SPFフラットニングとは?
SPFフラット化とは、複雑なSPFレコード(複数の「include:」、「a」、「mx」、または「redirect=」メカニズムを含むもの)を、解決済みのIPアドレスを直接記載した簡略化された形式に変換するプロセスです。受信メールサーバーに対して、各メールプロバイダーがどのIPアドレスを使用しているかを個別に照会するよう指示する代わりに、フラット化されたレコードでは、それらすべてを事前に解決し、その結果をDNSに直接記述します。
DNS検索の10回制限の仕組み
受信メールサーバーがSPFレコードを評価するたびに、各「include:」、「a」、または「mx」メカニズムに従って、承認されたIPアドレスを特定します。RFC 7208(正式なSPF仕様)では、この解決の連鎖におけるDNS検索回数は10回までに制限されています。この上限を超えると、SPFはPermError(恒久的なエラー)を返します。これにより、通常、正当なメールでも認証に失敗し、スパムフォルダに振り分けられたり、完全に拒否されたりすることになります。
上限を超えた場合(PermError)
レコードの完全な解決に10回以上のルックアップが必要な場合、メールサーバーは10回目のルックアップで評価を停止するため、それ以降にリストされている送信者は一切チェックされません。SPFはPermErrorを返し、DMARCポリシーによっては、チェックされなかった送信者からのメールが隔離されたり、拒否されたりすることがあります。この失敗は通常、何の通知もなく発生します。バウンス通知が届くことはなく、単にメールが届かなくなるだけです。
include:spf.protection.outlook.cominclude:_spf.google.cominclude:spf.mandrillapp.cominclude:_spf.salesforce.cominclude:sendgrid.netinclude:mail.zendesk.com静的SPFフラットニングの根本的な問題
フラット化処理により、これらの「include:」メカニズムはすべて、その基盤となるIPアドレスに解決され、レコードに直接書き込まれます。理論上、これによりネストされたルックアップが完全に排除されます。実際には、静的にフラット化されたレコードの有効期間は予測可能です。つまり、利用しているメールプロバイダーのいずれかがIP範囲を変更した瞬間、 フラット化されたレコードは誤ったものになってしまいます。
Google、Microsoft、Mailchimp、SendGridはいずれも、そのインフラに依存しているドメイン所有者に通知することなく、送信インフラを更新している。
DNSのTXTレコードには、実質的なサイズ制限(1文字列あたり255バイト)があります。多数のIP範囲を含む完全に展開されたレコードは、この制限を超える可能性があり、その結果、そのレコード自体の検証に失敗することがあります。
新しいメールサービスを追加するたびに、再フラット化を行います。サービスを削除するたびに、再フラット化を行います。インフラが拡大するにつれて、この方法は維持できなくなってしまいます。
SPF規格には通知機能は存在しません。ベンダーがIPアドレスを移動させた場合、配信率がすでに低下してからでないとその事実を知ることはできません。
当社の自動SPF平滑化機能の仕組み
PowerDMARCのSPFフラット化ツールは、PowerSPFのホスト型SPFサービスの一部であり、全プロセスを自動的に処理し、メールインフラストラクチャの変更に合わせてレコードを常に最新の状態に保ちます。
サインアップしてドメインを追加してください。PowerDMARCは、手動での入力は一切不要で、現在のSPFレコードを即座に自動検出します。
レコードが使用するDNSルックアップの正確な数、どのサービスが最も多くを占めているか、そしてPermErrorのリスクがあるかどうかを確認できます。
すべてのインクルード文は、現在のIPアドレスに解決され、1つの最適化されたインクルード文に圧縮されます。カウントは1に減少します。
新しいレコードを公開します。PowerDMARCはベンダーを監視し、IPアドレスが変更された際に自動的に再構築を行うため、情報が古くなることはありません。
手動によるフラット化と自動SPFフラット化の比較
手作業による追跡に起因する業務上のボトルネックや、目に見えない摩擦。
サードパーティのサービスを手動で追加すると、DNSのルックアップ数がすぐに10件の制限を超えてしまい、予告なしにメールの配信が中断されてしまいます。
ベンダーが基盤となるIPアドレスを更新すると、配信の不具合に気づくまで、手動で設定した静的レコードは気づかれないまま古くなってしまいます。
サブレコードを手動で展開すると、文字列が急速に膨れ上がり、個々のDNS文字列に対する255文字という厳格な制限を容易に超えてしまう。
入力ミスをしたり、構文を誤って記述したり、長いIP範囲のブロックを誤ってコピーしたりすると、重大なセキュリティ上の問題や配信障害を引き起こす原因となります。
標準的な業務アプリケーションの追跡を維持するだけでも、継続的な手動監査、スプレッドシートによる監視、そして開発者の作業時間が必要となります。
お客様のネイティブ環境内に構築された、自動化され、効率的なセキュリティインフラストラクチャ。
高度な動的マッピング機能により、多数のルックアップが自動的に、10ルックアップというプロトコルの最大閾値以下に安全に集約されます。
バックグラウンドで動作する自動チェックスクリプトが、システムベンダーの変更を即座に検知し、数分以内にネットワークの更新情報をシームレスに自動更新します。
インテリジェントなアルゴリズムによるテキストブロックの折り返し処理により、不要な構文スペースが削除され、レコードが圧縮されて文字の移動経路が最小限に抑えられます。
リスクを伴う手作業による構造的な操作を排除し、ソフトウェアのルールに基づいてプラットフォームの設定を体系的に管理することで、エラーのない状態を維持します。
1つの恒久的な静的エンジン構成ハンドルを展開し、長期的なデジタルドメイン認証パラメータを継続的に保護する。
SPFによる平坦化のリスクとベストプラクティス
SPFフラット化は正当な手法ですが、特に手動でレコードを管理する予定がある場合は、これに依存する前に理解しておくべきリスクが伴います。
始める前に知っておくべきリスク
IPアドレスの変更— 大手プロバイダーは、送信用IPアドレスの範囲を定期的に変更しています。変更が行われると、新しいIPアドレスからのメールは直ちにSPF検証に失敗しますが、配信率が低下して初めてそのことに気づくことになります。
レコードの肥大化とDNSの制限— 多数のサービスを持つ組織のレコードは、平坦化されると数百ものIPエントリに膨れ上がり、実用的なサイズ制限を超えてしまい、Permerrorを引き起こす可能性があります。
メンテナンスの負担— 手動での記録は、一度行えば済むものではありません。サービスを追加したり、削除したり、あるいはベンダーにインフラの更新を依頼したりするたびに、データを再整理して再公開する必要があります。
ベストプラクティス
アクティブで正当な送信者のみを承認する— フラット化を行う前に、レコードを監査し、使用しなくなったサービスのインクルードを削除してください。不要なエントリが1つ増えるごとに、検索回数が増え、攻撃対象領域も拡大します。
DMARCレポートでSPFの合格率・不合格率を監視する— 集計レポートには、どの送信元が合格し、どの送信元が不合格になったかが正確に示されます。フラット化後に原因不明の不合格が発生した場合は、通常、IP範囲が古くなっていることが原因です。
SPFはDKIMやDMARCと併用してください。SPFだけではなりすましを防ぐことはできません。適切な認証には、これら3つすべてが必要です。SPFとDKIMは整合性を確保するため、DMARCはそれらが失敗した際の対応を定義するために必要です。
インフラの変更後は必ず再検証を行う— メールサービスを追加または削除した際は、その設定が依然として有効であると決めつける前に、SPFチェッカーでレコードを確認してください。
世界中で数千人の信頼
ジェニファー・ハイゼル
システム管理者
「PowerDMARCのホスト型SPFを利用することで、当社のドメインにおけるSPF照会制限が解消されました。DNSに公開する必要があるのは、たった1つのSPFレコードだけです。」
デビッド・スピゲルマン
社長
「PowerDMARCは、特にSPFエラーに大いに役立っている。"SPFフォールディング "を簡単に行えるようにすることで、技術的に許容される以上のSPFインクルードが必要な顧客のために、しばしば必要とされるのだ。
ディラン・バウタース
テクノロジー・セキュリティ・コンサルタント
"SPFフラット化によって、我々はSPFを簡単に拡大し、レコードの詳細を検査することができるようになった"
よくあるご質問
SPFレコードの設定を修正する準備はできましたか?
SPFの平坦化は、繰り返し発生する問題である必要はありません。当社のツールを使えば、手間いらずです!
