DMARCとは異なり、SPFはサブドメインで異なる動作をする。サブドメイン用にSPFを設定すべきかどうか、またサブドメイン用に別途ポリシーを実装すべきかどうか悩んでいるなら、この記事が役に立つかもしれない。DMARCがサブドメインでどのように機能するかについては、こちらをお読みください。

簡単にまとめると、ドメインのDMARCポリシーは自動的にサブドメインにも適用されます。つまり、company.comにp=rejectのDMARC ポリシーを発行したDMARCレコードがある場合、support.company.comやmarketing.company.comのようなサブドメインから送信されるメールは、個々のsp（サブドメインポリシー）DMARCタグを手動で設定しなくても、ルートドメインと同じDMARCポリシーを継承します。

それでは、サブドメインのSPFの管理について説明します。

サブドメインでSPFはどのように機能するのですか？

SPFのポリシーは、サブドメインには自動的に継承されません。SPFを使用してメールを認証する場合、サブドメインを使用してメールを送信している場合は、DNSエントリーに修正を加えることにより、これらのサブドメインに個別にSPFレコードを設定する必要があります。

例えば、こんな感じです。

company.comのSPFレコードは以下のとおりです。

v=spf1 include:spf.domain.com include:spf.xyz.net -all

ただし、ルートドメインであるcompany.comから直接メールを送信するのではなく、ルートドメインに基づくサブドメインであるmarketing.company.comからメールを送信することになります。メール受信者は SPFレコードが見つかりませんというエラーが返されます。

サブドメイン用のSPFレコードを作成する

サブドメインにSPFレコードを作成するには

に向かってください。 SPFレコード生成ツールツール
サブドメインのメール送信を代行するサードパーティ（SendGrid、Zendeskなど）に関する情報を入力してください。
SPFレコードを生成する」ボタンを押すと、AIがエラーのないTXTレコードを生成してくれます。
このレコードをクリップボードにコピーする

サブドメインのSPFレコードを公開する

サブドメインのSPFを公開する場合。

DNS管理コンソールに管理者としてアクセスできるようになります。
DNS設定ページに移動し、DNSレコードを編集/追加します。
サブドメインがポータルに登録されていることを確認し、"新しいレコードを追加する "をクリックします。
新規レコードの追加 "ポップアップボックスで新規レコードを作成する

レコードの種類TXT
TTL：1時間
ホスト(あなたのサブドメイン名)
値生成されたSPFレコードをここに貼り付ける

備考:各基準の名称や新規レコードの追加方法は、ご利用のDNSプロバイダーによって異なります。ご不明な点がございましたら、ご利用のホスティングプロバイダーにお問い合わせください。

なぜサブドメイン（およびドメイン）にSPFが必要なのですか？

メールを送信すると、受信サーバーはDNSルックアップを実行し、送信サブドメイン（またはドメイン）のDNSにSPFレコードを問い合わせます。見つかったら、送信者のIPアドレスがレコードで指定されたものと一致するかどうかをチェックします。一致する場合、ドメイン所有者がそのドメインに代わってメールを転送する権限を委任していることを意味する。一致しない場合、メールはSPFチェックに失敗します。

サイバー犯罪者は、あなたのドメイン名を偽造して、偽のメールを送信し、顧客を詐取している可能性があります。SPFレコードを設定することで、不正な者がお客様のドメインからメールを送信するのを防ぐことができます。このため、サブドメインとルートドメインに別々にSPFを設定し、なりすましに対する万全の対策を講じることが重要です。

SPFレコードとはどのようなものですか？

以下は、参考のためのSPFレコードです。

メール配信に問題がある場合、SPFレコードに構文上の誤りがないかを確認する必要があります。レコード内に冗長なスペースがないか、また、すべて1行で記述されていることを確認してください。それでも問題が解決しない場合は、PowerDMARCを使用して安全なSPFを導入してください。SPFの導入プロセスを合理化し、設定や認証の問題に直面することがないよう支援します。