Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

メールリレーのベストプラクティス

公開日: Mar 5, 2024
説明
組織のメールリレーを設定するときに考慮する必要があるベストプラクティスをいくつか紹介します。

詳細は、「メールリレーの設定に関する考慮事項」ドキュメントを参照してください。
 
解決策

注意: この記事の情報は Classic と Lightning Experience の両方に適用されます。


メールリレーとは

メールリレーは、Salesforce によって生成されたメールを、貴社のメールサービスを介して自動的にルーティングされる仕組みです。メールリレーについての詳細は、「メールリレーの設定」を参照してください。


送信設定とメールリレー

Salesforce でメールリレーを有効にすると、会社は [設定] | [メール管理] | [送信] にあるすべての Salesforce のメールの送信設定を使用する必要がなくなります。これは、これらの設定の一部 (下記参照) により、Salesforce から送信されるメールの envelope-from アドレスが変更されるためです。ヘッダーの送信元アドレスは、送信者のメールアドレスに設定されたままになります。ヘッダーの return-path も変更されます。変更された return-path には、Variable Envelope Return Path 値 (VERP) が含まれるため、メールヘッダーのこの変更は貴社サーバへのメール配信に影響する可能性があります。
 
標準的な return-path の例: <name@domain.com>
Variable Envelope Return Path (VERP) の例: <name=domain.com__x@x.bnc.salesforce.com>

そのため、会社でメールリレーを使用する場合は次の 2 つのメール送信オプションを無効にすることをお勧めします。これらの設定についての詳細は、「Salesforce から送信するメールの到達性設定のガイドライン」を参照してください。
Salesforce Classic での操作: [設定] | [メール管理] | [送信] に移動します。
Lightning Experience での操作: ギアアイコン | [設定] | [メール] | [送信] に移動します。
 
a) [不達管理の有効化] をオフにします。
b) [標準メールセキュリティのメカニズムへの準拠を有効化] [送信者 ID 準拠を有効化] をオフにします。
これらの設定を無効にしたら、Salesforce からリレーサーバに送信されるアウトバウンドメールには、envelope-from と return-path の両方が <name@domain.com> と表示されるようになります。


メールリレーの保護

メールリレーをセキュアにして目的のメールのみがリレーされるようにするために、推奨事項をいくつか紹介します。
  • リレーの許可リストにメールをリレーしたい IP のみを登録する (Salesforce の IP を含む任意の IP)
  • 貴社のメールドメインを使用して送信されるメールのみをリレーする
  • TLS を強制する (必要に応じて [TLS が必要] または [必須] に設定し、証明書のホスト名を確認する)
  • リレーで証明書のホスト名を確認するようにする
  • header - X-SFDC-LK を探し、orgid が含まれていることを確認する。適切な orgid が含まれている場合、Salesforce からのメールのみをリレーする
  • Salesforce で DKIM 署名を使用し、DKIM 署名がパスした場合のみメールをリレーする


メールリレーを使用した不達管理

メールリレーと不達管理を組み合わせて使用する場合は、Sender Policy Framework (SPF、一般的なメールセキュリティ規格) による認証に失敗する場合があるため、特に注意が必要です。Salesforce の不達管理機能を利用するには、各送信メールの return path (「envelope from address」とも呼ばれる) を bnc.salesforce.com のアドレスに設定する必要があります。SPF は return path でドメインを抽出して一連の承認済み IP アドレスを見つけることで機能します。メールリレーと不達管理を使用する場合、リレーの IP アドレスはドメイン (bnc.salesforce.com) の承認済み IP アドレスと一致しなくなります。これにより、SPF の「ソフトフェイル」が発生します。メッセージは無効とマークされませんが、到達性が低下する場合があります。

解決策の 1 つとして、ドメインの DMARC ポリシーを確立してから、Salesforce の DKIM 署名機能を使用して送信メールを証明する方法があります。この組み合わせにより、メールは SPF にパスしなかったとしても DMARC チェックにはパスします。

もう 1 つの解決策としては、Salesforce で不達管理をオフにする方法があります。

Office 365 でのリレーについての詳細は、「Salesforce 'Email Relay' with Office 365 (Office 365 での Salesforce の「メールリレー」)」を参照してください。
ナレッジ記事番号

000382778

 
読み込み中
Salesforce Help | Article