SPFフラット化を避けるべき理由
Sender Policy Framework(SPF)は、SPFレコードに登録されているお客様のドメインに登録されているすべての許可されたIPアドレスに対してメッセージを認証することで、広く評価されているメール認証プロトコルです。電子メールを認証するために、SPFは受信側のメールサーバーに許可されたIPを確認するためのDNSクエリを指定し、結果としてDNSルックアップを行います。
SPFレコードは、さまざまな仕組みの集合体であるDNS TXTレコードとして存在します。これらのメカニズム(include、a、mx、redirect、exists、ptrなど)のほとんどは、DNSルックアップを生成する。しかし、SPF認証のDNSルックアップの最大数は10に制限されている。様々なサードパーティ・ベンダーを利用して、自分のドメインを使ってメールを送信している場合、SPFのハードリミットを簡単に超えてしまいます。
この制限を超えるとどうなるのか、不思議に思うかもしれません。10DNSルックアップの制限を超えると、SPFが失敗し、あなたのドメインから送信された正当なメッセージも無効になります。このような場合、DMARCモニタリングが有効になっていれば、受信メールサーバーはあなたのドメインにSPF PermErrorレポートを返します:SPFフラット化
SPFフラットニングとは?
SPFレコードフラットニングは、SPFレコードを最適化し、SPFハードリミットを超えないようにするために、業界の専門家がよく使う方法のひとつです。SPFフラットニングの手順は非常に簡単です。SPFレコードのフラット化とは、すべてのインクルード機構をそれぞれのIPアドレスに置き換えることで、DNSルックアップの必要性をなくす作業です。
例えば、あなたのSPFレコードが最初は以下のようなものだったとします。
v=spf1 include:spf.domain.com -all
フラット化されたSPFレコードは以下のようになります。
v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all
このフラット化されたレコードは、複数のルックアップを行う代わりに、1つのDNSルックアップのみを生成します。メール認証時に受信サーバーが実行するDNSクエリの数を減らすことで、DNSルックアップの制限である10回を下回ることができますが、それなりの問題があります。
SPFフラット化の問題点
手動でフラット化したSPFレコードが長すぎてドメインのDNSで公開できない(255文字の制限を超える)という事実の他に、メールサービスプロバイダーがユーザーに通知することなくIPアドレスを変更または追加する可能性があることを考慮しなければなりません。メールサービスプロバイダがインフラを変更しても、その変更はSPFレコードには反映されないことがあります。したがって、これらの変更された、または新しいIPアドレスがメールサーバで使用されるたびに、そのメールは受信者側でSPFに失敗します。
PowerSPF: 動的SPFレコードジェネレータ
PowerDMARCの最終的な目標は、ドメイン所有者が10のDNSルックアップ制限に達するのを防ぐことができるソリューションを考え出すことでした。また、SPFレコードを最適化して、メールサービスプロバイダーが使用している最新のIPアドレスを常に更新することもできます。PowerSPFは、SPFレコードから単一のインクルードステートメントを生成する、自動化されたSPFフラットニングソリューションです。PowerSPFは次のようなことに役立ちます。
- IPやメカニズムを簡単に追加・削除できる
- ネットブロックの自動更新により、許可されたIPが常に最新の状態に保たれます。
- 10個のDNSルックアップ制限を簡単にクリア
- 最適化されたSPFレコードをワンクリックで取得
- パーマラー」を永続的に倒す
- エラーフリーなSPFの実現
PowerDMARCに登録することで、DNSのSPFルックアップの上限を10個に抑えつつ、メールの配信と認証を強化することができます。
- DKIMの設定:メールセキュリティのためのDKIM設定ステップバイステップガイド (2025)- 2025年3月31日
- PowerDMARC が G2 Spring Reports 2025 で DMARC のグリッドリーダーに認定される- 2025年3月26日
- 偽の注文確認詐欺メールを見分け、身を守る方法- 3月 25, 2025