概要
本文說明針對正在 Google Workspace 中使用 Email Archive 的客戶,因 DMARC 政策嚴格化而導致經由 Google 網路論壇的郵件封存保存所受到的影響及因應措施。
內容
感謝您平日使用本公司服務「HENNGE Email Archive」。
近年來,作為防範電子郵件冒充的對策,DMARC 政策嚴格化(移轉至 p=reject 或 p=quarantine)正在全球迅速推進。
伴隨此趨勢,Google Workspace 也已套用規格變更,以在符合最新嚴格安全性要求的同時,維持經由 Google 網路論壇傳遞的業務重要郵件的「送達性」。
具體而言,當寄件者網域設定了嚴格的 DMARC 政策(p=reject 或 p=quarantine)時,為防止經由 Google 網路論壇的郵件在收件端被判定為冒充郵件而遭到拒絕,Google 基礎架構端會自動將寄件者地址(Header-From)進行改寫,作為一項保護措施。
這是 Google 為確保合法郵件能夠確實送達所採取的積極保護措施,但由於本公司服務「HENNGE Email Archive」的郵件保存機制,可能會產生以下影響。
發生的狀況與影響
從外部網域寄送至 Google 網路論壇的部分郵件,可能無法被 Email Archive 識別為封存對象而未被保存。
原因
當郵件從設定了嚴格 DMARC 政策的網域經由 Google 網路論壇轉寄時,收件端可能會將其判定為未經授權的郵件而無法送達。
這是因為郵件經由 Google 基礎架構端的伺服器中繼後,會被視為從與原始寄件者不同的位置所寄出。
為了規避此風險並確保客戶的郵件能安全送達,Google 導入了將 Header-From 地址改寫為 Google 網路論壇地址、使 DMARC 驗證正常通過的處理機制(防禦性措施)。
參考:Google 支援相關頁面(外部連結)
Header-From 改寫示意
※以下,「External-User」係指外部網域的寄件者(外部使用者)。
- 改寫前:External-User@(外部網域)
- 改寫後:External-User via Group group-address@your-domain(Google Workspace 網域的網路論壇地址)
經過此地址改寫的郵件,在沿用原有的郵件傳送規格下,將被視為不在封存擷取範圍內。
因應措施(設定變更步驟)
為確保無論寄件者網域設定(DMARC 政策的設定狀況)為何,從外部網域寄送至 Google 網路論壇地址的郵件均能確實封存保存及運用,需要在 Google 管理控制台中進行設定變更,以補充傳送路徑的定義。
請依據貴公司的運用狀況,採取以下因應措施。
新增路由設定
為將寄送至 Google 網路論壇地址的郵件納入封存對象,請從現有的路由設定中開啟以下「接收 (inbound)」用設定,並進行設定的新增(編輯)。
參考:[Email Archive] 連線作業 (Google Workspace)-新增 Google Workspace 路由設定
目標路由
- HENNGE Email Archive (rsmtpd_inbound)
- HENNGE Email Archive (bsmtpd_inbound)
※若不存在與上述相同名稱的路由,則目標為[1. 受影響的郵件]設定為[接收]的路由設定。
其他設定
從 [Google 管理控制台] — [應用程式] — [Google Workspace] — [Gmail] — [路徑設定] 開啟對應的路徑設定。
在 [2. 針對上述類型的郵件執行下列操作] — [選擇要套用這個動作的所有帳戶類型] 中,勾選 [群組帳戶]。
確認 [作用中的使用者帳戶] 與 [群組帳戶] 兩個項目皆已勾選,即完成設定。
禁止變更的路由
請絕對不要編輯(例如勾選)以下「郵件傳送 (outbound)」用設定。
※若勾選上述傳送(outbound)路由,可能會發生非預期的重複處理等問題,進而影響貴公司環境中正常的郵件封存運用。請勿進行任何變更。
- Email Archive (rsmtpd_outbound)
- Email Archive (bsmtpd_outbound)
如對本事項有任何疑問,請聯絡 HENNGE One Technical Support。