Gmailへの転送方法による SPF, DKIM pass可否

Gmail による SPF, DKIM チェックが始まったので、情報を整理
2022年3月頃から、Gmailへの転送で SPFが Softfail でも警告が表示されるようになった

これの回避方法は、メールを Gmail に転送するおすすめの方法 にあるように、転送時にエンベロープ送信者を変更して転送することで、Gmail側は転送サーバのSPFを参照するようになり、SPF は PASS となる。
ただ、この方法で迷惑メールを含むメールを転送すると、送信元=転送サーバであるため、転送サーバがspam発信元としてマークされてしまうため、迷惑メールを受信する可能性のあるメールアカウントは絶対に避けるべきである。
(GmailのPOP3受信等で対応、ただしアカウント数制限やプッシュ不可等制約あり)

今回、SPF, DKIM 設定ドメインによる、エンベロープ送信者の変更有無を確認
受信および転送サーバ(example.com)は、さくらのレンタルサーバで
.maildrop の記述は ***@gmail.com への転送とした場合

転送設定
1. エンベロープ変更なし
cc "!***@gmail.com"

2. エンベロープ変更あり
cc "| /usr/sbin/sendmail -i -f postmaster@example.com ***@gmail.com"

※コンパネからの転送先追加では 1. が設定される

転送結果
1. エンベロープ変更なしで転送されたGmail側の判定

2. エンベロープ変更ありで転送されたGmail側の判定

DKIMについては、送信元ドメインを判定して、どちらも PASS 
SPFについては、1.エンベロープ変更なし では、送信元のSPFレコードとマッチできないため SOFTFAIL となる。(送信元のSPFレコードで ~all が設定されている場合、-allが設定されていると FAILとなる)
2.エンベロープ変更あり では、送信元=転送元 となるため、送信元アドレスのSPF設定に関係なく、転送元のSPFが正しく設定されていれば PASS となる。
送信元の SPF設定は、受信側で設定不可のため、エンベロープ変更により、SPFをコントロール下に置くことが可能

コメント