DNSレコードタイプ99(SPF)が非推奨になりました」を解決する方法とは?
by
読書時間 4 分
SPFレコードの警告表示で、「The DNS record type 99 (SPF) has been deprecated」という表示に出くわしたことがあるのではないでしょうか。 これは、2014年に廃止されたためです。ブログでは、同内容について詳しく説明します。
主なポイント
- SPFのDNSレコードタイプ99は2014年以降非推奨となっており、既存のSPFレコードはすべてDNS TXTレコードとして公開する必要があります。
- DNSレコードタイプ99の使用からの移行は、DNSサーバーとプロビジョニング・システムとの整合性の問題によるところが大きい。
- DKIMとDMARCは、メール認証においてSPFに代わる重要な役割を果たし、送信者の正当性の検証を強化する。
- DMARCポリシーを適切に設定することで、SPFやDKIMのチェックに失敗したメールを受信サーバーがどのように処理するかを管理することができます。
- SPFレコードの定期的な更新と監視は、メールのセキュリティを維持し、ドメインからの不正なメール送信を防ぐために非常に重要です。
DNSレコードタイプ99(SPF)の非推奨の発表について
SPFの開発チームは、初期のころはより厳しいポリシーを課していました。その結果、99型(SPF)のDNSレコードが登場した。しかし、このSPFレコードは、RFC7208に従って2014年4月に非推奨となりました。
現在、すべてのSPFレコードは、DNSのTXT(タイプ16)リソースレコードとしてのみ公開する必要があります。
"SPFレコードが非推奨 "となった理由
RFC7208の3.1節にあるように、新しいDNS RRタイプを割り当てるための規定は、現在のシナリオと比較して、開発初期の段階ではより厳密であった。しかし、DNSサーバーやプロビジョニングシステムは、これらのDNS RRタイプの展開にうまく対応できず、廃止に至った。
開発者は、SPFインプリケーションのためにTXT RRタイプに切り替えることがより現実的であることを学びました。それ以来、DNSレコードタイプ99(SPF)は非推奨となりました。
PowerDMARCでDNSレコードを簡素化!
非推奨が既存のSPF実装に与える影響について
メール認証のSPFに代わるもの
Sender Policy Frameworkは、メールサーバーが特定のドメインからのメール送信を許可されているかどうかを、メールプロバイダーが確認するのに役立ちます。DKIMやDMARCがその代替となるが、アップタイムモニタリングサービスも有効である。
- DKIM は、送信者の正当性を確認するためにデジタル署名を追加する暗号を使用して電子メールを認証します。DKIMはヘッダーに署名を追加することで機能し、ヘッダーは暗号化されてシールドされます。すべてのDKIM署名は、受信者のサーバーが検証チェックを実行するために使用される情報を含んでいます。
送信者のメールサーバーはプライベートDKIMキーを持っており、これはパブリックDKIMキーと呼ばれるキーペアのもう半分と照合されます。 DKIMセレクタは鍵を探す場所を決定し、それが見つかると、DKIM署名を復号化するために使用されます。
値が比較される。もし一致すれば、DKIMは有効である。
- ディーエムエーアールシー は、SPFやDKIMのチェックに失敗したメールの処理方法を受信側のサーバーに指示します。を設定することを選択することができます。 DMARCポリシー を、none(失敗したメールに対して何もしない)、quarantine(失敗したメールはスパムとしてマークされる)、reject(失敗したメールはメールボックスに全く入らない)のいずれかに設定します。
ドメインにDMARCを適切に設定すると、疑わしい活動を検出するために監視すべきレポートが受信されるようになります。
- アップタイムモニタリングは、障害発生時にウェブサイトがダウンした場合、関係チームに自動で通知する方法です。メール認証でも同様の考え方で、24時間365日、1分間隔でレコードをチェックします。認証記録のアップタイムとは、記録が正しく設定され、更新されている時間のことを指します。アップタイムモニターは、メール認証記録の正しさを検証します。問題や矛盾を検出した場合は、関係するチームに通知します。
DNSレコードタイプの非推奨に伴うSPF設定の更新について 99
DNSレコードタイプ99(SPF)が非推奨になったことも表示されている場合 の警告を表示し、コンソールを開いてSPFレコードのドメインを選択します。値をコピーし、レコードタイプとしてTXTを選択してレコードを作成します。
SPF TXTレコードを作成し、公開する方法は?
以下のことを試みて、あなたのビジネスの評判を守ってください。 SPF TXTレコードを作成・公開する手順:
ステップ1:リストを作成する
SPFの実装の最初のステップは、お客様のドメインを使用して電子メールを送信することが許可されているすべてのIPアドレスをリストアップすることです。これには、チームメンバー、役員、サードパーティーベンダーが所有するローカルネットワークやデバイスのIPアドレスが含まれ、あなたの代わりにメールを送信することが許可されています。また、ESPやオフィス内のメールサーバーの追加も検討します。
ステップ2:SPFレコードを作成する
リストが集まったら、SPFレコードを作成します。次に行うことは以下の通りです。
- vタグでバージョンを指定します。現在、バージョンは1つだけなので、まずは v=spf1.
- この後、最初に作成したリストに追加されたすべてのIPアドレスが続く必要があります。例 v=spf1 ip4:123.23.456
- をすべて実装した上で タグを含むとIPアドレスでレコードを終了してください。 ~すべて、-すべて或いは ?オールタグ.allタグはハード障害を、~allタグはソフト障害を表します。
ステップ3:DNSにレコードを公開する
DNS管理者は、SPFレコードを公開する責任があります。さて、これは社内の役職かもしれませんし、DNSプロバイダーがやってくれるようリクエストを出すこともできます。
公開したら、確実に無料の SPFレコードチェッカーをPowerDMARCでエラーなく記録できるようにしました。
ドメインとメールセキュリティのエキスパートPowerDMARC
ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。
最新記事 by Yunes Tarada(全て見る)
- Office 365のDMARC:ステップバイステップのセットアップとベストプラクティス- 2025年7月11日
- Office 365 DKIMのセットアップ:有効化、検証、設定- 2025年7月10日
- SPF中立メカニズム(?いつ、どのように使うか- 2025年6月23日
