【WordPress】WP Mail SMTPで迷惑メールに入る対処法(SPFの確認と設定方法)｜メールアドレスになりすました偽装メールへの自動返信のようです。

WP Mail SMTPでレンタルサーバーのSMTPサーバーを使ってGmailへメールを送信したときに、送信したメールが迷惑メールに振り分けられ正しく届かないことがあります。

しかもメールには「このメールが [迷惑メール] に振り分けられた理由 あなたのメールアドレスになりすました偽装メールへの自動返信のようです。」「フィッシング報告」といった重々しいメッセージがデカデカと表示されます。

この原因と対処法についてまとめています。

エラーの内容

具体的なエラーというか、正しく送信できず迷惑メールに振り分けられたメールは次のようになります。

迷惑メールの内容

「このメールが [迷惑メール] に振り分けられた理由 あなたのメールアドレスになりすました偽装メールへの自動返信のようです。」
「迷惑メールでないことを報告」「フィッシングを報告」

そして、本文には以下のようなメッセージが書かれています。

The original message was received at Thu, 22 Feb 2024 23:40:06 +0900 (JST)
from wwwxxx.sakura.ne.jp [111.48.49.119]

   ----- The following addresses had permanent fatal errors -----
<test@gmail.com>
    (reason: 550-5.7.26 This mail has been blocked because the sender is unauthenticated.)

   ----- Transcript of session follows -----
... while talking to gmail-smtp-in.l.google.com.:
>>> DATA
<<< 550-5.7.26 This mail has been blocked because the sender is unauthenticated.
<<< 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM.
<<< 550-5.7.26
<<< 550-5.7.26  Authentication results:
<<< 550-5.7.26  DKIM = did not pass
<<< 550-5.7.26  SPF [gmail.com] with ip: [182.48.49.119] = did not pass
<<< 550-5.7.26
<<< 550-5.7.26  For instructions on setting up authentication, go to
<<< 550 5.7.26  https://support.google.com/mail/answer/81126#authentication lo13-20020a056a003d0d00b006e4be08ae7fsi2676705pfb.366 - gsmtp
554 5.0.0 Service unavailable

エラーが発生した原因

Googleのセキュリティ強化

エラーが発生した原因はGmailのセキュリティー強化によって、送信元のメールサーバーのドメインがSPFまたはDKIMを使ったメール認証設定が必要になっているためです。

この対処は2024年の2月以降に適用されました。1日5000件以上のメールを送信する送信者に対してとられた措置になります。

レンタルサーバーなどのメーラーは余裕で1日5000件以上を送信しているので、これにひっかかります。

Google メール送信者のガイドライン

重要: Gmail では 2024 年 2 月以降、Gmail アカウントに 1 日あたり 5,000 件以上のメールを送信する送信者に対し、送信メールを認証すること、未承諾のメールまたは迷惑メールを送信しないようにすること、受信者がメールの配信登録を容易に解除できるようにすることが義務付けられます。詳しくは、1 日あたり 5,000 件以上のメールを送信する場合の要件をご覧ください。

（参考）Google メール送信者のガイドライン

主な2つのエラー発生原因

このGoogleのセキュリティ強化によるエラーが発生する主な原因は以下の２つが考えられます。

SPFとDKIMとは何か？

SPFとDKIMはどちらも正規のメールの送信元からメールが送信されているかを確認するための技術です。昨今増えてきたなりすましメール（偽装メール）に対処するために有効な手段です。

SPFとは何か？

SPFとはSender Policy Frameworkの略で、受信メールのIPアドレスを利用し、正規の送信元が送ったメールかを検証する技術のことです。

メール送信者は、後にメール受信者が送信元情報を照合するために、利用するDNSサーバーにIPアドレス情報を「SPFレコード」という形で保管します。

メール受信者は、受信メールのIPアドレスとSPFレコードの内容が一致するか、送信者側のDNSサーバーに問い合わせます。IPアドレスが適合した場合は受信し、適合しなかった場合は受信拒否するか、スパムメールとして迷惑メールに振り分けます。

DKIMとは何か？

DKIMとは、DomainKeys Identified Mailの略で、受信メールに付与された電子署名情報を元になりすましを特定する電子署名方式の認証技術のことです。

メール送信者はDNSサーバーのテキストレコードに公開鍵を登録します。そして、送信メールに電子署名情報（秘密鍵）を付与します。

メール受信者は、送信メールに付与された電子署名情報をもとに、送信者側のDNSサーバーに対して公開鍵情報を要求します。取得した公開鍵で電子署名を検証し、一致した場合はメールを受信、一致しなかった場合は受信拒否などを行います。

対処法 ①SPFレコードの有効化と確認

このエラーを回避するには、使用しているメールサーバーでSPFまたはDKIMの設定を行います。
ここでは、さくらインターネットのメールサーバーでSPFを設定する手順を解説します。

SPFレコードの有効化

まずはさくらインターネットにログインし、「ドメイン/SSL」→「ドメイン/SSL」に進みます。

ドメイン一覧が表示されるのでSPFを設定したいドメインの右端にある「設定」→「メールドメイン設定」をクリックします。

SPFレコード「利用する」があるのでチェックボックスにチェックを入れ「保存する」をクリックします。

SPFレコードの確認

SPFレコードが正しく設定されているかを確認するには、さくらのレンタルサーバーにログインし、コントロールパネルの「ドメイン/SSL」→「ネームサーバー設定」へと進みます。

すると、ドメイン情報が表示されるので、SPFを設定したドメインをクリックします。

「ゾーン情報」の中に「TXT」「”v=spf1 a:www***.sakura.ne.jp mx ~all”」といった表記があります。これがSPFレコードになります。

48時間待機する

設定を変更してすぐにSPFの内容がDNSに反映されるわけではありません。

48時間（2日間）待機して、その後メール再度メール送信を試してみます。

（参考）Gmailへのメール送信に失敗する

問い合わせ

48時間待っても正しくメール送信できない場合はメールサーバーのサポートに問い合わせましょう。

対処法② 実際の送信元のメールアドレスと異なるメールアドレスを送信者に指定している（ザ・なりすまし）

「送信元メールアドレス」と「SMTPユーザー名」を一致させる

SPFが正しく設定されているにも関わらず、WordPressから送信したメールが迷惑メールに振り分けられる場合、Gmailによってなりすまし認定されている可能性が非常に高いです。

この場合、WP Mail SMTPの「送信者」の設定を見直します。

最初の方の設定に「送信元メールアドレス」というのがあります。このメールアドレスと、「SMTPユーザー名」のアドレスが一致している必要があります。

もし「送信元メールアドレス」にGmailアドレスなどの、SMTPで指定したメールアドレスが指定されている場合はなりすましと判定されます。（※送信元メールアドレスを強制使用を「オフ」にしても、なりすましと判定されます。）

補足：テストメール結果

上記に設定してWordPressでメールを送信すると、今まで迷惑メールに振り分けられていたメールが通常のメールとして届くようになります。

ただし、WP Mail SMTPでテストを行うと、以下のように「SPF」はOKだけど、「DMARC」は要注意と表示されます。

今のところ、SPFさえ設定していればメールソフトは問題なく使用できますが、もし心配であれば、DMARCレコードも設定するといかと思います。