SPF -allと~allの違い

ブログ

メールボックス・プロバイダは、DMARCが使用される以前とは異なり、SPF -allおよび~allメカニズムを "NOT PASS "として扱うようになりました。SPF allメカニズムについての簡単なガイドはこちら。

byユネス・タラダ

読書時間 4
SPF -allと~allの違い
目次-

SPF allメカニズムは、ドメインのDNSにTXTレコードとして存在するSPFメカニズムで、SPFレコードの右端に位置し、"-"または"~"で始まります。SPF -allと~allの違いを見て、どのような場合に設定すべきかを判断しましょう。

主なポイント

  1. SPF -allと~allのメカニズムは、どちらもSPF認証に対して "NOT PASS "を示すが、メールサービスによっては異なる扱いを受けることがある。
  2. 歴史的に、SPF Softfail (~all)は、認証に失敗してもメールを配信することができたが、Hardfail (-all)は、認証に失敗したメールを拒否していた。
  3. 最近のEメールサービスでは、-allや~allを使用しても、配信に失敗することなく処理できることが多い。
  4. リスクを最小化するために、DMARCが設定されていることを確認し、結果を監視しながら、最初はSoftfail(~all)メカニズムを使用することをお勧めします。
  5. 適切なSPFコンフィギュレーションとともにDMARCを実装することで、認証されていない電子メールの処理方法を定義し、電子メールのセキュリティを強化することができます。

SPF -all vs ~all

SPF -all と SPF ~all メカニズムの両方が、SPF 認証の「NOT PASS」を意味します。最近では、大半のメール・サービス・プロバイダーでは、-allと~allのメカニズムに違いはなく、同じ結果が返される。しかし、数年前はそうではなかった。

DMARC以前のSPFオール(Softfail vs Fail)の仕組みはどのように運用されていたのでしょうか?

DMARCは、SPFが標準的な電子メール認証プロトコルとして市場に出回ってから長い年月を経て誕生した。当時、SPF-all softfailの仕組みは以下のように動作していた: 

あなたのSPFレコードがそうだったとしましょう。 

v=spf1 include:spf.domain.com ~all(ここで ~all は SPF Softfail を意味します)

受信者のメールサーバーは、送信者のDNSにSPFレコードを問い合わせるために、DNSルックアップを実行したはずです。メールのReturn-pathドメインが送信者のレコードに記載されていない場合、受信サーバーはSPF "NOT PASS "の結果を返しますが、次のようになります。 メールを配信したを受信者の受信箱に送る。

ここで、あなたのSPFレコードがそうだったとします。 

v=spf1 include:spf.domain.com -all(ここで -all は SPF Fail を意味します)

受信者のメールサーバーは、送信者のDNSにSPFレコードを問い合わせるために、DNSルックアップを実行したはずです。メールのReturn-pathドメインが送信者のレコードに記載されていない場合、受信サーバーはSPFの「NOT PASS」結果を返しますが、この場合、メールは「NOT PASS」されています。 される。拒否され、配信されないを受信者の受信箱に送る。

Sender Policy Frameworkの歴史についてはこちらをご覧ください。 

PowerDMARCでSPFを簡素化!

15日間のトライアルデモを予約する

メールサービスプロバイダーは、現在、SPF -all vs ~allの仕組みをどのように扱っているのでしょうか?

現在、ほとんどのメールボックスプロバイダーで、SPF -all または ~all を自由に使用することができ、正当なメールに対する配信失敗を心配する必要はありません。 all属性の場合、サーバーがあなたのメールを拒否する状況が発生する可能性があります。.

より安全にするために、SPFレコードの作成時にSPF hard fail -all メカニズムを使用しないようにすることができます。これは、その方法です。

  • PowerDMARCを開く SPFレコードジェネレーターをクリックすると、無料でレコードの作成を開始できます。
  • 送信者のIPアドレスとドメインを入力した後、最後のセクションまでスクロールして、メールサーバーがお客様のメールを検証する際の厳密さを指示します。
  • Generate SPF Record "ボタンを押す前に、"Soft-fail "オプションを選択します。

おすすめは?SPF -all または SPF ~all

SPF -allメカニズムに関連するメール配信の問題は、ごく稀に発生する可能性があります。これは、頻繁に発生する問題ではありません。この問題に遭遇しないようにするには、次の手順を実行することができます。

  • 設定 DMARCを設定し、DMARC レポートを有効にします。
  • DMARCポリシーを監視に設定し、SPF認証結果を精査して、メール配信の不一致を発見する。
  • 問題がなければ、SPFレコードに-allメカニズムを使用することができます。ハードフェール属性は、メールの信頼性に自信があることを証明し、ドメインの評判を高めることができるため、使用することをお勧めします。

現在、SPF -allの使用を迷っている方は、以下の手順で使用することができます。

  • allメカニズムを使ってSPFレコードを設定する
  • メールのDMARCを設定し、DMARCレポートを有効にする
  • DMARCポリシーを拒否するように設定する

その他のSPFエラーのトラブルシューティング

オンラインツールを使用していると、しばしば「?SPFレコードが見つかりません「これは、サーバーがドメインのSPFレコードを検索したときに返されたNULL結果が原因で発生する一般的なエラー状態です。この問題の詳細と解決方法については、こちらの記事で解説しています。詳しくは、リンク先のテキストをクリックしてください。

SPFに加え、お客様のドメインでDMARCを導入している場合、メールサーバーはお客様のドメインのDMARCポリシーを確認し、認証に失敗したメールがどのように扱われたいかを確定します。このDMARCのポリシーによって、メールが配信されるか、隔離されるか、拒否されるかが決まります。 

DMARC拒否は、なりすまし、フィッシング、ランサムウェアなどの様々ななりすまし攻撃からドメインを保護するのに役立ちます。

最新記事 by Yunes Tarada(全て見る)
2022年におけるソーシャルエンジニアリング攻撃の種類ソーシャルエンジニアリング攻撃サイバーレジリエンスとDMARCサイバーレジリエンスとDMARC