SPFレコードの作成と追加方法
この記事では、以下の点について解説します:
- SPFレコードとは何ですか?
- SPFレコードの追加方法
- SPFレコードの作成方法
SPF(Sender Policy Framework)は、2003年から存在する無料のメール認証技術です。これは、特定のドメインのメール送信権限を持つメールサーバー(IPアドレス)であることを確認するための仕組みであり、DKIMと並んでDMARCの基盤となっています。SPFに関する一般的な詳細はこちらをご覧ください。
すでにSPFレコードを設定しているが、正しく設定されているか不安ですか?当社の無料ツール「SPF Surveyor」を使って、SPFチェックを行ってみてください。
SPFレコードとは何ですか?
SPFレコードまたはSPF TXTレコードとは、ドメインのDNSの一部を構成するレコードであり、 DMARCレコードと同様です。これには、そのドメインを代表してメールを送信することが許可されているすべてのIPアドレスのリストが含まれています。
送信者がメールを配信するために「受信」サーバーへ引き渡そうとすると、メールサーバーは送信者がそのドメインの許可送信者リストに含まれているかどうかを確認します。含まれている場合、そのメールとメールドメインとの間に接続が確立されたことになります。
SPFレコードを設定することで、どのサーバーがあなたの代わりに認証済みメールを送信する権限を持っているかを外部に通知し、メールドメインをなりすましやフィッシング攻撃から保護することができます。
SPFレコードを追加するにはどうすればよいですか?
SPFレコードを追加するには、ドメインのDNS管理画面にアクセスできる必要があります。ホスティングプロバイダーを利用している場合、手順は比較的簡単ですので、各プロバイダーのサポートドキュメントを参照してください。不明な点がある場合は、ITプロバイダーにサポートを依頼することをお勧めします。
注:新しいSPFレコードが有効になるまで、最大48時間かかる場合があります。
SPFレコードを作成するにはどうすればよいですか?
まず、所有しているすべてのドメインのリストを作成してください。SPFレコードはそれぞれ特定のドメインに対応しているからです。
使用されていないドメインや、運用を終了したドメイン、あるいは現在使用されていないドメインも必ず含めてください。そうすることで、それらも不正利用から守ることができます。
また、ご自身のドメインからメールを送信するすべての要素を特定する必要があります。これには以下が含まれます 送信元 (サードパーティ)など、ドメインに代わってメールを送信するすべてのものを特定する必要があります。これには以下が含まれます:
- メールサーバー(GmailのようなWebベースのものやISP経由のもの、およびMicrosoft Exchangeのような社内サーバー)
- ESP(メールサービスプロバイダー――メールマーケティングや一斉送信サービスを提供する企業)
- その他のサービス(例:サポート/チケット管理システム、決済サービス、ECサイト向けサービスなど)
v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~all
- SPFバージョンから始めましょう v=spf1から始めます。これは、これがSPFレコードであることを示します。他のSPFバージョンは廃止されているため、常に v=spf1 となります。
- SPFバージョンタグの後に、ドメインを代表してメールを送信する権限を持つすべてのIPアドレスを記載する必要があります。
例: v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348
- 次に「include」ステートメントです。これは、お客様に代わってメールを送信するすべてのサードパーティ組織に必要です。
例: v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com
ここにどのドメインを値として指定すべきかについては、これらのサードパーティに確認してください。また、通常、ESP(メール配信業者)は、お客様に代わってメールを送信するドメインのSPFレコードを公開していますので、そちらにも確認することをお勧めします。
- SPFレコードの末尾には「all」タグが記載されています。これは、受信サーバーがSPFレコードに記載されていない(承認されていない)サーバーを検出した際に、どのようなポリシーをどの程度の厳格さで適用すべきかを示すため、重要な役割を果たします。「all」タグには、以下の基本的なオプションがあります:
- -all – (失敗)許可されていないメールは拒否されます*
- ~すべて – (ソフトフェイル) 承認されていないメールアドレスも受け付けられますが、*印が付きます
- +all – このタグを設定すると、どのサーバーからでもお客様のドメイン宛てにメールを送信できるようになるため、強くお勧めしません。
*「fail」と「softfail」の違いに関する詳細はこちら こちら。
例:v=spf1 ip4:40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com~all。
これは、SPFレコードに含まれる内容に関する基本的な概要です。SPFの構文についてより詳しく知りたい場合は、 こちら。
メールを送信しないドメインについては、悪用を防ぐため、IPアドレスを一切含まないSPFポリシーを公開することをお勧めします。
以下は、パーキングドメインのレコード例です: v=spf1 -all
注:SPFレコードの長さは255文字を超えてはならず、 「include」ステートメントを10個以上含めることはできません(「ルックアップ」とも呼ばれます)を含めることはできません。
SPFレコードを確認・検証するには、当社の無料 SPF調査をご利用ください。
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
