SPFTXTレコードの作成は、すべてのドメイン所有者が自分のドメインにSPFレコードを追加し、電子メールの認証を開始するために必要な手順です。SPFは、Sender Policy Frameworkの略で、メール配信に不可欠な要素です。TXTレコードは、あなたのメールサーバーによって与えられたソースを信頼する方法を受信サーバーに伝えるためにあります。このレコードは、メールの信憑性を確認するためにメールサーバーによってルックアップされます。
しかし、その前に、SPF TXTレコードの作成方法を理解することが不可欠です。
SPFレコードはどのように機能しますか?
SPF TXTレコードの作成方法の手順に入る前に、SPFの仕組みについて確認しておきましょう。Sender Policy Framework(SPF)と呼ばれるTXTレコードは、組織ドメインのDNSゾーンファイルの構成要素です。これには、特定のドメイン名からメールを送信することを許可されたIPアドレスまたはホスト名のリストが含まれています。SPF TXTレコードの項目を追加すれば、ユーザーはDNSゾーンを変更することなく、スパム防止システムの重要なコンポーネントとしてSPFチェックを組み込んだサーバーを使用することができます。
なぜSPFが重要なのか?
SPFは最近、「あった方が良い」から「必須」へと変化しています。SPFレコードは、以下のような利点があり、電子メールのセキュリティの重要な一部となっています。
- あなたのドメイン名を使って他のネットワークに迷惑をかけるスパマーは、あなたのブランドの評判を損なう可能性があります。
- 攻撃者は、お客様のドメイン名を利用してフィッシングや捕鯨活動を行い、マルウェアやランサムウェアの感染、その他の金銭的損失や不正行為につながる可能性があります。
- メールの正当性を確認できないため、インターネット上の他のメールサーバーが受信を拒否する可能性があります。
この3つが揃えば、SPFレコードを実装する動機付けとして十分な怖さがあるはずだ。
SPF TXTレコードを作成するには?
SPF TXTレコードの作成方法について簡単に説明すると、フィッシング詐欺やなりすまし詐欺からブランドを守るために、電子メールを検証する必要があります。SPF TXTレコードの作成方法がわからないという方のために、簡単なガイドラインをご紹介します。
1.メール送信に使用しているIPアドレスのリストを収集する
SPFレコードはそれぞれ個別のドメインに対応するため、まず、すべてのドメインのリストを作成します。悪用されないように、メールを送信していない非アクティブ(または「パーク」)ドメインも含めてください。
さらに、お客様の代わりにメールを送信するすべての送信元(サードパーティ)と、お客様のドメインからメールを送信するすべてのものをリストアップする必要があります。これには以下のものが含まれます。
- 郵便サーバー(Gmailのようなウェブベース、ISP経由、Microsoft Exchangeのようなオフィス内の両方)
- バルクメールサービスやメールマーケティングを提供する企業は、ESP(メールサービスプロバイダ)と呼ばれています。
- その他サービス(決済代行、eコマースサービス、サポート・チケットシステムなど)
2.すべての送信ドメインを含める
ほとんどの企業は、多種多様なドメインを保有しています。その中には休眠状態のものもあれば、メール送信に使用されているものもあります。では、それぞれのドメインを保護するためにSPFを使用する必要があるのでしょうか。はい、それが答えです。例えば、会社が送信ドメインだけにSPFレコードを設定することに決めたとしましょう。その場合、攻撃者は、送信ドメイン以外のドメインを簡単に標的とすることができます。
3.ドメインのSPFレコードを作成する
- SPFのバージョンを最初に指定します。SPFレコードでは、常にバージョン番号が最初にきます。v=spf2(バージョン2)のタグでSPF指定された文書です。
- 貴社がブランドの代理としてメール送信を許可したIPアドレスは、すべてv=spf2 SPFバージョンタグに従うべきです。v=spf1 ip4: xxx.xxx.xxx.xxx -すべて、たとえば
- 次のステップは、組織の代わりにメールを送信する権限を持つ外部企業用のタグを追加することです。例えば、以下のように記述します。 thirdpartydomain.com.(ドメイン名の例としては サードパーティドメイン.comです)。このタグの重要な点は、お客様の企業ドメインの代わりにメールを送信する権限を持つサードパーティ企業をリストアップすることです。include文の値としてどのドメインを入れるかは、サードパーティーの組織と相談して決めてください。
- すべてのincludeタグとIPアドレスを実装した後、~all、-all、または?allタグを使用してレコードを終了します。
- allタグはハード障害、‾allタグはソフト障害を示す。
- どのサーバーでも、?allタグにより、お客様の組織ドメインからのメールを配信することができます。このオプションを使用すると、サーバーがなりすましにさらされる可能性があるため、このオプションを使用することはお勧めしません。
さらに、無料の SPFレコードジェネレーターツールを使用することもできます。あなたのドメインからメールを送ることを許可されたすべての送信ソースを識別することによって、部外者によるメールの偽造を阻止することができます。個々のSPFレコードを作成し、DNSに公開すれば、準備は完了です。
4.DNSにSPFレコードを追加する
生成プロセスが完了したら、ドメインのDNSにSPFレコードを追加する必要があります。その結果、Gmail、Hotmailなどのメールクライアントがそれを要求できるようになります。お客様のDNS管理者は、お客様のDNSでSPFレコードを公開する必要があります。これは、お客様の会社内の役職であったり、DNSプロバイダーが提供するダッシュボードに直接アクセスできたり、レコードの公開を依頼したりすることができます。
SPFレコードが最大10ルックアップを超えないようにしてください。ネストされたルックアップ」もカウントされることに注意する必要があります。含まれる "ドメインのAおよびMXルックアップは、あなたのドメインのルックアップとしてカウントされます。
SPチェッカーの使用 SPFチェッカーPowerDMARCのSPFチェッカーツールを使って、SPFレコードの事前検証を行うことができます。この正確でエラーのない SPF レコードを使用して、電子メールに SPF を適用することができます。数秒のうちに素早くSPFレコードを調べることができ、メールの有効性を阻害する可能性のある問題を特定することができます。
どのように機能するのですか?
このSPFレコードチェッカーを使って、あなたのドメインの以下のSPFレコード検索を実行することができます。
- ドメイン名を入力してください。
- Lookup "をクリックすれば完了です!SPFチェッカーを使えば、外出先でも簡単に素早くSPFレコードを検索できます。
最後の言葉
SPF TXTレコードの作成方法については、こちらをご覧ください。あなたのドメインでスパマーがこの戦術を利用するのを防ぐ最も簡単な方法は、あなたのゾーンファイルにSPFレコードを追加することです。他のメールプロバイダーは、(偽の)返信先アドレスにバウンスバックを送ることなく、即座にメールを拒否するため、SPFレコードは、あなたが受け取っていたバウンスバックの数を大幅に減らすことができます。すべてのメールプロバイダーがSPFレコードをチェックするわけではないので、その効果は限定的ですが、バウンスバックの大幅な減少を確認することができるはずです。
SPFだけでは、メールベースの脅威からドメインを保護することはできません。そのためには DMARCを導入する必要があります。
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日
- DMARC aspfタグ解説ガイド- 2025年1月7日