Envelope-From、Header-Fromとセキュリティ

2025-03-24（更新：2025-03-31）

電子メールの設定をおこなう際、あらかじめ理解しておくと良いキーワードがいくつかあります。本記事では、主にエンジニアの方向けにそのようなキーワードの中から「Envelope-From (エンベロープフロム) 」と「Header From (ヘッダーフロム) 」について説明します。また、関連するメールのセキュリティ設定との関係についても解説します。

目次[非表示]

1.実際の手紙と電子メール

1.1.実際の手紙の仕組み
1.2.電子メールの仕組み

2.Envelope-FromとHeader-From
3.メールのセキュリティ設定

3.1.SPF （エスピーエフ：Sender Policy Framework）
3.2.DKIM（ディーキム：DomainKeys Identified Mail）

3.2.1.DKIMの2つの署名方法

3.3.DMARC（ディーマーク：Domain-based Message Authentication Reporting and Conformance）
3.4.S/MIME （エスマイム：Secure / Multipurpose Internet Mail Extensions）

4.Envelope-FromとHeader-Fromを理解しメール配信を開始しよう

実際の手紙と電子メール

まずは、概念を整理するために、実際の手紙と電子メールを比較してみます。

実際の手紙の仕組み

実際に手紙を書く際は、便箋に本文を書き、それを封筒に入れて送ります。便箋には手紙の宛名にあたる送付先の方の名前、本文、そして末尾に手紙の送り主である自分の名前を書きます。また、封筒にも送付先の住所・宛名、差出人の住所と名前を書き、封筒に便箋を入れて郵送します。

これにより、手紙の配達員は、便箋に書かれた宛名や本文を確認することなく、封筒に書かれた情報を頼りに送付先へ手紙を届けることができます。

電子メールの仕組み

電子メールも実際の手紙と同じように、手紙の封筒や便箋に似た仕組みがあります。メール配信処理においても、封筒を開けてメール本文を読み解くことはせず、封筒に書かれている情報を元にメールを配信します。この仕組みは、元々はメールを書いた人が使用しているシステムの代わりに別のシステムがメールを配信することを想定した仕組みです。

例えば、実際の手紙の場合も、手紙を書いた人が自ら送信先の方の自宅まで赴き、郵便受けに手紙を投函することはせず、代わりに郵便局や宅配便が送付先へ手紙を届けてくれます。これと同じようなイメージです。

Envelope-FromとHeader-From

電子メールの処理においては、

Envelope-From (エンベロープフロム)：封筒に該当するデータに書かれる差出人情報
Header-From (ヘッダーフロム)：メール本文に書かれた差出人情報

を指します。

実際の手紙と異なる点は、この封筒に書かれたEnvelope-Fromの情報がメールの差出人ではなく、メールを配信したシステムが設定値として持っている配信元情報である点です。Envelope-Fromは、メール配信失敗時の通知 (Bounce: バウンス) メール送信先として使用されます。メール配信システムは、この通知を受けて統計の取得や自動的な処理を行うため、メール差出人に通知されるのではなく、メールを配信したシステムが受けとれるように設定されるケースが多いです。

このようにメール本文の差出人情報と実際に配信を行った差出人を区別して処理することで、メール配信システムを所有せずともメールを送れる代理配信や、メールを転送しても差出人が変わることなく配信できます。柔軟な運用を実現しつつ、実際に配信したシステムが誰であるのかが分かる仕組みになっています。

メールのセキュリティ設定

一方で、メール本文の差出人と実際に配信した配信元情報が異なることが許容されるため、メール本文に事実と異なる差出人を名乗っていても、メール配信システムはその真偽を判別できません。
これが不正なメール配信の一種、いわゆる「なりすまし」の手法です。

この「なりすまし」メールの対抗策として、メールのセキュリティ設定があります。本物の差出人だけが設定できる情報をインターネットに公開し、メール受信側ではその公開情報を元に受信したメールを検証するものです。メールのセキュリティ設定について、それぞれ見ていきましょう。

電子メールのセキュリティ～サーバー側にも対策を～メールセキュリティについて、お客様からいただくご質問についてお答えします。アララメッセージ

SPF （エスピーエフ：Sender Policy Framework）

SPFは、Envelope-Fromに指定する配信元のなりすましを検証するためのセキュリティ設定です。
Envelope-Fromに指定される配信元が、使用するメールサーバーのIPアドレスのリストをインターネットに公開することで、それ以外のサーバーから送信されてきたメールは、なりすましの可能性が高いと判断します。

Envelope-Fromは、原則としてはメール配信システムによって指定される配信元情報のため、メール配信システムを管理する組織によって、セキュリティ設定がインターネットに公開されています。

SPFとは？SPFによるメール認証の仕組みやSPFレコードの設定方法を分かりやすく解説今回は、メール配信設定において重要な項目の一つである送信ドメイン認証技術「SPF」について解説します。本コラムで「SPF」について正しく学び、メール配信のセキュリティ対策をしておきましょう。アララメッセージ

現在のメール配信の仕組みにおいては、設定が不可欠で、SPFが正しく設定されていない場合は不正なメールと判定される可能性が非常に高くなります。

元来SPFは、Envelope-Fromの検証の仕組みであり、基本的にはHeader-Fromの差出人の検証には使用されません（Header-FromとSPFの関係性の評価は後述のDMARCでおこなわれます）。なお、SPFをメール本文の差出人（Header-From）にも適用して評価する通信事業者があるため、メール本文の差出人も配信システムと同様にSPFを設定することがあります。

DKIM（ディーキム：DomainKeys Identified Mail）

DKIMは、Header-Fromに指定する差出人のなりすまし、およびメールの改竄を検知するためのセキュリティ設定です。メールの差出人がなりすましされていないことや、メール本文などの主要な項目が途中の経路で改竄されていないことを確認するために、DKIMに対応したシステムがメールを配信する際に電子署名を付与します。メール受信側は、メールに付与されている電子署名を検証し、メールが改竄されていないことを確認します。

DKIMの2つの署名方法

一つは作成者署名と呼ばれ、Header-Fromで指定したメールアドレスのドメインである差出人の組織が管理する鍵で署名する方法です。もう一つは第三者署名と呼ばれ、作成者署名とは異なり第三者（一般的にはメール配信システムを管理する）組織が管理する鍵で署名する方法です。

作成者署名は、メール本文の差出人が属する組織が鍵の管理やインターネットへの公開を行う分、運用に手間がかかりますが、セキュリティ的な信用度は第三者署名よりも高く評価されます。

DKIMとは？認証の仕組みとSPFやDMARCとの違いをわかりやすく解説今回は、SPFと同じ送信ドメイン認証技術の一つで、スパムやフィッシングなどの不正なメール送信を防ぐために広く採用されている「DKIM」について説明します。アララメッセージ

DMARC（ディーマーク：Domain-based Message Authentication Reporting and Conformance）

DMARCは、メール差出人として、仮にSPFやDKIMが成立しなかった場合にメール受信側にそのメールをどう取り扱ってもらうかを宣言するための仕組み、およびSPFとDKIMを組み合わせた評価方法に関するセキュリティ設定です。メール差出人側は、あらかじめSPF・DKIMへ対応する旨をDMARCレコードを通じてインターネットに公開します。この情報には「DMARCポリシー」と呼ばれる情報が含まれており、SPF/DKIMの評価がうまく行かなかった場合にどう取り扱うかを3段階 (何も行わない・スパムとしてフィルタリング・受信を拒否) で表明します。

DMARCに対応しているメール受信側は、受信したメールをSPFとDKIMを組み合わせて評価の上、もしも評価が失敗した場合はDMARCポリシーに従った処置を行います。この際、メール差出人側のシステムのSPF・DKIM設定が不完全な状態で厳しいポリシーを設定すると、正規のメールであっても受信ボックスに到達しないため、設定には注意が必要です。そこで、最初はゆるいポリシーでDMARC運用を始め、SPF/DKIMの設定が間違いなくおこなわれるよう設定を改善し、確認後にポリシーを厳しくしていきます。こうすることで、差出人になりすます不正なメール配信者を締め出します。

なりすましメール対策に！SPF、DKIMとは？なりすましメールについて、お客様からいただくご質問についてお答えします。アララメッセージ

このように、DMARCはメール配信側としてのセキュリティ設定に対する姿勢を表す指標と言えます。DMARCが公開されていないメール配信者は、今後メール受信側に信用されなくなっていくことから、SPF・DKIMと合わせて必須の設定項目となっています。

なお、DMARCポリシーはHeader-Fromで指定するメール配信者のドメイン単位で評価がおこなわれます。お手元のメールソフトからメールを配信する場合だけでなく、例えば組織のWebサイトの問い合わせフォーム入力後に送信される通知メールなど、メール送信元システムが組織内で複数ある場合は全てがその評価の対象となりますので、注意が必要です。

S/MIME （エスマイム：Secure / Multipurpose Internet Mail Extensions）

DKIMはメールが途中の経路で改竄されていない事を証明するための仕組みでしたが、このS/MIMEは、DKIMから更に高度な、差出人のなりすましおよびメールの改竄検知に加えてメール本文全体の暗号化が行える仕組みです。メールが配信される経路の一部ではなく、配信元で暗号化され受信先で復号化される、エンドツーエンドで暗号化されるという特徴があります。鍵の取得に関する経済的なコストや運用の労力がかかりますが、認証局(CA)を通じた公開鍵基盤(PKI)という広く信頼されている機関を利用するため、機密性の高い情報をメールで送信するためには有効な手段です。

S/MIMEに対応するには、メール作成側、メール受信側両方がS/MIMEに対応している必要があり、かつメール配信側は信用がおける第三者による認証を得て電子鍵および証明書を得ておく必要があります。なお、メール受信側がS/MIMEに対応していないとメールを読むことができませんので、注意が必要です。

S/MIMEとは？電子メールのセキュリティ対策！「S/MIME」とは、メールシステム上で電子署名を利用した認証やメールの暗号化を行う標準規格（ルール）です。信頼できる第三者機関である認証局が発行した電子証明書を使用し、送信するメールの暗号化や電子署名の付与を行い、電子署名付きメールを送信することが可能です。アララメッセージ

Envelope-FromとHeader-Fromを理解しメール配信を開始しよう

メール配信の設定にあたり必要な「Envelope-From」と「Header-From」、そして、セキュリティ設定に関して、説明しました。それぞれのワード、設定について理解が深まりましたでしょうか。

セキュリティ対策について、「もう少し確認してからメール配信を試したい！」「相談をしてから実施をしたい」という方は、アララへご相談ください。技術面についてはサポートチームが対応いたします。また、実際にメール配信の運用を行う営業やマーケティング担当者さまへはトライアルもご用意しています。一か月から契約可能ですので、お気軽にお問い合わせください。

著者
アララメッセージマーケティングチーム
メール配信運用、メールマーケティングに関する情報をお届けするコラムです。“知ってるとちょっとイイコトがある”情報を発信します。

導入事例はこちら

お客様の声|株式会社ワークマン|メール配信サービスアララメッセージ【配信後3日でメルマガ紹介アイテムの販売数が増加！】株式会社ワークマンでは、週1回程度メルマガを配信されています。開封率は30%以上！堅苦しくなく親しみを持っていただける内容になるよう心がけています。アララメッセージ

お客様の声|株式会社東京海上日動パートナーズ|メール配信サービスアララメッセージ【アララメッセージの導入で作業時間が98%減】東京海上日動パートナーズTOKIOでは、管理職向けに毎週オンラインセミナーを実施しています。これまで、セミナーのご案内を一通一通送っていたため、配信作業に20時間を要していました。しかし、「アララメッセージ」の導入で作業時間が98%減少。さらに、効果測定機能でお客様の興味が目に見えてわかるようになりました。アララメッセージ

メールセキュリティ対策の目的は？製品を選ぶときのポイントも解説！本コラムでは、メールセキュリティの対策方法やメールセキュリティの目的、メールセキュリティ製品を選ぶときのポイントをご紹介します。アララメッセージ

Envelope-From、Header-Fromとセキュリティ