サブドメイン用SPF

DMARCとは異なり、SPFはサブドメインで異なる動作をします。サブドメインにSPFを設定すべきかどうか、また、サブドメインに別途ポリシーを導入すべきかどうか悩んでいる方は、こちらの記事が参考になるかもしれません。DMARCがサブドメインでどのように機能するかについては、こちらをご覧ください。 

簡単におさらいすると、ドメインのDMARCポリシーは自動的にサブドメインにも適用されます。つまり、company.comで公開されているp=rejectのDMARCレコードがあれば、support.company.comやmarketing.company.comなどのサブドメインから送られるメールには、ルートドメインと同じDMARCポリシーが継承され、個々のsp(サブドメイン・ポリシー)DMARCタグを手動で構成する必要がありません。 

それでは、サブドメインのSPFの管理について説明します。 

サブドメインでSPFはどのように機能するのですか?

SPFのポリシーは、サブドメインには自動的に継承されません。SPFを使用してメールを認証する場合、サブドメインを使用してメールを送信している場合は、DNSエントリーに修正を加えることにより、これらのサブドメインに個別にSPFレコードを設定する必要があります。 

例えば、こんな感じです。 

company.comのSPFレコードは以下のとおりです。 

v=spf1 include:spf.domain.com include:spf.xyz.net -all 

ただし、ルートドメインであるcompany.comから直接メールを送信するのではなく、ルートドメインに基づくサブドメインであるmarketing.company.comからメールを送信することになります。メール受信者は SPFレコードが見つかりませんというエラーが返されます。

サブドメイン用のSPFレコードを作成する

サブドメインにSPFレコードを作成するには 

  1. に向かってください。 SPFレコード生成ツールツール
  2. サブドメインのメール送信を代行するサードパーティ(SendGrid、Zendeskなど)に関する情報を入力してください。
  3. SPFレコードを生成する」ボタンを押すと、AIがエラーのないTXTレコードを生成してくれます。
  4. このレコードをクリップボードにコピーする

サブドメインのSPFレコードを公開する

サブドメインのSPFを公開する場合。 

  1. DNS管理コンソールに管理者としてアクセスできるようになります。
  2. DNS設定ページに移動し、DNSレコードを編集/追加します。
  3. サブドメインがポータルに登録されていることを確認し、"新しいレコードを追加する "をクリックします。
  4. 新規レコードの追加 "ポップアップボックスで新規レコードを作成する

レコードの種類TXT
TTL:1時間
ホスト(あなたのサブドメイン名)
値生成されたSPFレコードをここに貼り付ける

備考:各基準の名称や新規レコードの追加方法は、ご利用のDNSプロバイダーによって異なります。ご不明な点がございましたら、ご利用のホスティングプロバイダーにお問い合わせください。

なぜサブドメイン(およびドメイン)にSPFが必要なのですか?

メールを送信すると、受信サーバーはDNSルックアップを実行して、送信側のサブドメイン(またはドメイン)のDNSにSPFレコードを問い合わせる。見つかった場合、送信者のIPアドレスがレコードで指定されたもののいずれかと一致するかどうかが確認されます。一致した場合、ドメインの所有者が、そのドメインに代わってメールを転送する権限を委任したことを意味します。一致しない場合、メールはSPFチェックに失敗します。 

サイバー犯罪者は、あなたのドメイン名を偽造して、偽のメールを送信し、顧客を詐取している可能性があります。SPFレコードを設定することで、不正な者がお客様のドメインからメールを送信するのを防ぐことができます。このため、サブドメインとルートドメインに別々にSPFを設定し、なりすましに対する万全の対策を講じることが重要です。 

SPFレコードとはどのようなものですか?

以下は、参考のためのSPFレコードです。

メール配信に問題がある場合、SPFレコードに構文上の誤りがないかを確認する必要があります。レコード内に冗長なスペースがないか、また、すべて1行で記述されていることを確認してください。それでも問題が解決しない場合は、PowerDMARCを使用して安全なSPFを導入してください。SPFの導入プロセスを合理化し、設定や認証の問題に直面することがないよう支援します。