SPFレコードの警告表示で、「The DNS record type 99 (SPF) has been deprecated」という表示に出くわしたことがあるのではないでしょうか。 これは、2014年に廃止されたためです。ブログでは、同内容について詳しく説明します。
DNSレコードタイプ99(SPF)の非推奨の発表について
SPFの開発チームは、初期のころはより厳しいポリシーを課していました。その結果、99型(SPF)のDNSレコードが登場した。しかし、このSPFレコードは、RFC7208に従って2014年4月に非推奨となりました。
現在、すべてのSPFレコードは、DNSのTXT(タイプ16)リソースレコードとしてのみ公開する必要があります。
"SPFレコードが非推奨 "となった理由
RFC7208の3.1節にあるように、新しいDNS RRタイプを割り当てるための規定は、現在のシナリオと比較して、開発初期の段階ではより厳密であった。しかし、DNSサーバーやプロビジョニングシステムは、これらのDNS RRタイプの展開にうまく対応できず、廃止に至った。
開発者は、SPFインプリケーションのためにTXT RRタイプに切り替えることがより現実的であることを学びました。それ以来、DNSレコードタイプ99(SPF)は非推奨となりました。
非推奨が既存のSPF実装に与える影響について
メール認証のSPFに代わるもの
Sender Policy Frameworkは、メールサーバーが特定のドメインからのメール送信を許可されているかどうかを、メールプロバイダーが確認するのに役立ちます。DKIMやDMARCがその代替となるが、アップタイムモニタリングサービスも有効である。
- DKIM は、送信者の正当性を確認するためにデジタル署名を追加する暗号を使用して電子メールを認証します。DKIMはヘッダーに署名を追加することで機能し、ヘッダーは暗号化されてシールドされます。すべてのDKIM署名は、受信者のサーバーが検証チェックを実行するために使用される情報を含んでいます。
送信者のメールサーバーはプライベートDKIMキーを持っており、これはパブリックDKIMキーと呼ばれるキーペアのもう半分と照合されます。 DKIMセレクタは鍵を探す場所を決定し、それが見つかると、DKIM署名を復号化するために使用されます。
値が比較される。もし一致すれば、DKIMは有効である。
- ディーエムエーアールシー は、SPFやDKIMのチェックに失敗したメールの処理方法を受信側のサーバーに指示します。を設定することを選択することができます。 DMARCポリシー を、none(失敗したメールに対して何もしない)、quarantine(失敗したメールはスパムとしてマークされる)、reject(失敗したメールはメールボックスに全く入らない)のいずれかに設定します。
ドメインにDMARCを適切に設定すると、疑わしい活動を検出するために監視すべきレポートが受信されるようになります。
- アップタイムモニタリングは、障害発生時にウェブサイトがダウンした場合、関係チームに自動で通知する方法です。メール認証でも同様の考え方で、24時間365日、1分間隔でレコードをチェックします。認証記録のアップタイムとは、記録が正しく設定され、更新されている時間のことを指します。アップタイムモニターは、メール認証記録の正しさを検証します。問題や矛盾を検出した場合は、関係するチームに通知します。
DNSレコードタイプの非推奨に伴うSPF設定の更新について 99
DNSレコードタイプ99(SPF)が非推奨になったことも表示されている場合 の警告を表示し、コンソールを開いてSPFレコードのドメインを選択します。値をコピーし、レコードタイプとしてTXTを選択してレコードを作成します。
SPF TXTレコードを作成し、公開する方法は?
以下のことを試みて、あなたのビジネスの評判を守ってください。 SPF TXTレコードを作成・公開する手順:
ステップ1:リストを作成する
SPFの実装の最初のステップは、お客様のドメインを使用して電子メールを送信することが許可されているすべてのIPアドレスをリストアップすることです。これには、チームメンバー、役員、サードパーティーベンダーが所有するローカルネットワークやデバイスのIPアドレスが含まれ、あなたの代わりにメールを送信することが許可されています。また、ESPやオフィス内のメールサーバーの追加も検討します。
ステップ2:SPFレコードを作成する
リストが集まったら、SPFレコードを作成します。次に行うことは以下の通りです。
- vタグでバージョンを指定します。現在、バージョンは1つだけなので、まずは v=spf1.
- この後、最初に作成したリストに追加されたすべてのIPアドレスが続く必要があります。例 v=spf1 ip4:123.23.456
- をすべて実装した上で タグを含むとIPアドレスでレコードを終了してください。 ~すべて、-すべて或いは ?オールタグ.allタグはハード障害を、~allタグはソフト障害を表します。
ステップ3:DNSにレコードを公開する
DNS管理者は、SPFレコードを公開する責任があります。さて、これは社内の役職かもしれませんし、DNSプロバイダーがやってくれるようリクエストを出すこともできます。
公開したら、確実に無料の SPFレコードチェッカーをPowerDMARCでエラーなく記録できるようにしました。
- ヤフー、2025年のDMARC導入を推奨- 2025年1月17日
- MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散- 2025年1月17日
- DMARCの認証されていないメールは禁止されている【解決済み- 2025年1月14日