SPFフラット化を避けるべき理由
Sender Policy Framework(SPF)は、SPFレコードに登録されているお客様のドメインに登録されているすべての許可されたIPアドレスに対してメッセージを認証することで、広く評価されているメール認証プロトコルです。電子メールを認証するために、SPFは受信側のメールサーバーに許可されたIPを確認するためのDNSクエリを指定し、結果としてDNSルックアップを行います。
SPFレコードは、さまざまなメカニズムの集合体であるDNS TXTレコードとして存在します。これらの仕組みのほとんど(include、a、mx、redirect、exists、ptrなど)はDNSルックアップを生成します。ただし、SPF認証のためのDNSルックアップの最大数は10に制限されています。様々なサードパーティベンダーを利用して、自分のドメインを使ってメールを送信している場合、SPFのハードリミットを簡単に超えてしまいます。
この制限を超えるとどうなるのか、不思議に思うかもしれません。10DNSルックアップの制限を超えると、SPFが失敗し、あなたのドメインから送信された正当なメッセージも無効になります。このような場合、DMARCモニタリングが有効になっていれば、受信メールサーバーはあなたのドメインにSPF PermErrorレポートを返します:SPFフラット化
SPFフラットニングとは?
SPFレコードフラットニングは、SPFレコードを最適化し、SPFハードリミットを超えないようにするために、業界の専門家がよく使う方法のひとつです。SPFフラットニングの手順は非常に簡単です。SPFレコードのフラット化とは、すべてのインクルード機構をそれぞれのIPアドレスに置き換えることで、DNSルックアップの必要性をなくす作業です。
例えば、あなたのSPFレコードが最初は以下のようなものだったとします。
v=spf1 include:spf.domain.com -all
フラット化されたSPFレコードは以下のようになります。
v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all
このフラット化されたレコードは、複数のルックアップを行う代わりに、1つのDNSルックアップのみを生成します。メール認証時に受信サーバーが実行するDNSクエリの数を減らすことで、DNSルックアップの制限である10回を下回ることができますが、それなりの問題があります。
SPFフラット化の問題点
手動でフラット化したSPFレコードが長すぎてドメインのDNSで公開できない(255文字の制限を超える)という事実の他に、メールサービスプロバイダーがユーザーに通知することなくIPアドレスを変更または追加する可能性があることを考慮しなければなりません。メールサービスプロバイダがインフラを変更しても、その変更はSPFレコードには反映されないことがあります。したがって、これらの変更された、または新しいIPアドレスがメールサーバで使用されるたびに、そのメールは受信者側でSPFに失敗します。
PowerSPF: 動的SPFレコードジェネレータ
PowerDMARCの最終的な目標は、ドメイン所有者が10のDNSルックアップ制限に達するのを防ぐことができるソリューションを考え出すことでした。また、SPFレコードを最適化して、メールサービスプロバイダーが使用している最新のIPアドレスを常に更新することもできます。PowerSPFは、SPFレコードから単一のインクルードステートメントを生成する、自動化されたSPFフラットニングソリューションです。PowerSPFは次のようなことに役立ちます。
- IPやメカニズムを簡単に追加・削除できる
- ネットブロックの自動更新により、許可されたIPが常に最新の状態に保たれます。
- 10個のDNSルックアップ制限を簡単にクリア
- 最適化されたSPFレコードをワンクリックで取得
- パーマラー」を永続的に倒す
- エラーフリーなSPFの実現
PowerDMARCに登録することで、DNSのSPFルックアップの上限を10個に抑えつつ、メールの配信と認証を強化することができます。
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日
- 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日