メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

【重要】DMARC ポリシー厳格化に伴う、Google グループの仕様変更と HENNGE Email Archive サービスへの影響について

更新

概要

Google Workspace で Email Archive をご利用中のお客様向けに、DMARC ポリシー厳格化に伴う Google グループ経由メールのアーカイブ保存に関する影響と、回避策について説明します。

内容

平素は弊社サービス 「HENNGE Email Archive」をご利用いただき、誠にありがとうございます。

昨今、メールのなりすまし対策として、世界的に DMARC ポリシーの厳格化(p=reject や p=quarantine への移⾏)が急速に進んでいます。
これに伴い、Google Workspace においても、最新の厳格なセキュリティ要件を満たしつつ Google グループを経由する、業務上重要なメールの「到達性」を維持するための仕様変更が適⽤されています。

具体的には、送信元ドメインで厳格な DMARC ポリシーが設定されている場合(p=reject または p=quarantine)に Google グループ経由のメールが、受信側でなりすましと判定され拒否されるのを防ぐため、⾃動で送信元アドレス(Header-From)を書き換える保護措置を Google 社基盤側で行っております。

これは、正当なメールを確実に届けるための Google 側の前向きな保護措置ですが、弊社サービス「HENNGE Email Archive」におけるメール保存の仕組み上、次のような影響が発生する可能性がございます。

発生する事象と影響

社外ドメインから Google グループ宛てに送信された一部のメールが、Email Archive のアーカイブ対象として認識されず、保存されない場合があります。

原因

本来、DMARC ポリシーが厳しく設定されたドメインから Google グループを経由してメールを転送すると、受信側で不正なメールと判定されて届かなくなるリスクが生じます。
これは、Google 社基盤側のサーバーを中継することで、本来の送信元とは違う場所から送られたとみなされてしまうためです。

Google はこのリスクを回避し、お客様の安全なメール配送を確保するために、Google グループアドレスへ Header-From アドレスを書き換え、DMARC 認証を正常にパスさせる処理(防御的な措置)を導入しています。
参考:Google Support 関連ページ (外部リンク)

Header-From 書き換えのイメージ

※以下、「External-User」は社外の送信者(外部ユーザー)を指します。

  • 書き換え前:External-User@(外部ドメイン)
  • 書き換え後:External-User via Group group-address@your-domain(Google Workspace ドメインのグループアドレス)

このアドレス書き換えが実行されたメールは、従来の配送仕様のままではアーカイブ取得の対象外として扱われてしまいます。

回避策(設定の変更手順)

送信元のドメイン設定(DMARC ポリシーの設定状況)に依存せず、社外ドメインから Google グループアドレス宛てのメールを確実にアーカイブとして保存・運用するためには、Google 管理コンソールにて配送経路の定義を補完する設定変更が必要です。
貴社の運用状況に合わせて、以下の回避策を講じていただきますようお願い申し上げます。

ルーティング設定の追加

Google グループ宛てのメールをアーカイブ対象に含めるため、既存のルーティング設定のうち、以下の「受信 (inbound)」用設定を開き、設定の追加(編集)を行なってください。
参考:[Email Archive] 接続作業 (Google Workspace)-Google Workspace ルーティング設定の追加

対象のルーティング

  • HENNGE Email Archive (rsmtpd_inbound)
  • HENNGE Email Archive (bsmtpd_inbound)

※上記と同一名称のルーティングが存在しない場合、[1. 影響を受けるメール]が[受信]となっているルーティング設定が対象です。

追加の設定

  1. [Google Admin 管理コンソール]-[アプリ]-[Google Workspace]-[Gmail]-[ルーティング]から対象のルーティング設定を開きます。

  2. [2. 上記の種類のメッセージに対し、次の処理を行う]-[このアクションを適用するすべてのアカウントの種類を選択してください]にて、[グループアカウント]にチェックします。

  3. [アクティブ ユーザー アカウント]と[グループ アカウント]の2項目にチェックが入っていれば完了です。

変更禁止のルーティング

以下の「メール送信 (outbound)」用設定は、絶対に編集(チェックを入れる等)しないでください。 
※上記の送信(outbound)ルーティングにチェックを入れた場合、意図しない重複処理などが発生し、お客様の環境における正常なメールアーカイブ運用に影響を及ぼす可能性があります。一切変更しないようお願いいたします。

  • Email Archive (rsmtpd_outbound)
  • Email Archive (bsmtpd_outbound)

本件に関してご不明な点がありましたら、HENNGE One Technical Support までご連絡ください。