SPFレコード

PowerDMARCのサポート

修正日2020年6月21日(日) 3:03 PM

Sender Policy Framework（SPF）は、ドメイン所有者が自分のドメインに代わってメールを送信することを許可するサーバーを指定できるメール認証プロトコルである。

お客様のドメインからメールが送信されると、受信側のメールサーバーはお客様のDNSにあるSPFレコードを確認します。このレコードには、お客様のドメインからメールを送信することが許可されているすべてのIPアドレスのリストが含まれています。送信者のIPアドレスがSPFレコードのアドレスのいずれかに一致すると、メールが認証されます。

SPFレコードは、お客様のドメインにSPFを実装するために重要です。これは、DNSのTXTレコードとして公開され、ドメインの仕様に応じて変更することができます。以下は、SPFレコードの例です。

v=spf1 a mx ip4: 39.72.122.191 include:_spf.google.com ~all

では、このレコードの各要素を分解して、その役割を理解しましょう。

バージョン

SPFレコードは常に''で始まります。v=これは、使用されている SPF のバージョンを示します。 spf1は、最も一般的に使用されている SPF のバージョンで、すべてのメールクライアントで理解できます。

メカニズム

メカニズムとは、SPFレコードの要素で、SPF認証を行う際に、受信サーバーにDNS上の特定のレコードを確認したり、特定のプロトコルを使用するように指示するものです。

a - SPFレコードが公開されているドメインのすべてのAレコードがテストされます。送信者のIPアドレスがAレコードのIPと一致する場合、この仕組みはパスする。
ip4 - 送信者のIPアドレスのIPv4ネットワーク範囲を指定します。
ip6 - 送信者IPアドレスのIPv6ネットワーク範囲を指定します。
mx - MXレコードは、電子メールの中継に使用するサーバーを指定します。送信者のIPアドレスが、SPFレコードが公開されているドメインのMXレコードのいずれかと一致する場合、この仕組みはパスする。
PTR - 送信者のIPに対応するホスト名をPTRクエリを使って調べます。ホスト名の末尾が、SPFレコードが公開されているドメインと一致する場合、この仕組みはパスします。PTRクエリは、高価なDNSルックアップの回数を制限するために、可能な限り回避されるべきです。
が存在する。 - 指定されたドメインに対して A クエリーを実行します。結果が見つかった場合、このメカニズムはパスします。
含む - 指定されたドメインが一致するかどうか検索されます。ドメインがそれ自身の有効なSPFレコードを持っていない場合、パーマネントエラーになります。
すべて - この機構は常にマッチする。これは修飾子を使って、他のメカニズムがマッチしないすべてのIPを含めることができます。通常、SPFレコードの末尾に追加されます。

予選

"+" - パスSPFレコードは、送信を許可するIPアドレスを指定するものです。

"-" - 失敗。SPFレコードは、送信を許可しないIPアドレスを指定する。

"~" - SoftFail。SPFレコードは、送信を許可しないIPアドレスを指定するが、移行中である。

"?" - 中立。SPFレコードは、IPアドレスの有効性について何も言うことができないことを指定します。

機構は、デフォルトでPassに設定されています。

上記の例では、'a' と 'mxは' と同じ意味です。+aと '+mx'.ただし、'~はでマッチしないすべての IP アドレスは、'~all' で示されます。a' と 'mx' にマッチしないすべての IP アドレスを SPF に従って SoftFail と見なします。

モディファイア

修飾子は任意であり、1レコードに1回のみ使用することができる。

リダイレクト - 別ドメインのSPFレコードを指すために使用します。複数のドメインを持っているが、すべてのドメインで同じSPFレコードデータを使用したい場合に使用します。2つ目のドメインは、それ自身の有効なSPFレコードを持つ必要があります。リダイレクトは両方のドメインを管理しているときにのみ使用し、それ以外の場合は includeが使われます。
exp - 受信サーバーがメッセージを拒否する場合、説明を提供することができます。