あなたのドメインに複数のSPFレコードがあってもいいのでしょうか?答えは意外かもしれません!SPFレコードはメール認証に欠かせないものですが、複数あると配信に支障をきたす可能性があります。
複数のSPFレコードを持つことは、ドメイン所有者が遭遇する最も一般的なSPFエラーの1つです。これはSPFを完全に無効にし、SPF PermErrorを引き起こす可能性があります。なぜこのようなことが起こるのかを理解するためには、SPFがどのように機能し、なぜ複数のSPFレコードを持つことで認証に問題が生じるのかを知る必要があります。
*プロのヒント:ドメイン ドメインレコードチェックSPFレコードの設定に誤りがないか、今すぐご確認ください。
SPFレコードの機能
センダー・ポリシー・フレームワーク SPFは、ドメインに代わってメールを送信することが許可されているすべての送信元をリストアップすることで機能する、一般的なメール認証プロトコルです。
SPFチェックの間、受信MTAはDNSクエリーリクエスト、またはDNSルックアップを実行し、メールのReturn-pathアドレスをSPFレコードに記載されているIPアドレスのリストと照合して検証します。一致した場合、メールはSPFに合格し、そうでない場合はSPFに不合格となります。
したがって、SPFを設定するには、「v=spf1」構文で始まるDNS TXTレコードを公開するだけです。
複数のSPFレコードの神話
SPFレコードを別々に追加することを勧めるサービスもあるかもしれませんが、実際にはドメインが持つことができるSPFレコードは1つだけです。これは、SPF標準(RFC 4408)は複数持つことを固く禁じているからである。
SPFチェック中、複数のレコードに遭遇すると "PermError "が発生し、受信サーバーを混乱させる。
受信MTAが電子メールのSPF認証の実行を開始すると、"v=spf1 "で始まるすべてのDNS TXTレコードをフェッチする。送信ドメインにSPFが設定されておらず、DNSにSPFレコードが見つからない場合、Noneという結果が返される。逆に、"v=spf1 "で始まるSPFレコードが同一ドメインに複数存在する場合は SPF PermErrorの結果が返される。
複数のSPFレコードの問題点
SPFレコードを複数使用したり、単に1つのドメインに複数のSPFレコードを持つことは、次のような深刻な結果をもたらす可能性があります:
- 迷惑メールフォルダにメールが届く
- メールが完全に拒否される
これは非常によくある問題だ。いくつかの ドメイン分析レポートPowerDMARCのいくつかのドメイン分析レポートによると、ドメイン所有者が犯す最も一般的な間違いの一つは、ドメインごとに1つ以上のSPFレコードを持っていることです。この間違いは、誤ったSPF設定をする主な原因の一つとなっています。
複数のSPFレコードの例
以下は、同じドメインに対して複数の別々のSPFレコードを発行した例である。
間違った方法です。
レコードの種類 | ドメイン名 | レコード価値 | TTL |
---|---|---|---|
TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | デフォルト |
TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | デフォルト |
この例では、ドメインexampledomain.comに対して、ドメインのDNSに2つの別々のSPF DNS TXTレコードが公開されています。この場合、SPF認証は失敗し、ドメインに対して恒久的なエラー結果が返されます。これらのインクルードはそれぞれ別のレコードとして扱われるため、同じドメインに複数のSPFレコードが存在することになります。
正しい方法です。
レコードの種類 | ドメイン名 | レコード価値 | TTL |
---|---|---|---|
TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | デフォルト |
この例では、ドメインexampledomain.comは、複数のSPFレコードの代わりに単一のSPF DNS TXTレコードだけを持ちます。これはSPFの複数のインクルードメカニズムを一つのレコードに追加することで実現している。このレコードは有効であり、SPFはこの場合PermErrorの結果を返しません。
*プロのヒント:SPFを最適化する方法 SPFレコードの最適化レコードを最適化する方法を学びましょう。
複数のSPFレコードの問題を解決するには?
PowerDMARC を使用すると、複数の SPF レコードエラーを簡単に修正できます!以下の手順に従って、あなたのドメインに複数のSPFレコードを正しく設定してください:
ステップ1:SPF複数レコードエラーの確認
最初のステップはSPF複数レコードのチェックです。PowerDMARCに無料でサインアップし、SPFレコードジェネレーターツールを使用して、このエラーの存在を確認してください。
または、DNSでレコードを手動で検索することもできます。Cloudflare、CloudDNS、DNS Made Easy、NamecheapなどのDNSホスティングプロバイダを使用している場合、プロセスは各プロバイダで同じではありません。しかし、通常の一般的な手順は、DNS管理コンソールに入り、DNSゾーンエディタにアクセスし、ドメインの管理をクリックします。ドメインのDNSゾーンでSPFのDNSレコードを見つけることができます。
ステップ2:単一ドメインの複数のSPFレコードを削除する
ドメインに複数のSPFレコードがある場合は、DNSレコードを編集し、1つを除くすべてのレコードを削除してください。ドメインごとにSPFレコードが1つになるようにしてください。
ステップ3:SPFレコードを組み合わせる
最後に、残りの1つのSPFレコードを編集して、複数のインクルードを結合する。これは、エラーを修正すると同時に、複数のSPFレコードを1つのレコードに含めることができる簡単な方法です。
- DNS管理コンソールに入る
- SPFレコードを編集する
- 構文では、SPFの "include "メカニズムを使用して、認証したい複数のドメインを含める。以下は、SPFレコードを1つにまとめる例である:
同じSPFレコードにさらに「include」を追加して、すべてのサードパーティ・サービスを認証することができます。完了したら、DNSにレコードを保存してください。
注: 施行ポリシー(-all)の代わりに(~all)を設定することで、SPF失敗時により寛大で柔軟なアプローチをとることができる。
複数のSPFレコードを追加する手順
1つのドメインで複数のメールベンダーを利用している場合、複数のSPFレコードを別々に設定するのは間違った方法です。その代わりに、次のようにしてください:
1.PowerDMARC は、あなたのドメインに複数の SPF レコードを簡単に追加することができます。SPF レコード生成ツールを使用して、無料でレコードを作成してください。
2.このドメインに代わって電子メールを送信するドメインまたはサードパーティサービスを承認します。 を入力します。これは SPFレコードのマージ.
3.生成されたSPFレコードをコピーし、DNSに貼り付けます。レコードを保存します。
複数のインクルードを持つSPFレコードの問題点
SPFを複数回インクルードすることは、必ずしも正しい方法とは限らない。この方法でSPFレコードを組み合わせることで、SPF複数レコードエラーを取り除くことができますが、他のエラーを引き起こす可能性があります。どのメールサービスプロバイダーも、SPF認証時にDNSルックアップを追加します。SPFレコードに複数のインクルードがあると、それだけ多くのルックアップが必要になります。しかし、RFCではSPFのルックアップの上限を10と規定しています。
また、SPF10ルックアップの制限を超えると、SPF PermErrorが返され、SPFが破損することがあります。
SPFのDNSルックアップ制限を10回以下に抑える:
- SPFレコードを手動で平坦化することができます。しかし、インクルードメカニズムの背後にあるすべてのIPアドレスを手動で平坦化すると、レコードが長くなり、SPFの文字列制限を超える可能性があります。
- または SPFマクロ.マクロは、ルックアップと文字数の制限を守るのに役立ちます。
複数の SPF レコードやその他の一般的なエラーを避けるために、PowerDMARC のSPFソリューションをご利用ください。SPF レコードにマクロを統合し、最適化され更新されたエラーのない SPF をお楽しみいただけます。
さらに DMARCアナライザーを設定することもできます。 DMARCは、フィッシング攻撃、なりすまし、ドメインの不正使用からの保護に役立ちます。
最後の言葉
最適なメール配信を行うためには、SPFレコードを1つにまとめることが重要です。このブログでは、SPFレコードを1つにまとめ、エラーのないSPF設定を行う方法を説明しました。SPFは最初の一歩として最適ですが、DKIMやDMARCなど他のメール認証方法を検討することで、より優れた保護が可能になります。
Eメールのセキュリティを簡素化するドメインセキュリティソリューションの詳細については お問い合わせまでご連絡ください!
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日