ中に X-SPF: 又は Received-SPF:(SenderID利用時に SPF Classic で PASS 判定され、PRA方式でチェックが行われた場合のみ) もしくは両方を結果として書き込みます。
PASS/FAIL/SOFTFAIL/NEUTRAL と PMailServer2 固有の PASS [+ALL] の合わせて5種類があり、それぞれ「送信者は詐称されていません(PASS)」「送信者が詐称されています(FAIL)」「送信者は詐称されていない場合があります(SOFTFAIL)」「送信者の判断ができません(NEUTRAL)」「送信者は詐称されていない結果が出ていますが、全てのIPから送信される設定が行われています(PASS [+ALL])」となります。
製品版付属の Webmail ではこの情報を参照して認証結果を表示します。またメールクライアント側でフィルターなどを使っている場合は同情報を利用して処理を行うことも可能です。(設定方法等についてはお使いのメールフィルタのマニュアルを参照してください)
FAILの場合は受け付けない
SMTPコマンド中の MAIL FROM の時点で SPF認証を行いますが、その時点で FAIL と判断した場合はメールを受け付けないようにします。
SPF問い合わせ時のDNSタイムアウト時間
SPF情報の問い合わせ時に DNS へのタイムアウト時間を設定します。SPF は頻繁にアクセスが行われる為、MTA と比較して DNS のタイムアウト時間が短く設定されております。この時間を長くする場合は、こちらの値を変更してください。
最長で「DNSタイムアウト時間×DNSリトライ回数」の処理時間がかかるようになります。
SPF問い合わせ時のDNSリトライ回数
SPF情報の問い合わせ時に DNS へのタイムアウト時間を設定します。SPF は頻繁にアクセスが行われる為、MTA と比較して DNS のリトライ回数が少なく設定されております。この時間を長くする場合は、こちらの値を変更してください。
最長で「DNSタイムアウト時間×DNSリトライ回数」の処理時間がかかるようになります。
各種フィルタの接続許可又はPASSを SPF にも適用(PMailServer2 のみ利用可能)
通常は各種フィルタの接続許可又は PASS 設定とは独立して SPF のチェックが行われますが、この設定を有効にすることにより、接続許可された接続からの送信者については SPF チェックを行わないようになります。
Sender ID方式(PRA)を利用する。(PMailServer2 のみ利用可能)
メールヘッダ中に含まれる from: に対しても SPF チェックを行います。
ベイジアンフィルタと連動させる。(PMailServer2 のみ利用可能)
受信アカウントでベイジアンフィルタが有効になっている場合(サーバー側でベイジアンフィルタが有効且つ、Webmail 側でベイジアンフィルタを利用する設定) SenderID の結果でベイジアンフィルタ学習を行います。(SPF Classic はベイジアンフィルタのしきい値で判定をしますが、こちらでは SenderID の結果で行います。
また、学習のみで、学習した結果からの処理は行われません。
プロトコル中アドレスと一致しない場合は拒否
SMTPプロトコル中で指定された差出人のメールアドレスとメールヘッダに含まれるアドレスが一致しない場合に拒否します。(拒否時の処理内容はローカル送信者確認に準拠します)
「ローカル送信者確認を有効にする」とは排他的に動作します。(こちらにチェックを入れた場合はローカス送信者確認で指定された内容は無効となります)
例外的に SMTPプロトコル中で空アドレスが指定された場合はチェックは行われません。これは開封確認メールなどで利用される場合がある為です。
PrivateIPからの送信アドレスにリストを適用
このオプションは「ローカル送信者確認を有効にする」「プロトコル中アドレスと一致しない場合は拒否」のオプションとは独立して動作します。
このオプションが有効になっている場合、ループバックアドレス(127.0.0.1)を除くプライベートIPアドレスから接続された場合にSMTPプロトコル中の送信者の指定コマンド(MAIL FROM)で指定する送信者のアドレスのドメインがリストに含まれない場合に MAIL FROM コマンドを受け付けなくなります。(送信が出来なくなります)
また、このオプションは「接続フィルタ」「SMTP認証」等の影響を一切受けません。
主にプライベートIPアドレスからの偽装送信や、不正な送信を防ぐ為の機能です。
No. | LSP | 一致 | プロトコル中MAIL FROM | ヘッダFROM | 結果 |
1 | × | × | guest@example.com | guest@example.com | スルー(正常) |
LSPが無効になっている為スルーされます | |||||
2 | ○ | × | guest@example.com | guest@example.com | スルー(正常) |
ヘッダFROMが LSP に登録されている為スルーされます | |||||
3 | ○ | × | guest@example.com | guest@example.jp | スルー(正常) |
ヘッダFROMが LSP に登録されている為スルーされます | |||||
4 | ○ | × | guest@example.com | test@example.jp | 拒否 |
ヘッダFROMが LSP に登録されていない為拒否されます | |||||
5 | ○ | × | test@example.jp | test@example.jp | 拒否 |
中継設定が行われていない限り不正中継と見なされます。 | |||||
6 | × | ○ | guest@example.com | guest@example.com | スルー(正常) |
MAIL FROM とヘッダFROMが一致するのでスルーされます | |||||
7 | × | ○ | guest@example.com | guest@example.jp | 拒否 |
MAIL FROM とヘッダFROMが一致しないので拒否されます | |||||
8 | × | ○ | guest@example.com | test@example.jp | 拒否 |
MAIL FROM とヘッダFROMが一致しないので拒否されます | |||||
9 | × | ○ | test@example.jp | test@example.jp | 拒否 |
中継設定が行われていない限り不正中継と見なされます。 |
「PrivateIPからの送信アドレスにリストを適用」ルール
リストには @example.com を指定
接続元のIPアドレス | MAIL FROM で指定するアドレス | 結果 |
127.0.0.1 | abuse@example.com | スルー |
127.0.0.1 | abuse@example.jp | スルー |
192.168.11.1 | abuse@example.com | スルー |
192.168.11.1 | abuse@example.jp | 拒否 |
プライベートIPアドレス以外 | abuse@example.com | スルー |
プライベートIPアドレス以外 | abuse@example.jp | スルー |
プライベートIPアドレスは下記の範囲のIPアドレスを指します。
CLASS A | 10.0.0.0〜10.255.255.255 |
CLASS B | 172.16.0.0〜172.31.255.255 |
CLASS C | 192.168.0.0〜192.168.255.255 |