DNSレコードタイプ99(SPF)が非推奨になりました」を解決する方法とは?

by

最終更新日:
4 読了時間:約4分
DNSレコードタイプ99(SPF)が非推奨になりました」を解決する方法とは?

DNSレコードタイプ99(SPF)は非推奨となりました。 これは2014年に廃止されたためです。このブログでは、同じことについて詳しく説明します。

主なポイント

  1. SPFのDNSレコードタイプ99は2014年以降非推奨となっており、既存のSPFレコードはすべてDNS TXTレコードとして公開する必要があります。
  2. DNSレコードタイプ99の使用からの移行は、DNSサーバーとプロビジョニング・システムとの整合性の問題によるところが大きい。
  3. DKIMとDMARCは、メール認証においてSPFに代わる重要な役割を果たし、送信者の正当性の検証を強化する。
  4. DMARCポリシーを適切に設定することで、SPFやDKIMのチェックに失敗したメールを受信サーバーがどのように処理するかを管理することができます。
  5. SPFレコードの定期的な更新と監視は、メールのセキュリティを維持し、ドメインからの不正なメール送信を防ぐために非常に重要です。

DNSレコードタイプ99(SPF)の非推奨の発表について

SPFの開発チームは、初期のころはより厳しいポリシーを課していました。その結果、99型(SPF)のDNSレコードが登場した。しかし、このSPFレコードは、RFC7208に従って2014年4月に非推奨となりました。

現在、すべてのSPFレコードは、DNSのTXT(タイプ16)リソースレコードとしてのみ公開する必要があります。

"SPFレコードが非推奨 "となった理由

RFC7208の3.1節にあるように、新しいDNS RRタイプを割り当てるための規定は、現在のシナリオと比較して、開発初期の段階ではより厳密であった。しかし、DNSサーバーやプロビジョニングシステムは、これらのDNS RRタイプの展開にうまく対応できず、廃止に至った。 

開発者は、SPFインプリケーションのためにTXT RRタイプに切り替えることがより現実的であることを学びました。それ以来、DNSレコードタイプ99(SPF)は非推奨となりました。

PowerDMARCでDNSレコードを簡素化!

非推奨が既存のSPF実装に与える影響について

メール認証のSPFに代わるもの

Sender Policy Frameworkは、メールサーバーが特定のドメインからのメール送信を許可されているかどうかを、メールプロバイダーが確認するのに役立ちます。DKIMやDMARCがその代替となるが、アップタイムモニタリングサービスも有効である。 

  • DKIM は、暗号技術を用いて電子メールを認証する仕組みであり、送信者の正当性を確認するためにデジタル署名が追加されます。これは、暗号化によって保護された署名をヘッダーに追加することで機能します。すべてのDKIM署名には、受信側のサーバーが検証チェックを実行するために使用する情報が含まれています。
    送信者のメールサーバーには、DKIM秘密鍵が保存されており、これは「DKIM公開鍵」と呼ばれる鍵ペアのもう一方と対応しています。DKIMセレクタは鍵の保存場所を特定し、鍵が見つかったら、それを用いてDKIM署名を復号します。
    値が比較されます。一致すれば、DKIMは有効とみなされます。
  • DMARC は、SPFおよび/またはDKIMの検証に失敗したメールをどのように扱うかについて、受信側のサーバーに指示します。 DMARCポリシー を「none」(検証に失敗したメールに対して何の措置も講じない)、「quarantine」(検証に失敗したメールをスパムとしてマークする)、または「reject」(検証に失敗したメールをメールボックスに一切受信させない)のいずれかに設定できます。
    ドメインに対してDMARCを適切に設定すると、レポートの受信が始まります。不審な活動を検知するために、これらのレポートを監視する必要があります
  • アップタイムモニタリングは、障害発生時にウェブサイトがダウンした場合、関係チームに自動で通知する方法です。メール認証でも同様の考え方で、24時間365日、1分間隔でレコードをチェックします。認証記録のアップタイムとは、記録が正しく設定され、更新されている時間のことを指します。アップタイムモニターは、メール認証記録の正しさを検証します。問題や矛盾を検出した場合は、関係するチームに通知します。

DNSレコードタイプの非推奨に伴うSPF設定の更新について 99

DNSレコードタイプ99(SPF)が非推奨になったことも表示されている場合 の警告を表示し、コンソールを開いてSPFレコードのドメインを選択します。値をコピーし、レコードタイプとしてTXTを選択してレコードを作成します。

SPF TXTレコードを作成し、公開する方法は?

以下のことを試みて、あなたのビジネスの評判を守ってください。 SPF TXTレコードを作成・公開する手順:

ステップ1:リストを作成する

SPFの実装の最初のステップは、お客様のドメインを使用して電子メールを送信することが許可されているすべてのIPアドレスをリストアップすることです。これには、チームメンバー、役員、サードパーティーベンダーが所有するローカルネットワークやデバイスのIPアドレスが含まれ、あなたの代わりにメールを送信することが許可されています。また、ESPやオフィス内のメールサーバーの追加も検討します。

ステップ2:SPFレコードを作成する

リストが集まったら、SPFレコードを作成します。次に行うことは以下の通りです。

  • vタグでバージョンを指定します。現在、バージョンは1つだけなので、まずは v=spf1.
  • この後、最初に作成したリストに追加されたすべてのIPアドレスが続く必要があります。例 v=spf1 ip4:123.23.456
  • をすべて実装した上で タグを含むとIPアドレスでレコードを終了してください。 ~すべて、-すべて或いは ?オールタグ.allタグはハード障害を、~allタグはソフト障害を表します。

ステップ3:DNSにレコードを公開する

DNS管理者は、SPFレコードを公開する責任があります。さて、これは社内の役職かもしれませんし、DNSプロバイダーがやってくれるようリクエストを出すこともできます。

公開したら、確実に無料の SPFレコードチェッカーをPowerDMARCでエラーなく記録できるようにしました。