エンベロープFrom・ヘッダFromの使い分けと送信ドメイン認証解説

お客さんにうちで運管しているＷＥＢシステムでのメール送信処理について、変更してほしいと依頼がありました。 お客さんから依頼があった内容は以下の通り。

1. メール送信元アドレスを変更したい
2. 「エンベロープFrom」と「ヘッダFrom」で別ドメインを設定したい
3. DKIM・SPF・DMARCの送信ドメイン認証を満たしたい

1.はメールアドレスを変更するだけで良かったですが、問題は2.と3.でした。なんもわからん。。。

「エンベロープFrom」と「ヘッダFrom」

ヘッダFrom

• 概要:
  ユーザーがメールクライアントで目にする送信者情報です。
  差出人の名前やメールアドレスが表示され、受信者が誰からメールを受け取ったかを確認するために使われます。

エンベロープFrom

• 概要:
  メールの配送システムが使用する実際の送信元アドレスです。
  Return-Pathに記録され、配信エラーの通知など、メールの配信プロセスに関わる情報として利用されます。

「エンベロープFrom」と「ヘッダFrom」を分けるメリット

• セキュリティの強化
  エンベロープFromは実際の配送システムで利用されるため、ヘッダFromとは別に管理することで、なりすましや改ざんを防止しやすくなります。

• 柔軟な配信管理
  送信エラーやバウンスの通知はエンベロープFromで処理でき、ユーザーに表示されるヘッダFromはブランディングや表示の目的に合わせて独立して設定できます。

• 認証技術の効果向上
  SPF、DKIM、DMARCなどの認証技術が、エンベロープFromとヘッダFromの整合性を確認することで、より信頼性の高いメール認証を実現します。

DKIM・SPF・DMARC認証

DKIM・SPF・DMARCは、メールの送信ドメイン認証です。

SPF (Sender Policy Framework)

• 概要:
  送信元のメールサーバーのIPアドレスをチェックし、信頼できるサーバーからのメールかどうかを検証する仕組みです。
• ポイント:
  ドメイン所有者がメールを送信してよいサーバーを事前に登録し、そのリストにないサーバーからのメールは偽装の可能性があると判断します。

DKIM (DomainKeys Identified Mail)

• 概要:
  メールにデジタル署名を付与し、メール内容が改ざんされていないか、正しい送信元から送られているかを検証する仕組みです。
• ポイント:
  送信ドメインが秘密鍵で署名し、受信側は公開鍵でその署名を確認することで、メールの信頼性が保たれます。

DMARC (Domain-based Message Authentication, Reporting & Conformance)

• 概要:
  SPFとDKIMの検証結果をもとに、メールの取り扱い（受信、隔離、拒否など）を決定するためのポリシーを設定する仕組みです。
• ポイント:
  認証に失敗したメールに対してどのような措置を取るかを明示し、さらに認証結果のレポートを受信することで、ドメイン所有者が対策を講じやすくします。

AWS SES での ヘッダーFrom の設定方法

依頼したお客さんのシステムでは、AWS SES を使ってメールを送信してます。
AWS SES では、ヘッダーFrom で設定するには、「カスタム MAIL FROM ドメイン」を設定することで可能です。