ポスト

電子メール認証規格。SPF、DKIM、DMARCは、電子メールのなりすましを削減し、電子メールの配信能力を向上させることが期待されています。なりすまし(偽装)メールと正当なメールを区別する一方で、メール認証規格は、送信者の身元を確認することで、メールが正当なものかどうかをさらに区別します。

より多くの組織がこれらの規格を採用するようになると、電子メールコミュニケーションにおける信頼性と権威のメッセージが全体的に再確認されるようになります。メールマーケティング、プロジェクトの依頼、金融取引、企業内または企業間の一般的な情報交換に依存しているすべての企業は、これらのソリューションが何を達成するために設計されているのか、また、これらのソリューションからどのようなメリットを得られるのか、基本的なことを理解する必要があります。

なりすましメールとは?

電子メールのなりすましは、今日、企業が遭遇する一般的なサイバーセキュリティの問題です。この記事では、なりすましの仕組みと、それに対抗するためのさまざまな方法を理解します。また、メールプロバイダが使用する3つの認証規格であるSPF、DKIM、DMARCについて学び、なりすましを阻止する方法を紹介します。

電子メールスプーフィングは、高度な技術を組み合わせてメッセージング環境を操作し、電子メールの正当な機能を悪用する、高度なソーシャルエンジニアリング攻撃に分類されます。このような電子メールは、一見すると完全に正当なもののように見えますが、お客様の情報やリソースにアクセスすることを意図して作成されていることがよくあります。電子メールスプーフィングは、詐欺行為やセキュリティ侵害、さらには企業の機密情報へのアクセスなど、さまざまな目的で使用されます。電子メール偽装の中でも非常に一般的な形態であるスプーフィング攻撃は、実際の送信者ではなく、利用している信頼できる企業から送られてきたと受信者を欺くことを目的としています。電子メールが大量に送受信されるようになったため、このような悪質な電子メール詐欺が近年急激に増加しています。

メール認証で「なりすまし」を防ぐには?

メール認証では、SPF、DKIM、DMARCなどのプロトコルを使用してメール送信元を検証し、攻撃者がドメイン名を偽造して無防備なユーザーを騙すなりすまし攻撃を行うのを防ぎます。また、メール送信者の正当性を証明するための検証可能な情報を提供し、認証に失敗したメールの処理方法を受信側のMTAに指定することができます。

したがって、メール認証のさまざまなメリットを挙げると、SPF、DKIM、DMARCがその助けとなることが確認できます。

  • フィッシング攻撃、ドメイン・スプーフィング、BECからのドメインの保護
  • メール送信元に関する詳細な情報とインサイトの提供
  • ドメインレピュテーションとメール配信率の向上
  • 正当なメールがスパムとしてマークされるのを防ぐ

SPF、DKIM、DMARCはどのように連携してなりすましを防ぐのか?

送信者ポリシーフレームワーク

SPFは、スパマーがあなたのドメインを代表してメッセージを送信するのを防ぐために使用されるメール認証技術です。SPFレコードを使用すると、許可されたメールサーバーを公開することができ、お客様のドメインを代表してメールを送信することを許可されたメールサーバーを指定することができます。SPFレコードはDNSに保存され、お客様の組織のためにメール送信を許可されているすべてのIPアドレスがリストアップされます。

SPFを適切に機能させるためには、SPFがメールに影響を与えないようにする必要があります。これは、10個のDNSルックアップの制限を超えた場合に起こる可能性があり、SPF permerrorの原因となります。SPFフラットニングは、制限を超えないようにし、メールをシームレスに認証するのに役立ちます。

ドメインキーズ・アイデンティファイド・メール

信頼できる送信者になりすますことは、受信者を騙して警戒心を解かせるために使われます。DKIMは、お客様の受信箱から送られてくるすべてのメッセージにデジタル署名を追加するメールセキュリティソリューションです。これにより、受信者は、それが本当にお客様のドメインから承認されたものであることを確認し、お客様のサイトの信頼できる送信者リストに入ることができます。

DKIMは、ドメイン名にリンクした固有のハッシュ値を各送信メールに付与することで、受信者は、特定のドメインから来たと主張するメールが、本当にそのドメインの所有者によって承認されたものかどうかを確認することができます。これにより、「なりすまし」を発見することができます。

ドメインベースのメッセージ認証、レポート、コンフォーマンス

SPFとDKIMを実装するだけでも送信元を確認するのに役立ちますが、それだけではなりすましを阻止するのに十分な効果はありません。サイバー犯罪者が受信者に偽装メールを配信するのを阻止するためには、今すぐDMARCを導入する必要があります。DMARCは、電子メールのヘッダーを揃えて電子メールのFromアドレスを検証し、なりすましの試みやドメイン名の不正使用を暴くのに役立ちます。さらに、ドメイン所有者は、SPFおよびDKIM認証に失敗した電子メールにどのように対応するかを、電子メール受信サーバーに指定することができます。ドメインオーナーは、必要なDMARCエンフォースメントの度合いに応じて、偽装メールの配信、隔離、拒否を選択することができます。

注意してください。 拒否のDMARCポリシーでのみ、スプーフィングを止めることができます。

さらに、DMARCは、ドメイン所有者にメールチャネルと認証結果の可視性を提供するためのレポートメカニズムも提供しています。DMARCレポートアナライザーを設定することで、メール送信元、メール認証結果、不正IPアドレスの地理的位置、メールの全体的なパフォーマンスなどの詳細情報をもとに、メールドメインを定期的に監視することができます。DMARCデータを整理された読みやすいフォーマットに解析し、攻撃者に対してより迅速に対策を講じることができます。

最終的には、SPF、DKIM、DMARCが連携することで、組織のメールセキュリティを新たな高みへと導き、攻撃者によるドメイン名の偽装を阻止して、組織の評判や信頼性を守ることができるのです。

このページを見ている方、このブログを読んでいる方は、以下のどちらかのプロンプトに遭遇したことがあると思います。

  • SPFレコードが見つかりません
  • SPFレコードがありません
  • SPFレコードなし
  • SPFレコードが見つかりません
  • SPFレコードが公開されていない
  • SPFレコードが見つかりません

このプロンプトは、単にお客様のドメインにSPFメール認証規格が設定されていないことを意味します。SPFレコードとは、ドメインのDNSで公開されるDNS TXTレコードで、SPFレコードに含まれる、ドメインを代表してメールを送信することを許可されたIPアドレスと照合してメッセージを認証します。そのため、SPFプロトコルで認証されていないドメインの場合、当然ながら「SPFレコードが見つかりません」というメッセージが表示されることがあります。

Sender Policy Framework(SPF)とは何ですか?

SPFメール認証規格は、スパマーがメールを偽造するのを防ぐために使われる仕組みです。DNSレコードを使用して、送信サーバーがドメイン名からのメール送信を許可されているかどうかを確認します。 SPFはSender Policy Frameworkの略で、自分のドメインでメールの送信が許可されている送信者を特定することができます。

SPFは、「パスベース」の認証システムであり、電子メールが最初の送信サーバから受信サーバに至るまでの経路に関係することを意味しています。SPFは、電子メールを送信する際にIPアドレスがドメイン名を使用することを組織が承認するだけでなく、受信側の電子メールサーバーがその承認を確認する方法を提供します。

SPFの設定は必要ですか?

SPF(Sender Policy Framework)のメール認証が必要だと言われたことがあると思います。しかし、ビジネスに本当に必要なのでしょうか?また、必要だとしたら、他にメリットはあるのでしょうか?その疑問は、通常、企業がその組織の大規模な電子メール交換者になったときに理解されます。SPFを使用すると、電子メールの動作を追跡して不正なメッセージを検出し、スパム関連の問題、なりすましやフィッシング攻撃からビジネスを守ることができます。SPFは、送信者の身元を確認することで、最大限の配信能力とブランド保護を実現するのに役立ちます。

SPFはどのように機能するのですか?

  • SPFレコードは、ドメイン管理者が発行する特殊なフォーマットのドメインネームシステム(DNS)レコードで、そのドメインに代わってメールを送信することを許可されたメールサーバーを定義するものです。
  • あなたのドメインにSPFが設定されていると、あなたのドメインからメールが送信されるたびに、受信者のメールサーバーは、リターンパスのドメインの仕様を
  • DNSを使用しています。続いて、送信者のIPアドレスを、SPFレコードに定義されている認証されたアドレスと照合しようとします。
  • その後、SPFポリシーの仕様に従って、受信サーバーは、認証に失敗した場合にメールを配信するか、拒否するか、フラグを立てるかを決定します。

SPFレコードの構文の説明

ダミードメインのSPFレコードを正しい構文で作成した場合を例に説明します。

v=spf1 ip4:29.337.148 include:domain.com -all

 

"No SPF Record Found "メッセージの停止について

SPFレコードが見つかりません」という迷惑なプロンプトを受けないようにするには、DNSのTXTレコードを発行してドメインにSPFを設定するだけです。当社の無料SPFレコード・ジェネレーターを使って、正しい構文のレコードをすぐに作成し、DNSで公開することができます。

必要なのは

  • MXとして登録されているサーバーにドメインのメール送信を許可するかどうかを選択します。
  • ドメインの現在のIPアドレスに、このドメインのメール送信を許可するかどうかを選択します。
  • ドメインからのメール送信を許可されたIPアドレスを記入してください。
  • お客様のドメインにメールを配信または中継する可能性のある他のサーバーのホスト名またはドメインを追加します。
  • SPFポリシーのモード、つまり受信サーバーの厳しさのレベルを、「Fail」(準拠していないメールは拒否される)、「Soft-fail」(準拠していないメールは受理されるがマークされる)、「Neutral」(メールはおそらく受理される)から選択してください。
  • をクリックすると SPFレコードの生成をクリックすると、すぐにレコードが作成されます。

すでにドメインにSPFを設定している場合は、無料の SPFレコードチェッカーを使って、SPFレコードを検索して検証し、問題を検出することもできます。

SPFレコードの発行だけでは不十分ですか?

答えはノーです。SPFだけでは、あなたのブランドのなりすましを防ぐことはできません。直接的なドメインのなりすまし、フィッシング攻撃、BECに対する最適な保護のためには、ドメインにDKIMとDMARCを設定する必要があります。

さらに、SPFにはDNSルックアップが10回までという制限があります。この制限を超えてしまうと、SPFが壊れてしまい、正当なメールであっても認証ができなくなってしまいます。このため、ダイナミックSPFフラットナーが必要となります。このSPFフラットナーは、10回のDNSルックアップの制限を超えないようにするだけでなく、メール交換プロバイダーによる変更を常に反映させることができます。

このブログが問題解決に役立ち、二度と「SPFレコードが見つかりません」というメッセージに悩まされることがなくなることを願っています。今すぐメール認証の無料トライアルに登録して、メールの配信力とメールセキュリティを向上させましょう。

 

SPFフラット化を避けるべき理由

Sender Policy Framework(SPF)は、SPFレコードに登録されているお客様のドメインに登録されているすべての許可されたIPアドレスに対してメッセージを認証することで、広く評価されているメール認証プロトコルです。電子メールを認証するために、SPFは受信側のメールサーバーに許可されたIPを確認するためのDNSクエリを指定し、結果としてDNSルックアップを行います。

SPFレコードは、さまざまなメカニズムの集合体であるDNS TXTレコードとして存在します。これらの仕組みのほとんど(include、a、mx、redirect、exists、ptrなど)はDNSルックアップを生成します。ただし、SPF認証のためのDNSルックアップの最大数は10に制限されています。様々なサードパーティベンダーを利用して、自分のドメインを使ってメールを送信している場合、SPFのハードリミットを簡単に超えてしまいます。

この制限を超えるとどうなるのか、と疑問に思うかもしれません。10回のDNSルックアップの制限を超えると、SPFの失敗につながり、あなたのドメインから送信された正当なメッセージであっても無効になります。このような場合、DMARCモニタリングを有効にしていれば、受信メールサーバーはSPF PermErrorレポートをあなたのドメインに返します。SPFフラット化です。

SPFフラットニングとは?

SPFレコードフラットニングは、SPFレコードを最適化し、SPFハードリミットを超えないようにするために、業界の専門家がよく使う方法のひとつです。SPFフラットニングの手順は非常に簡単です。SPFレコードのフラット化とは、すべてのインクルード機構をそれぞれのIPアドレスに置き換えることで、DNSルックアップの必要性をなくす作業です。

例えば、あなたのSPFレコードが最初は以下のようなものだったとします。

v=spf1 include:spf.domain.com -all

フラット化されたSPFレコードは以下のようになります。

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

このフラット化されたレコードは、複数のルックアップを行う代わりに、1つのDNSルックアップのみを生成します。メール認証時に受信サーバーが実行するDNSクエリの数を減らすことで、DNSルックアップの制限である10回を下回ることができますが、それなりの問題があります。

SPFフラット化の問題点

手動でフラット化したSPFレコードが長すぎてドメインのDNSで公開できない(255文字の制限を超える)という事実の他に、メールサービスプロバイダーがユーザーに通知することなくIPアドレスを変更または追加する可能性があることを考慮しなければなりません。メールサービスプロバイダがインフラを変更しても、その変更はSPFレコードには反映されないことがあります。したがって、これらの変更された、または新しいIPアドレスがメールサーバで使用されるたびに、そのメールは受信者側でSPFに失敗します。

PowerSPF: 動的SPFレコードジェネレータ

PowerDMARCの最終的な目標は、ドメイン所有者が10のDNSルックアップ制限に達するのを防ぐことができるソリューションを考え出すことでした。また、SPFレコードを最適化して、メールサービスプロバイダーが使用している最新のIPアドレスを常に更新することもできます。PowerSPFは、SPFレコードから単一のインクルードステートメントを生成する、自動化されたSPFフラットニングソリューションです。PowerSPFは次のようなことに役立ちます。

  • IPやメカニズムを簡単に追加・削除できる
  • ネットブロックの自動更新により、許可されたIPが常に最新の状態に保たれます。
  • 10個のDNSルックアップ制限を簡単にクリア
  • 最適化されたSPFレコードをワンクリックで取得
  • パーマラー」を永続的に倒す
  • エラーフリーなSPFの実現

今すぐPowerDMARCに登録して、メールの配信と認証を強化するとともに、DNSのSPFルックアップ 数を10以下に抑えることができます。

この記事では、SPFレコードを簡単に最適化する方法をご紹介します。企業や中小企業で、顧客やパートナー、従業員との間でメッセージを送受信するためにメールドメインを所有している場合、受信サービスプロバイダーによって設定されたSPFレコードがデフォルトで存在している可能性が高いです。既存のSPFレコードがあっても、新たに作成する必要があっても、SPFレコードがメール配信の問題を起こさないようにするためには、SPFレコードをドメインに合わせて正しく最適化する必要があります。

メール受信者の中には、SPFを厳しく要求する人もいます。つまり、あなたのドメインにSPFレコードが発行されていない場合、あなたのメールは受信者の受信箱でスパムとしてマークされる可能性があるということです。さらに、SPFは、あなたのドメインを代表してメールを送信する未承認のソースを検出するのに役立ちます。

まず、SPFとは何か、なぜSPFが必要なのかを理解しましょう。

送信者ポリシーフレームワーク(SPF

SPFは、基本的に標準的な電子メール認証プロトコルであり、あなたのドメインからの電子メール送信を許可されたIPアドレスを指定します。SPFは、特定のドメインのDNSで公開されている送信許可ホストとIPアドレスのリストと送信者アドレスを比較して動作します。

SPFは、DMARC(Domain-based Message Authentication, Reporting and Conformance)とともに、メール配信時に偽造された送信者アドレスを検出し、なりすまし攻撃やフィッシング、メール詐欺などを防ぐために設計されています。

ホスティングプロバイダーがお客様のドメインに統合したデフォルトのSPFは、お客様のドメインから送信されるメールがSPFに対して認証されることを保証しますが、お客様のドメインから複数のサードパーティベンダーがメールを送信する場合、この既存のSPFレコードをお客様の要件に合わせて調整・変更する必要があることを知っておくことが重要です。どのようにすればよいのでしょうか?最も一般的な方法を2つご紹介しましょう。

  • 新しいSPFレコードの作成
  • 既存のSPFレコードの最適化

SPFレコードを最適化する方法の説明

全く新しいSPFレコードの作成

SPFレコードの作成とは、ドメインにSPFを設定するために、ドメインのDNSにTXTレコードを発行することです。これは、SPFレコードを最適化する方法を始める前の必須ステップです。認証を始めたばかりで、構文がよくわからない場合は、無料のオンラインSPFレコードジェネレータを使って、ドメインのSPFレコードを作成することができます。

正しい構文のSPFレコードエントリは以下のようになります。

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1使用しているSPFのバージョンを指定する
IP4/IP6この仕組みでは、ドメインからのメール送信を許可された有効なIPアドレスを指定します。
インクルード受信側のサーバーに、指定したドメインのSPFレコードの値を含めるように指示する仕組みです。
-すべてこの仕組みにより、SPFに準拠していないメールを拒否することができます。これは、SPFレコードを公開する際に使用できる推奨タグです。ただし、SPF Soft Failを意味する~に置き換えることもできます(SPFに準拠していないメールはソフトフェイルとしてマークされますが、それでも受け入れられます)。また、+は、あらゆるサーバーがあなたのドメインに代わってメールを送信することを許可することを指定しますが、これは強く推奨されません。

すでにドメインにSPFを設定している場合は、無料のSPFレコードチェッカーを使って、SPFレコードを検索して検証し、問題を検出することもできます。

SPFを設定する際のよくある問題とエラー

1) 10個のDNSルックアップの制限 

ドメイン所有者がSPF認証プロトコルを設定・採用する際に直面する最も一般的な問題は、SPFにはDNSルックアップ数が10を超えてはならないという制限があることです。複数のサードパーティベンダーに依存しているドメインでは、10回のDNSルックアップの制限が簡単に超えてしまい、SPFが破損してSPF PermErrorが返されます。このような場合、受信サーバーは自動的にSPFレコードを無効にし、ブロックします。

DNSルックアップを開始するメカニズム。MX、A、INCLUDE、REDIRECT修飾子

2) SPFボイドルックアップ 

ボイドルックアップとは、NOERRORレスポンスまたはNXDOMAINレスポンス(ボイドアンサー)を返すDNSルックアップのことです。SPFを実装する際には、DNSルックアップがそもそもボイドアンサーを返さないようにすることが推奨されます。

3) SPF再帰的ループ

このエラーは、指定されたドメインのSPFレコードに、1つ以上のINCLUDE機構の再帰的な問題が含まれていることを示しています。これは、INCLUDEタグで指定されたドメインの1つに、SPFレコードに元のドメインのINCLUDEタグが含まれているドメインが含まれている場合に発生します。これにより、メールサーバがSPFレコードのDNS検索を継続的に行うという終わりのないループが発生します。その結果、最終的にはDNSルックアップの上限である10件を超えてしまい、SPFに失敗するメールが発生します。

4) シンタックスエラー 

SPFレコードがドメインのDNSに存在していても、構文エラーがあると意味がありません。SPF TXTレコードにドメイン名や機構名を入力する際に不要なホワイトスペースが含まれていると、受信サーバーが検索を行う際に余分なスペースの前の文字列が完全に無視され、SPFレコードが無効になります。

5) 同一ドメインに複数のSPFレコードがある場合

1つのドメインがDNSに登録できるSPF TXTエントリは1つだけです。お客様のドメインに複数のSPFレコードがある場合、受信サーバーはすべてのSPFレコードを無効にし、メールがSPFに失敗する原因となります。

6) SPFレコードの長さ 

DNSにおけるSPFレコードの最大長は255文字に制限されています。しかし、この制限を超えて、SPF用のTXTレコードに複数の文字列を連結して含めることができますが、DNSのクエリ応答に合わせて512文字の制限を超えることはできません(RFC 4408による)。これは後に修正されましたが、古いバージョンのDNSに依存している受信者は、長大なSPFレコードを含むドメインから送信されたメールを検証することができませんでした。

SPFレコードの最適化

SPFレコードを速やかに修正するために、以下のSPFのベストプラクティスを利用することができます。

  • あなたのSPFレコードに、メールソースを左から右に重要度の低い順に入力してみてください。
  • 廃止されたメールソースをDNSから削除
  • AやMXの代わりにIP4/IP6の仕組みを使う
  • INCLUDE機構の数をできるだけ少なくし、ネストしたインクルードを避けます。
  • DNSで同一ドメインのSPFレコードを複数発行しないこと
  • SPFレコードに余計な空白や構文エラーがないことを確認してください。

注意:SPFフラット化は、一度だけの対応ではないため、お勧めできません。メールサービスプロバイダがインフラを変更した場合、それに合わせてSPFレコードを毎回変更しなければなりません。

PowerSPFで簡単にできるSPFレコードの最適化

SPFレコードを最適化するために、上記のような修正を手動で行うこともできますが、手間をかけずにダイナミックなPowerSPFが自動的にすべての作業を行ってくれます。PowerSPFは、ワンクリックでSPFレコードを最適化することができ、以下のことが可能です。

  • 簡単に送信元を追加・削除できる
  • DNSを手動で変更することなく、簡単にレコードを更新することができます。
  • 最適化された自動SPFレコードをボタン一つで取得
  • DNSルックアップ数を常に10件以内に抑える
  • PermErrorの緩和に成功しました。
  • SPFレコードの構文エラーや設定の問題を解消
  • お客様に代わってSPF制限を解決する負担を軽減します

今すぐPowerDMARC登録して、SPFの制限に永遠に別れを告げましょう。  

DMARCサービスを提供している私たちは、よくこのような質問を受けます。"もしDMARCがSPFとDKIMの認証を使うだけなら、なぜわざわざDMARCを使う必要があるのか?不必要なものではないのか?"

表面的にはほとんど違いがないように見えるかもしれませんが、現実は大きく異なります。DMARCはSPFとDKIMの技術を組み合わせただけではなく、それ自体が全く新しいプロトコルなのです。DMARCにはいくつかの特徴があり、世界で最も先進的なメール認証規格の1つであり、企業にとっては絶対に必要なものです。

しかし、ちょっと待ってください。なぜDMARCが必要なのか、正確な答えが出ていません。SPFやDKIMにはない、DMARCの特徴とは?まあ、それはかなり長い答えで、1つのブログ記事には長すぎます。だから、それを分割して、まずSPFについて話しましょう。慣れていない方のために、簡単にご紹介します。

SPFとは?

SPF(Sender Policy Framework)とは、メール受信者をなりすましメールから保護するためのメール認証プロトコルです。SPFレコードは、お客様(ドメイン所有者)のチャンネルを通じてメールを送信することを許可されたすべてのIPアドレスのリストです。受信サーバーは、あなたのドメインからのメッセージを見ると、あなたのDNSで公開されているSPFレコードをチェックします。送信者のIPがこの「リスト」にあれば、メールは配信されます。そうでなければ、サーバーはそのメールを拒否します。

ご覧のように、SPFは、お客様のデバイスに害を及ぼしたり、組織のセキュリティシステムを危険にさらしたりする可能性のある、多くの好ましくない電子メールを排除するために、かなり良い仕事をしています。しかし、SPFは一部の人が考えているほど良いものではありません。それは、SPFにはいくつかの大きな欠点があるからです。ここでは、その問題点について説明します。

SPFの限界

SPFレコードは、Fromアドレスには適用されません。

メールには、送信者を特定するための複数のアドレスがあります。通常表示されるFromアドレスと、1~2回のクリックで表示される隠れたReturn Pathアドレスです。SPFを有効にすると、受信側のメールサーバーはリターンパスを見て、そのアドレスのドメインのSPFレコードをチェックします。

ここで問題となるのは、攻撃者がリターンパスのアドレスに偽のドメインを使い、Fromセクションに正当な(または正当に見える)メールアドレスを使うことで、これを悪用できることです。仮に受信者が送信者のメールIDを確認したとしても、まずFromアドレスを見て、一般的にはリターンパスをわざわざ確認することはありません。実際、ほとんどの人はReturn Pathアドレスというものがあることすら知らないのではないでしょうか。

SPFは、この単純なトリックを使うことで非常に簡単に回避することができ、SPFで保護されたドメインであってもほとんど無防備になります。

SPFレコードは、DNSルックアップの制限があります。

SPFレコードには、ドメイン所有者がメール送信を許可したすべてのIPアドレスのリストが含まれています。しかし、これには決定的な欠点があります。受信サーバーは、送信者が許可されているかどうかを確認するためにレコードをチェックする必要があり、サーバーの負荷を軽減するために、SPFレコードのDNSルックアップは10回までとなっています。

つまり、あなたの組織が複数のサードパーティベンダーを使用して、あなたのドメインを通じてメールを送信している場合、SPFレコードはその制限をオーバーシュートしてしまう可能性があります。適切に最適化されていなければ(自分でやるのは簡単ではありませんが)、SPFレコードには非常に制限の多い上限が設定されています。この制限を超えると、SPFの実装が無効であるとみなされ、メールはSPFに失敗します。これにより、メールの配信率が低下する可能性があります。

 

メールが転送されたときにSPFが機能しないことがある

SPFには、メール配信に支障をきたすもう一つの重大な障害点があります。お客様のドメインにSPFを実装している場合、誰かがお客様のメールを転送すると、転送されたメールがSPFポリシーによって拒否されることがあります。

これは、転送されたメッセージによってメールの受信者が変更されたが、メールの送信者のアドレスは同じままであるためです。これが問題になるのは、メッセージにはオリジナルの送信者のFromアドレスが含まれているのに、受信サーバーには別のIPが表示されているからです。転送先のメールサーバのIPアドレスは、オリジナルの送信者のドメインのSPFレコードに含まれていません。その結果、受信サーバーでメールが拒否されてしまうことがあります。

DMARCはこれらの問題をどのように解決するのでしょうか?

DMARCは、SPFとDKIMを組み合わせて電子メールを認証します。電子メールがDMARCを通過して正常に配信されるためには、SPFまたはDKIMのいずれかを通過する必要があります。さらに、SPFやDKIMだけの認証よりもはるかに効果的な重要な機能が追加されている。レポーティングです。

DMARCレポートでは、お客様のメールチャネルのステータスに関するフィードバックを毎日得ることができます。これには、DMARCの整合性に関する情報、認証に失敗したメールのデータ、潜在的なスプーフィングの試みに関する詳細が含まれます。

なりすましメールを受け取らないためにはどうしたらいいのかとお考えの方は、メールのなりすましを防ぐための5つの方法をまとめた便利なガイドをご覧ください。