SPFレコードの設定方法は?
電子メールは企業にとって必要不可欠なツールであり、私たちの多くは毎日のコミュニケーションに電子メールを利用しています。しかし、メール利用者の増加に伴い、スパム、フィッシング、メール詐欺などの問題も発生しています。このような攻撃は、評判の低下、金銭的損失、データ漏洩など、大きな被害をもたらす可能性があります。このような攻撃を防ぐために、企業は電子メールシステムの安全性を確保するための積極的な対策を講じる必要がありますが、その方法の1つがSPFレコードを設定することです。
SPFとは?
使用済み燃料プールは、Sender Policy Frameworkの略です。メール認証プロトコルの一つで、ドメインの代わりにメールを送信する権限を持つサーバーを指定することができます。SPFは、ドメインのDNS設定にDNSレコードを追加することで機能し、メールサーバーのIPアドレスをリストアップします。このレコードは、他の電子メールサーバーに、あなたのドメインから送信された電子メールのうち、許可されたIPアドレスから送信されていないものは拒否されるべきであると伝えます。
SPFレコードの設定は、無許可のユーザーがお客様のドメイン名を使用してメールを送信するのを防ぐために不可欠なステップです。例えば、スパマーや攻撃者は、スパムやフィッシングメールを送信するためにあなたのドメイン名を使用する可能性があり、あなたの評判に害をもたらし、ブラックリストに登録され、顧客や従業員のセキュリティを危険にさらす可能性があります。
SPFレコードを設定するには?
SPFレコードの設定は簡単で、以下の手順で行います。
ステップ1:メールサーバーの決定
最初のステップは、お客様のドメインに代わってメールを送信する権限を持つサーバーを決定することです。これらのサーバーには、お客様のメールサーバー、お客様が使用しているサードパーティのメールサービスプロバイダ、またはお客様のドメイン名を使用してメールを送信する他のサーバーが含まれます。
ステップ2:SPFレコードの作成
認証されたメールサーバーを確認したら、SPFレコードを作成することができます。SPFレコードは、ドメインのDNS設定にあるTXTレコードです。SPFレコードを作成するには、次のような簡単な構文を使用できます。
v=spf1 ip4:<IP address> -all
In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.
ステップ3:SPFレコードを公開する
SPFレコードを作成したら、ドメインのDNS構成で公開する必要があります。DNSプロバイダーのウェブサイトにログインし、SPFレコードを含む新しいTXTレコードを追加することで、これを行うことができます。また、ITチームやホスティングプロバイダーに依頼することもできます。
ステップ4:SPFレコードをテストする
SPFレコードを公開したら、それが正しく動作しているかどうかをテストすることが不可欠です。オンライン SPFレコードチェッカーMXToolboxが提供するようなツールを使って、SPFレコードをテストしてください。これらのツールは、あなたのSPFレコードが有効であるかどうか、正しく設定されているかどうかを教えてくれます。
正確なSPFレコードを作成するためのヒント
ここでは、強力なSPFレコードを作成するためのヒントを紹介します。
- 許可されたすべてのメールサーバーを含める。SPFレコードに、お客様のドメインに代わってメールを送信するすべての承認済みメールサーバーを含めるようにしてください。これには、お客様のメールサーバー、サードパーティのメールサービスプロバイダー、またはお客様のドメイン名を使用してメールを送信するその他のサーバーを含めることができます。
- all "機構を使用する。SPFレコードの末尾にある"-all "メカニズムは、他のメールサーバーに対して、許可されたIPアドレスから送信されていないメールを拒否するように指示します。これは、不正なユーザーがあなたのドメイン名を使用してメールを送信することを防ぐための重要なステップです。
- include」機構を利用する。include」メカニズムを使用すると、他のドメインからのSPFレコードを含めることができます。これは、サードパーティの電子メールサービスプロバイダを使用して、ドメインの代わりに電子メールを送信する場合に便利です。サードパーティのSPFレコードを自分のSPFレコードに含めることで、サードパーティのサーバーから送信されたメールも認証されるようにすることができます。
- テストには「~all」メカニズムを使用します。all "メカニズムは、他のメールサーバーに、許可されたIPアドレスから送信されなかったメールを "soft failures "としてマークするように指示します。これは、これらのメールはまだ配信されますが、潜在的に疑わしいものとしてマークされることを意味します。テスト中にこのメカニズムを使用することで、メールを即座に拒否することなく、SPFレコードが正しく動作していることを確認できます。
- SPFレコードを常に最新の状態に保つ:メールインフラが変化したら、その変化に合わせてSPFレコードを必ず更新してください。これには、新しいメールサーバーを追加したり、古いメールサーバーを削除したりすることが含まれます。
SPF Flatteningとそのメリット
DNSルックアップ制限とは、電子メールのSPFレコードを検証する際に実行できるDNSルックアップの回数を制限する、電子メールサーバーが課す制限です。この制限は、通常10回のDNSルックアップに設定されており、メールサーバーがこの制限を超えた場合、詐欺の可能性があるとしてメールを拒否することがあります。
SPFフラット化は、電子メールのSPFレコードを検証するために必要なDNSルックアップの回数を減らすために使用される技術です。複数のSPFレコードを1つのレコードにまとめることで動作し、電子メールの認証に必要なDNSルックアップの回数を減らすことができます。
ここでは、SPFの平坦化の例を紹介します。
例えば、あなたの会社がマーケティングオートメーションソフトウェア、ヘルプデスクシステム、中小企業向けCRMツールなど、複数のサードパーティーのサービスを利用してメールを送信しているとします。これらのサービスのそれぞれについて、DNSのSPFレコードまたは個別のSPFレコードのIPアドレスリストに追加され、ドメインのSPFレコードにそれらすべてを含めるとすると、DNSルックアップの上限である10件を超えてしまいます。
SPFフラット化を利用することで、これらの冗長なIPをすべて1つのインクルードにまとめることができます。これにより、メールサーバーがSPFレコードを検証するためにDNSルックアップを行う際、個々のSPFレコードやIPアドレスに対して複数のルックアップを行うのではなく、単一のルックアップまたはいくつかのルックアップを行うだけでよくなります。
結論
SPFレコードを設定することは、メールシステムの安全性を確保し、メール詐欺を防止する上で非常に重要なステップです。SPFレコードを作成し、ドメインのDNS設定で公開することで、ドメインから送信されるメールが確実に認証され、未承認のユーザーがドメイン名を使用してメールを送信するのを防ぐことができます。上記のヒントに従えば、強力なSPFレコードを作成し、メールシステムを安全に維持することができます。
- ウェブ・セキュリティ101 - ベストプラクティスとソリューション- 2023年11月29日
- 電子メールの暗号化とは何か、そのさまざまな種類は何ですか? - 2023年11月29日
- MTA-STSとは?正しいMTA STSポリシーの設定- 2023年11月25日