エンベロープFromとは?基本の仕組みを解説
エンベロープFromの定義と役割
エンベロープFromとは、メール配送時に使用される「送信元アドレス」のことを指します。具体的には、SMTPプロトコルでメールを送信する際に、メールサーバーが使用するアドレスです。エンベロープは封筒の意味で、メールの配送においては、エンベロープFromは「封筒の差出人」として機能します。
エンベロープFromは、どちらかと言えばメールの配送システム上で利用されます。たとえばSPF認証では、このエンベロープFromが使われます。
また、エンベロープFromはメールヘッダーのReturn-Pathに記載されており、メールの配送先サーバーがこのアドレスを参照して、メールの配信先を決定します。
ヘッダFrom・Reply-Toとの違い
似たような用途として、ヘッダFromもあります。こちらは、メールを受け取るユーザーに対する情報として使われます。メールクライアントなどで、差出人として表示されるヘッダーになります。
From: "Customers Mail Cloud" <info@smtps.jp>
この情報は、DKIMやDMARCなどの認証に用いられます。ただし、ヘッダFromは、メールの内容を表示するための情報であり、実際の配送には関与しません。そのため、ヘッダFromは簡単に偽装することが可能です。
同様のヘッダーとして、 Reply-To ヘッダーも知られています。このヘッダーは、メールクライアントで返信ボタンを押した際に、どのアドレスに返信するかを指定するためのものです。たとえば、以下のように設定されている場合があります。
Reply-To: support@smtps.jp
この場合、メールの送信元は info@smtps.jp であっても、返信時には自動的に support@smtps.jp が指定されます。もし Reply-To ヘッダーが設定されていない場合、返信先は From ヘッダーのアドレスになります。
このように、エンベロープFrom、ヘッダFrom、Reply-Toはそれぞれ異なる役割を持っています。
| 項目 | 説明 | 使われる場面 | 表示される場所 |
|---|---|---|---|
| From(ヘッダ) | 見た目の送信者 | メールを誰が送ったかを表示 | メーラーの送信者欄に表示 |
| Reply-To | 返信先の指定 | 返信時に使ってほしいアドレスを指定 | 通常は非表示、返信時に使われる |
| Envelope-From | 実際に送ったアドレス(バウンス用) | SMTP通信、バウンス処理 | 通常は見えない(Return-Pathに出る) |
エンベロープFromの確認方法
次に、各種メールクライアントなどでのエンベロープFromの確認方法を解説します。エンベロープFromは、通常のメールクライアントでは直接表示されないため、特別な手順が必要です。
エンベロープFromの確認が必要な理由
どういった場合において、エンベロープFromを確認する必要があるのでしょうか。以下のようなケースが考えられます。
- 送信ドメイン認証の確認
- SPFやDKIMの設定確認
- なりすましメールの検出
- メール到達エラーの原因特定
多くの場合、メール送信時・受信時に何らかの問題があった場合、その原因究明としてエンベロープFromの確認が必要となります。
主要メールソフト・サービスでの確認手順
エンベロープFromは、メールクライアントやサービスによって確認方法が異なります。以下に、主要なメールソフトやサービスでの確認手順を示します。
Gmailの場合
Gmailの場合、メールの詳細ビューの中にある 原文を表示 を選択すると、メールのヘッダーをすべて確認できます。
この中にある Return-Path ヘッダーがエンベロープFromに該当します。
Outlookの場合
Outlookの場合、メッセージを右クリックし、コンテキストメニューの 表示 内にある メッセージのソースを表示する を選択します。メッセージのヘッダーが表示されたら、その中にある Return-Path ヘッダーを探します。
Apple Mailの場合
Apple Mailの場合、メッセージを選択している状態で 表示 メニューの メッセージ 内にある すべてのヘッダを表示 を選択します。これにより、メールのヘッダーが表示されます。
その中にある Return-Path ヘッダーがエンベロープFromに該当します。
送信側でのエンベロープFromの設定確認方法
エンベロープFromは、メールサービス側で自動的に付与されるものが多く、基本的にカスタマイズはできません。ただし、SMTPリレーサービスなどを用いて、プログラミングから送信する場合には、任意のエンベロープFromを指定することができます。
以下はNodemailerを利用した場合の、エンベロープFromの指定方法です。
const message = { ..., from: 'info@smtps.jp', // From envelope: { from: 'Support <support@smtps.jp>', // エンベロープFrom } }
また、Customers Mail Cloudでは、API利用時にheadersキーでエンベロープFromを指定できます。
[ { "name" : "Return-Path", "value" : "support@smtps.jp" }, ]
エンベロープFromを悪用した「なりすまし」手法とそのリスク
では、エンベロープFromを悪用した「なりすまし」手法は、どういったものがあるでしょうか。また、そのリスクについても解説します。
なりすましメールの典型的な仕組み
なりすましメールというのは、Fromヘッダーを偽装する行為です。Fromヘッダーは、メールクライアントにおいて送信元として表示される情報なので、メール受信者はあたかもそのアドレスから送信されたかのように思い込んでしまいます。
多くの場合、送信元として使われるのは信頼性の高いドメインです。たとえばIT企業や大手企業、政府や自治体、金融機関などメールを送ってきてもおかしくないドメインを利用します。
そして、なりすましメールはフィッシング詐欺や、ビジネスメール詐欺(BEC)などに利用されます。たとえば、以下のような手法があります。
- 取引先を装った振込指示メール
- 社内の上司を装った経費精算の指示メール
- クレジットカード会社を装った請求書メール
- 銀行を装った口座確認メール
- 政府機関を装った税金還付の案内メール
なりすまし被害の実例と影響
フィッシング対策協議会では、日々寄せられるフィッシングメールに関して情報発信を行っています。月に2〜3件の報告があるようです。令和5年におけるサイバー空間をめぐる脅威の情勢等についてによると、インターネットバンキングに係る不正送金事犯におけるフィッシングの実態として、令和5年は87.3億円となっています。これは件数、額ともに一気に増大しており、注意が必要です。
ビジネスメール詐欺としては、株式会社スリー・ディー・マトリックスの約2億円の被害や、東芝の米子会社による約5億円被害などが報告されています。また、ランサムウェアによるデータ暗号化と言った被害も多数報告されています。
データ暗号化は、データを人質にとった上で、金銭を要求してきます。ただし、支払ったからと言って、確実にデータが戻る保証はなく、すでに改ざんされている可能性や、再度被害に遭う可能性があります。ランサムウェアの入り込む経路として、メールが数多く使われているので注意が必要です。
株式会社KADOKAWAでは、2024年6月8日にシステム障害が発生し、10月29日に復旧しました。この間、4ヶ月もの間、システムやサービスが停止しており、84億円の売上高減少と36億円の特別損失が発生しています。
こうしたセキュリティ損害は、企業の信頼損失だけでなく、長期に亘る業務停止リスクもあるので、十分な注意と対策が必要です。
エンベロープFromを守るために必要な対策
では、最後にエンベロープFromを守るために必要な対策について解説します。
送信ドメイン認証(SPF・DKIM・DMARC)との連携
エンベロープFromは、メールの送信元IPアドレスがそのドメインに許可されているか検証する際に利用されます。そのため、Return-Pathをなりすましたとしても、SPFが正しく設定されていれば、なりすましメールは弾かれます。
DKIMは、メールのヘッダーに対して署名を付与し、メールのヘッダーや本文が改ざんされていないことを保証する技術です。DKIMでは、DKIM-Signatureヘッダーに含まれるドメインを利用するので、エンベロープFromは直接は関係ありません。
DMARCは、「SPFまたはDKIMのいずれかが成功し、かつFromヘッダーと一致しているか(アライメント)」を確認します。そのため、SPFの評価時に使われるエンベロープFromと、ヘッダーFromのドメインが一致していないと、DMARCは失敗する可能性があります。
Customers Mail Cloudでのなりすまし対策
■ SMTPリレー利用時のエンベロープFrom管理機能
Customers Mail Cloud(CMC)では、SMTPリレーを利用する際にエンベロープFromの管理が可能です。管理コンソールから柔軟に設定でき、エンベロープFromの一部または全体を上書きして、バウンスメール(エラーメール)の返送先をコントロールすることができます。
たとえば、メール送信元のシステムがエラーメールを受信できない構成になっている場合でも、バウンス先を指定のメールアドレスへ変更するといった運用が可能です。メーラーやアプリケーションが設定したエンベロープFromをそのまま使用することも、CMC側で上書きして適切な返送先を設けることも選べます。
> 設定例の詳細:https://smtps.jp/docs/userguide/config/advanced/#pl-env-from
■ 認証設定の支援体制
CMCをご契約いただいたお客様には、オンボーディング担当者よりSPF、DKIM、DMARCなどの送信ドメイン認証設定についてご案内しております。ドメイン構造や用途に応じて、エンベロープFromのドメイン設計や設定方針についても一部有償でアドバイスが可能です。
特にDMARC導入時には、SPFとエンベロープFromの整合性が重要となるため、運用設計を含めたサポートが効果的です。
まとめ|エンベロープFrom確認と適切な対策でメールの安全性を高めよう
今回は、エンベロープFromの基本的な仕組みや確認方法、なりすましメールのリスクと対策について解説しました。エンベロープFromは、メールの配送において重要な役割を果たしており、正しく設定されているか確認が必須です。また、なりすましメールのリスクを理解し、適切な対策を講じることで、企業や個人のセキュリティを高めることができます。
Customers Mail Cloudを利用することで、正しく設定されたメールを安全・高速に配信できます。企業間での取引や、消費者への信頼あるメール配信を実現するためにも、ぜひCustomers Mail Cloudをご検討ください。
