SPF SPF(Sender Policy Framework)を使用すると、認証に失敗した場合に次の2つの方法のいずれかで対応するようにシステムを柔軟に設定できます: ハードフェイルまたは ソフトフェイルこのブログでは、SPFのハードフェイルとソフトフェイルの違い、両方を設定するための構文、そしてそれぞれの使用例について説明します。では、さっそく本題に入りましょう!
SPFソフトフェイルとハードフェイルの違い
以下の表は、SPFのハードフェイルとソフトフェイルの基本的な違いを説明したものである。
SPFのシンタックス | 失敗の種類 | ステータス | 受信者による対応措置 |
---|---|---|---|
v=spf1 include:domain1.com -all | ハードフェイル | 送信者未承認 | 電子メールが拒否されることがある |
v=spf1 include:domain1.com ~all | ソフトフェイル | 送信者が許可されていない可能性がある | メールが配信されたが、不審または詐欺の可能性があるとマークされた |
SPFのハードフェイルとソフトフェイル:RFCで定義されている通り
によると RFC 7208:
- SPFの "Fail "という結果は、メールの送信者が送信ドメインによって認可されていないことを直接示します。「Fail」はHardfailの結果(-all)と同義であり、明らかに認可されていないドメインの使用を示しています。
- しかし、もっと緩やかなアプローチは、SPF Softfailを設定することで、不正なドメイン使用の「可能性が高い」ことを示す。
PowerDMARCでSPFを簡素化!
ハードフェイルとソフトフェイルの受信者障害処理
セクション8.4で、RFC は SPF ハード失敗と SPF ソフト失敗の結果の扱い方を以下のように定義しています:
1.SPFハードフェイル/フェイル
Fail "または "hardfail "の結果については、受信者サーバーは不正なメールを拒否することができます。SMTPトランザクションの場合、550 5.7.1エラーコードが適切なエラー説明とともに返されるはずです。
SMTPトランザクション中に受信者サーバーが電子メールを拒否しない場合、RFCは受信者がReceived-SPFまたはAuthentication-ResultsヘッダーにSPF結果を記録することを推奨している。
2.SPFソフトフェイル
より柔軟なポリシーとして、Softfailは、管理管理ドメインが不正な電子メールであると疑っているが、完全には拒否したくないことを示します。この場合、メッセージは配信されますが、さらに確認するよう警告が表示されます。
SPFソフトフェイルとハードフェイル:私たちは何を勧めるか?
SMTPメール中継の場合、SPFソフトフェイルをハードフェイルに対する安全策と考えることができる。その方法を調べてみよう:
SMTPメール中継は、あるサーバーから別の配信へのメッセージの自動転送です。これは、お客様のドメインのSPFレコード内に記載されていないIPアドレスを持つサーバーにメールが引き渡されることを意味します。これは、現実的には正当なものですが、あなたのメールにとっては未承認の送信者となります。
このアクティビティをコントロールできますか?答えは「ノー」です。メールは受信者側で自動的にリレーされます。このような状況では、中継されたメールのSPFは失敗します。
ここで、SPFのハードフェイル・ポリシーを持つことが問題になるかもしれない!すでにご存知のように、ハードフェイル・メカニズムは、失敗したメッセージを拒否する可能性があります。したがって、あなたのドメインがハードフェイルポリシーで設定されている場合、これらのリレーされたメールは配信に失敗する可能性があります。
最悪なのは?SPF失敗処理ポリシーによって行われる処理は、DMARCとDKIMの認証結果を上書きします。基本的に、DKIMとそれに続くDMARCがパスしたとしても、メールは配信されないかもしれません。
RFC7489セクション-10.1 RFC 7489 第10.1項SPFチェックがDMARC処理の前に実行される場合、送信者のSPFメカニズムに"-"プレフィックスが存在すると、"-all "のように、メールが即座に拒否される可能性がある。この拒否は、DMARC処理が行われる前であっても、メール処理プロセスの早い段階で発生する。
したがって、メール送信者のSPFポリシーに"-all "メカニズムが含まれ、SPFチェックに失敗したメールを拒否する厳格なポリシーを示す場合、DMARCポリシーや処理が行われる前にメッセージが拒否される可能性があります。このような早期の拒否は、そのメールが最終的にDMARC認証に合格するかどうかに関係なく起こりうる。
したがって、このような状況下では、SPF SoftfailはHardfailメカニズムに勝る。これは、許可された電子メールを拒否するのではなく、単にフラグを立てることでレビューの余地を残す、かなりリスクの低いアプローチである。
SPFレコードはどのように機能しますか?
メールにSPFを実装するには、ドメインのDNSにSPFレコードを作成して公開する必要があります。SPFレコードの典型的な例は以下のとおりです:
v=spf1 include:_spf.google.com ~all
このSPFレコードでは、GoogleのSPFレコードに記載されているIPアドレスから発信されたすべてのメールを承認しています。失敗のメカニズムはレコードの一番最後(~all)に定義されています。
したがって、SPFレコードは、使用するプロトコルのバージョン、承認する送信元、および失敗のメカニズムを定義します。DNSでこのレコードを公開すると、許可された送信者だけがあなたのドメインに代わってメールを送信できるようになります。許可されていない送信元があなたになりすまそうとした場合、レコードで定義されたタイプの失敗メカニズムでSPFが失敗します。
安全なSPF実装戦略
SPFの最適な実装は、不正ななりすましやフィッシング攻撃からメールコミュニケーションを守るために不可欠です。ベストプラクティスに従うことで、企業はメールセキュリティ体制を強化し、ブランドの評判を守ることができます。以下は、SPFを安全に実装するための戦略とガイドラインです:
1.SPFレコード生成ツールを使う
SPFの実装プロセスはレコードの生成から始まる。SPFタグを正しく理解すれば、手動でレコードを作成することができる。しかし、この方法では人為的なミスが起こりがちです。理想的には、自動化された SPFジェネレーターツールを使うのが理想的です。このツールを使えば、エラーのない正確なSPFレコードを作成することができます。
2.適切なSPFメカニズムの使用
include"、"a"、"IP4 "などのSPFメカニズムを利用して、許可される送信元を指定します。メールインフラを考慮し、メール送信の慣行を正確に反映したメカニズムを選択する必要があります。
3.SPFレコードの維持と最適化
Sender Policy Frameworkレコードは、誤動作を防ぐためにメンテナンスと最適化が必要です。SPFは、承認された送信者が受信者側で10のDNSルックアップ制限を超えると壊れる傾向があります。最適なルックアップ制限を維持するために ホスト型SPFソリューションが最適です!ワンクリックでSPFを最適化し、ルックアップとボイドの制限を守り、エラーのないSPFを維持します。
4.SPFとDMARCを組み合わせる
導入 DMARC(Domain-based Message Authentication, Reporting, and Conformance)をSPFと同時に導入することで、セキュリティのレイヤーが追加されます。DMARCは、ドメイン所有者が、SPFに失敗したメールに対してどのようなアクションを取るかなどのメール処理ポリシーを指定することを可能にします。
DMARCは、電子メール詐欺、漏洩、なりすまし攻撃を最小限に抑えるという実証済みの結果を示している。
5.厳格なSPF失敗処理ポリシーの実装
以下のようにレコードを設定します。 SPF認証の失敗を、失敗したドメインからのメールを拒否したりマークしたりするような厳格なポリシーで扱うように設定します。そのためには、中立的なポリシーの代わりにSPF hardfailまたはSPF softfailを実装します。
6.SPF認証結果の監視
実装 DMARCレポートSPFの合格、不合格、アライメントエラーなどのSPF認証結果を監視するために、DMARCレポートを導入する。A DMARCアナライザーツールを使用すると、SPF認証データを整理して、人間が読めるように分析することができます。
最後の言葉
という質問に対する直接的な答えはない。SPFのハードフェイルとソフトフェイル」。hardfailタグはより高いセキュリティを提供できますが、送信元を監視するための正しいソリューションを選択することが重要になります。
PowerDMARC の高度なドメイン認証およびレポートプラットフォームは、あらゆる規模の企業に包括的なSPF および DMARCソリューションを提供します。 サインアップ今すぐ無料トライアル
- ヤフー、2025年のDMARC導入を推奨- 2025年1月17日
- MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散- 2025年1月17日
- DMARCの認証されていないメールは禁止されている【解決済み- 2025年1月14日