SPFマクロは、効果的で重要なSender Policy Framework機能であり、ドメイン所有者がメールドメインの認証に、よりダイナミックで拡張性のあるSPFレコードを要求する場合に使用されます。SPFマクロ機能は SPFレコード構文SPFマクロ機能は、SPF検証を必要とする個々のメールからメタデータに置き換えられる文字列を定義します。これにより、簡素化されたSPFレコードを作成することができ、長く複雑なSPFレコードの生成を避けることができます。
私たち PowerDMARC は、高い評価を得ている SPF 管理ソリューション PowerSPF を設計しました。 PowerSPF は、SPF認証とレコードの最適化に関して広範な柔軟性を提供するために、SPF フラット化と SPF マクロ技術を利用する方法で設計されました。PowerSPFは、その使いやすさと有効性から、長年にわたりお客様に愛用されています。
詳しくは IETF公式ドキュメント.
SPFマクロの説明
SPFマクロは、RFC 7208の第7節で説明されているように、SPF DNS TXTレコード内で定義されているメカニズムを置き換えることで、SPFレコードの設定を簡略化するために使用できる文字列です。
SPFレコードはほとんどの場合単純で、あなたのドメインから送られてくる不正なメールの扱いについて、受信者のサーバーにSPFメカニズム、修飾子、モディファイアを使って指示を出すことができます。しかし、SPFメカニズムでは不十分で、SPFマクロを導入しなければならない状況もあります。
SPFマクロはパーセント記号(%)で表され、2つ以上の文字、修飾子、区切り文字の組み合わせを含む。SPF認証の過程で、SPFマクロは評価され、対応する値に置き換えられる。
たとえば、%sと%dはそれぞれ、チェックされたIDにリンクされている送信者のアドレスとドメイン名を示す。
r、l、oのような修飾子は、アドレスやドメインの特定の要素を抽出するために適用され、-や.のような区切り記号は、マクロ内の異なる要素を区切るのに役立つ。
SPFマクロの種類
SPFマクロは、中括弧{ }で囲まれ、パーセント記号(%)が先頭に付いた異なるアルファベットや文字で示され、SPFレコード内の特定のメカニズムを参照します。以下がコア・マクロです。
- %{s}: The “s” Macro represents the sender’s email address. Example- [email protected].
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
レコードに指定できるマクロは他にもたくさんありますが、一般的なものをいくつか挙げてみました。
SPFマクロの仕組み
SPFマクロを使用すると、ドメイン所有者はSPFレコード内で特定のメカニズムへの参照を指定し、これらのメカニズムを置き換えることができます。受信側MTAによるDNSクエリ中に、参照はメカニズムを抽出するために使用され、より管理しやすく適応可能なSPFレコードを作成するためにレコードを拡張します。
以下に、SPFレコードで使用するマクロの例を示す。
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- ここでは をインクルードする:メカニズムにはSPFマクロが含まれている。
- SPFマクロは2つあり、それぞれパーセント記号、左中括弧、マクロ文字、右中括弧の文字列で表される。上の例では、%{i}は送信者のIPアドレスを表し、%{d}は'MAIL FROM'コマンドからの送信者ドメインを表す。
- 192.168.1.100のIPを送信ドメインのIPアドレスと考え、このIPからメールが送信されると、受信サーバーはドメインのSPF DNSレコードを検索するためにDNSクエリーを開始する。
- 受信者が送信ドメインのSPFレコードを検索すると、SPFマクロに遭遇する。
- この拡張されたSPFレコードが検査され、メールがSPFバリデーションに合格するか、不合格になるかが決定される。
SPFレコードでマクロを使用するのはどのような場合ですか?
SPFマクロは、ドメイン所有者のニーズに応じて、さまざまなシナリオで使用できます。複雑なメール認証インフラを簡素化したい場合、複数のサードパーティのメール処理サービスを使用している場合、単にSPFレコードのサイズを縮小したい場合などに便利です。
以下は、SPFマクロが有利となる一般的なケースである:
マルチドメイン・インフラを持つ組織
SPFマクロは、あらゆる規模の組織で利用可能ですが、マルチドメインを運用するエンタープライズレベルの組織が最適なユーザーです。マクロは、従来のフラット化手法と比較して、SPFレコードの柔軟性と最適化を大幅に向上させ、マルチドメイン環境でもシームレスにSPFを機能させることができます。また、複数のSPFレコードを作成する必要もありません。
大規模メールインフラ
複雑なメールインフラを持つ企業は、SPFマクロを使って最適化されたSPFメカニズムを多数組み込む必要があるかもしれない。これらのマクロは、メカニズムへの参照を定義する方法を提供する。 RFCで規定されている512オクテットの長さに収まるようにする。
サードパーティ・サービス
サードパーティのメールベンダーを複数使用している組織でも、SPFマクロのおかげでSPFが壊れることがなくなりました。このマクロは、サードパーティのインクルードを簡単に最適化し、レコードがDNSとvoid lookupsの許容限度を超えないようにします。
組織はSPFマクロでSPFの課題を解決する
複数のSPFマクロをレコードに含めることができ、手動または SPFチェッカー.以下がその可能性です:
1.テンパーの原因となる長いSPFレコードを防ぐ
SPFレコードに複数の ステートメントが複数あると、レコードが長くなりすぎるのを防ぐことができます:文が複数ある場合、レコードが長くなりすぎるのを防ぐことができます。しかし、これは恒久的な解決策ではありません。ドメインのSPF設定にSPFマクロを使うことで、DNSのTXTレコードのRFCで指定された長さの制限(512文字)を超える可能性をなくすことができます。
2.DNSとVoidのルックアップを制限し、パーメラーを軽減する。
複数のサードパーティの送信ソースや電子メールベンダーを使用している組織は、DNSクエリのRFC指定のルックアップ制限を超えがちです。これは、どのベンダーも少なくとも1つまたは複数のルックアップを追加するためです。これが積み重なると、SPFレコードが壊れてしまい、次のような問題が発生します。 SPFエラー.
SPFマクロを使用して、これらの外部ベンダーのIPアドレスやドメインへの参照を追加することで、ルックアップの制限を確実に守りつつ、不正なソースを制限することができます。
PowerSPFでSPFセットアップにマクロを活用しよう
SPFマクロは、SPF認証、レコード作成、管理のダイナミズムとスケーラビリティを可能にするため、MTAによって広くサポートされてきました。PowerSPFはSPFマクロをシームレスに統合し、クライアントがより柔軟にSPFレコードを生成できるようにしています。
なぜSPFレコードをフラットにするだけでは不十分なのか?
従来のSPF平坦化法は、セットアップが単純でSPFメカニズムの数が少ない中小規模の組織のほとんどのケースで有効であることが証明されている。しかし、SPFメカニズムが増加すると、事態は次第に厳しくなり、次のような不利な状況に陥る可能性がある:
- DNSルックアップの回数は最大10回。
- 最後のDNSレコードの長さが512文字を超える可能性がある(TXT DNSレコードの最大許容サイズ)
- 承認されたIPと送信元が公開され、プライバシーへの懸念が高まる
SPFマクロ - より良いアプローチ
SPFのマクロは、複雑なSPFのセットアップを行う企業を念頭に構築されていますが、中小規模の組織にも同様に効果的です。その方法をご紹介します:
- SPFのマクロは、DNSルックアップを10回、voidルックアップを2回に制限する。
- これは、レコードの文字長を維持し、制限文字数である 512文字
- 承認されたIPと送信元は、文字参照に置き換えられ、世間の目から隠される。
SPFフラット化とSPFマクロの比較
最初のSPFレコード(5回参照) | SPFマクロ(1検索) | SPFフラット化(2ルックアップ) |
v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com: v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
SPFソリューションを今すぐお試しください。 お問い合わせ経験豊富なドメインとEメールセキュリティのエキスパートによる1対1のデモをご希望の方はお問い合わせください!
- MTA-STSとは?正しいMTA STSポリシーを設定する- 2025年1月15日
- DKIMの失敗を修正する方法- 2025年1月9日
- DMARCポリシーとは?なし、隔離、拒否- 2025年1月9日