DNSレコードタイプ99(SPF)は非推奨となりました。 これは2014年に廃止されたためです。このブログでは、同じことについて詳しく説明します。
主なポイント
- SPFのDNSレコードタイプ99は2014年以降非推奨となっており、既存のSPFレコードはすべてDNS TXTレコードとして公開する必要があります。
- DNSレコードタイプ99の使用からの移行は、DNSサーバーとプロビジョニング・システムとの整合性の問題によるところが大きい。
- DKIMとDMARCは、メール認証においてSPFに代わる重要な役割を果たし、送信者の正当性の検証を強化する。
- DMARCポリシーを適切に設定することで、SPFやDKIMのチェックに失敗したメールを受信サーバーがどのように処理するかを管理することができます。
- SPFレコードの定期的な更新と監視は、メールのセキュリティを維持し、ドメインからの不正なメール送信を防ぐために非常に重要です。
DNSレコードタイプ99(SPF)の非推奨の発表について
SPFの開発チームは、初期のころはより厳しいポリシーを課していました。その結果、99型(SPF)のDNSレコードが登場した。しかし、このSPFレコードは、RFC7208に従って2014年4月に非推奨となりました。
現在、すべてのSPFレコードは、DNSのTXT(タイプ16)リソースレコードとしてのみ公開する必要があります。
"SPFレコードが非推奨 "となった理由
RFC7208の3.1節にあるように、新しいDNS RRタイプを割り当てるための規定は、現在のシナリオと比較して、開発初期の段階ではより厳密であった。しかし、DNSサーバーやプロビジョニングシステムは、これらのDNS RRタイプの展開にうまく対応できず、廃止に至った。
開発者は、SPFインプリケーションのためにTXT RRタイプに切り替えることがより現実的であることを学びました。それ以来、DNSレコードタイプ99(SPF)は非推奨となりました。
PowerDMARCでDNSレコードを簡素化!
非推奨が既存のSPF実装に与える影響について
メール認証のSPFに代わるもの
Sender Policy Frameworkは、メールサーバーが特定のドメインからのメール送信を許可されているかどうかを、メールプロバイダーが確認するのに役立ちます。DKIMやDMARCがその代替となるが、アップタイムモニタリングサービスも有効である。
- DKIM は、暗号技術を用いて電子メールを認証する仕組みであり、送信者の正当性を確認するためにデジタル署名が追加されます。これは、暗号化によって保護された署名をヘッダーに追加することで機能します。すべてのDKIM署名には、受信側のサーバーが検証チェックを実行するために使用する情報が含まれています。
送信者のメールサーバーには、DKIM秘密鍵が保存されており、これは「DKIM公開鍵」と呼ばれる鍵ペアのもう一方と対応しています。DKIMセレクタは鍵の保存場所を特定し、鍵が見つかったら、それを用いてDKIM署名を復号します。
値が比較されます。一致すれば、DKIMは有効とみなされます。
- DMARC は、SPFおよび/またはDKIMの検証に失敗したメールをどのように扱うかについて、受信側のサーバーに指示します。 DMARCポリシー を「none」(検証に失敗したメールに対して何の措置も講じない)、「quarantine」(検証に失敗したメールをスパムとしてマークする)、または「reject」(検証に失敗したメールをメールボックスに一切受信させない)のいずれかに設定できます。
ドメインに対してDMARCを適切に設定すると、レポートの受信が始まります。不審な活動を検知するために、これらのレポートを監視する必要があります 。
- アップタイムモニタリングは、障害発生時にウェブサイトがダウンした場合、関係チームに自動で通知する方法です。メール認証でも同様の考え方で、24時間365日、1分間隔でレコードをチェックします。認証記録のアップタイムとは、記録が正しく設定され、更新されている時間のことを指します。アップタイムモニターは、メール認証記録の正しさを検証します。問題や矛盾を検出した場合は、関係するチームに通知します。
DNSレコードタイプの非推奨に伴うSPF設定の更新について 99
DNSレコードタイプ99(SPF)が非推奨になったことも表示されている場合 の警告を表示し、コンソールを開いてSPFレコードのドメインを選択します。値をコピーし、レコードタイプとしてTXTを選択してレコードを作成します。
SPF TXTレコードを作成し、公開する方法は?
以下のことを試みて、あなたのビジネスの評判を守ってください。 SPF TXTレコードを作成・公開する手順:
ステップ1:リストを作成する
SPFの実装の最初のステップは、お客様のドメインを使用して電子メールを送信することが許可されているすべてのIPアドレスをリストアップすることです。これには、チームメンバー、役員、サードパーティーベンダーが所有するローカルネットワークやデバイスのIPアドレスが含まれ、あなたの代わりにメールを送信することが許可されています。また、ESPやオフィス内のメールサーバーの追加も検討します。
ステップ2:SPFレコードを作成する
リストが集まったら、SPFレコードを作成します。次に行うことは以下の通りです。
- vタグでバージョンを指定します。現在、バージョンは1つだけなので、まずは v=spf1.
- この後、最初に作成したリストに追加されたすべてのIPアドレスが続く必要があります。例 v=spf1 ip4:123.23.456
- をすべて実装した上で タグを含むとIPアドレスでレコードを終了してください。 ~すべて、-すべて或いは ?オールタグ.allタグはハード障害を、~allタグはソフト障害を表します。
ステップ3:DNSにレコードを公開する
DNS管理者は、SPFレコードを公開する責任があります。さて、これは社内の役職かもしれませんし、DNSプロバイダーがやってくれるようリクエストを出すこともできます。
公開したら、確実に無料の SPFレコードチェッカーをPowerDMARCでエラーなく記録できるようにしました。
- Kit DKIM、DMARC、およびSPFの設定ガイド - 2026年7月6日
- NIST SP 800-81r3:電子メールのためのDNSセキュリティガイドライン - 2026年6月25日
- DKIMレコードの分割方法 - 2026年6月5日

