SPFの失敗:その意味と対処法

ブログ

メール認証における "SPF fail "の意味、なぜ起こるのか、そしてそれを修正し、メールを保護するためのステップを学びましょう。

マイサム・アル・ラワティ

最終更新日:
8 読了時間:約8分
SPFの失敗:その意味と対処法
目次-

主なポイント

  1. SPFエラーは、構文エラー、DNSルックアップ制限の超過、同一ドメインに対する複数のSPFレコードなどといった問題から発生する可能性があります。
  2. SPFメカニズムは、Pass、Fail、Softfail、Neutral、 Temporary Errorといった異なる結果を返すことができ、それぞれが認証成功の 異なるレベルを示します。
  3. 複数のSPFレコードを "include "メカニズムを使って1つにまとめることは、SPF実装の無効化を避けるために不可欠です。
  4. DMARCレポートを定期的に監視することで、SPF失敗の原因を特定し、タイムリーな解決を促進できます。
  5. SPFのベストプラクティスを導入することは、メール配信を保護し、認証に失敗する可能性を減らすために非常に重要です。

送信者ポリシーフレームワーク(SPF) は、メールが許可されたメールサーバーから送信されたことを検証することでメールのなりすましを防止するために設計されたメール認証プロトコルです。適切に設定された場合、SPFは受信メールサーバーがメールが正当な送信元から来ているかどうかを確認できるようにすることで、スパムやフィッシングの試みを減らすのに役立ちます。 

ただし、設定時または検証プロセス中に問題が発生した場合、SPF失敗が発生する可能性があります。SPF失敗とは、受信サーバーが送信者の認証を確認できなかったことを意味し、これによりメールがスパムとしてフラグ付けされたり、完全に拒否されたりすることがよくあります。

この記事では、SPFの失敗の最も一般的な原因とその修正方法について見ていきます。

メール認証におけるSPFとは?

Sender Policy Framework (SPF)は、電子メールが承認されたメールサーバーから送信されたかどうかを確認するための電子メール認証方法です。ドメインのDNSレコードに公開される「承認された送信者」のリストと考えてください。

SPFの主な役割は、電子メールのなりすましを防止することです。このなりすましでは、悪意のある行為者が「From」アドレスを偽造し、受信者に正規の電子メールであると信じ込ませます。SPFレコードをチェックすることで、受信側のメールサーバーは、そのメッセージが本当にそのドメインからのものであるかどうかを確認することができます。

ここでは、SPFがメール配信プロセスでどのように機能するかを説明します:

  • 送信ドメインは、そのDNSでSPFレコードを公開し、どのメールサーバーがそのドメインに代わってメールを送信することを許可されるかを指定する。
  • メールを受信すると、受信者のメールサーバーはドメインのSPFレコードを検索する。
  • サーバーは、送信サーバーのIPアドレスがリストにある許可された送信元と一致するかどうかをチェックする。
  • その結果に基づいて、サーバーはメールを受け入れるか、フラグを立てるか、拒否するかを決定する。

要するに、SPFは詐欺メールを受信トレイから排除するためのチェックポイントとして機能する。

SPF不合格」とは?

SPFの失敗は、受信者のメールサーバーが、送信サーバーがドメインを代表してメールを送信する権限がないと判断したときに発生します。これは、送信サーバーのIPアドレスがドメインのSPFレコードに記載されている送信元と一致しない場合に発生します。

メールサーバーは、SPFポリシーで定義されたメカニズムを使ってSPFの結果を解釈する。主な結果は以下の通り:

  • パス:認証されたサーバーからのメールです。
  • 失敗:メールは明示的に許可されておらず、しばしば拒否される。
  • ソフトフェイル: サーバーはリストに載っていないが、ドメイン所有者が疑いの目でメッセージを通過させる(しばしばスパムとしてマークされる)。
  • 中立:明確なポリシーがないため、サーバーは厳密な判断を下さない。

SPFに失敗すると、多くのメールプロバイダーはメールを完全に拒否するか、迷惑メールフォルダーに振り分けてしまい、配信率が著しく低下します。

PowerDMARCでSPFの失敗を止める!

15日間のトライアルデモを予約する

SPFの失敗はなぜ起こるのか? 

SPFの失敗は以下のような理由で起こりえます:

  • 受信側のMTAが、あなたのDNSで公開されているSPFレコードを見つけられませんでした。
  • 同じドメインに複数のSPFレコードを設定している。 
  • メールサービスプロバイダーが、SPFレコードに含まれていないIPアドレスを変更または追加した。
  • SPFのDNSルックアップ上限を10回超えています。
  • 空白検索の最大許容数である 2 を超えています。
  • フラット化されたSPFレコードの長さが、SPFの255文字制限を超えています。

SPFに失敗した場合、次のステップはその原因を特定し、解決することです。これは、DMARC レポートを定期的に監視することで可能になります。PowerDMARC では、DMARC アナライザーを使って SPF 認証失敗のレポートを簡単に読むことができます。 DMARCアナライザー

SPFの失敗の種類

以下は SPF fail の修飾子で、それぞれ SPF メカニズムの前に接頭辞として付加されます:

合格
「不合格
「ソフトフェイル
"?"「ニュートラル

これらがどう重要なのか?メール拒否される状況では 受信者がメールをどの程度厳密に処理するかを指定できます。SPFに合格したメッセージを「通過」させるための修飾子を指定可能です。 SPF 「失敗」判定を受けたメッセージを通過させるか、あるいは「中立」の立場(何もしない)を取るかを選択できます。

1.SPF なし

最初のケースでは、受信メール・サーバがDNS検索を実行し、DNSでドメイン名を見つけられなかった場合、noneという結果が返されます。また、送信者のDNSにSPFレコードが見つからない場合もNoneが返されます。これは、送信者がこのドメインに対してSPF認証を設定していないことを意味します。この場合、メールのSPF認証は失敗し、"-all "で示されます。

エラーのないSPFレコードを作成するには 無料SPFレコード生成ツールツールを使って、エラーのないSPFレコードを作成しましょう。

2.SPFニュートラル結果

ドメインのSPF設定において、SPFレコードに「?all」メカニズムを付与した場合、送信メールのSPF認証チェック結果にかかわらず、受信側のMTAは中立的な結果を返します。これは、SPFを中立モードに設定すると、メール送信を許可するIPアドレスを指定せず、許可されていないIPアドレスからの送信も許容するためです。

3.SPF ソフトフェイルの結果

SPF softfailは、SPF neutralと同様に、~allメカニズムによって識別されます。これは、受信側のMTAがメールを受け入れ、受信者の受信箱に配信することを意味しますが、DNSにあるSPFレコードにIPアドレスが記載されていない場合は、スパムとしてマークされ、SPF認証がメールに失敗する原因となります。以下にSPFソフトフェイルの例を示します。

 v=spf1 include:spf.google.com ~all

4.SPFハードフェイルの結果が返される

SPFハードフェイルとは、SPFレコードに記載されていない送信元からのメールを受信MTAが破棄することです。ドメイン偽装やなりすましメールから保護したい場合は、SPFレコードにSPF hardfailを設定することをお勧めします。 

例:v=spf1 include:spf.google.com -all

具体的な違い SPFソフトフェール vs ハードフェール

5.SPF Temperror (SPF一時エラー)

SPF認証が失敗する原因として、よくある無害なものにSPF Temperror(一時的なエラー)があります。DNS タイムアウトのような DNS エラーが原因です。 .つまり、その名の通り、一時的に SPF を失敗させる 4xx ステータスコードを返すエラーです。これは、後で再試行すると SPF 合格となります。

6.SPF Permerror(SPFパーマネントエラー)

ドメインが直面するもう一つの一般的なエラーはSPF Permerrorである。これは恒久的なエラーで失敗した場合です。 これは、SPFレコードが受信側のMTAによって無効にされた場合に発生します。DNSルックアップの実行中にMTAによってSPFが壊れて無効になる理由はたくさんあります:

  • 10 SPFの検索制限を超過
  • 不正なSPFレコード構文
  • 同一ドメインに複数のSPFレコードが存在する場合
  • SPFレコードの長さ制限(255文字)を超える場合
  • お客様のSPFレコードがESPによる変更に対応していない場合

注意:MTAが SPFチェックを実行するとき、DNSに問い合わせるか、DNSルックアップを実行して、メール送信元の信頼性をチェックします。理想的には、SPFでは最大10回のDNSルックアップが許可されており、それを超えるとSPFが壊れてPermerrorの結果を返します。これはSPFが失敗する非常に一般的な問題です。

電子メールのSPF失敗を修正する方法

スムーズな配信のためには、SPFが失敗しないようにすることが重要です。SPFの失敗を修正するには、以下のベストプラクティスに従ってください: 

1.SPFの制限内にとどまる

DNS ルックアップが RFC で指定された制限値を超えたために認証に失敗した場合、失敗を防ぐために制限値内に収まるようにしてください。PowerDMARC は、マクロを使用して、これらのハードリミットを下回るように SPF レコードを最適化することを支援します。多くの場合、SPFのフラット化よりも数倍効果的です。 SPFフラット化.ただし、SPFフラッティングを使用する場合は、以下の点にご注意ください、 SPFフラット化ツールを使用すると、プロセスを簡素化することができますが、メールサービスプロバイダがインフラを変更するたびに手動で更新する必要があります。SPF DNSレコードにマクロを使用することで、DNSのボイドやルックアップの制限を常に超えないようにすることができます。

2.構文エラーと設定エラーを避ける

SPFレコードを手動で実装すると、構文エラーが発生し、失敗することがよくあります。SPFに正しい構文を使用していることを確認するには、自動化された SPFレコード生成ツールツールを使用してください。

DNSでSPFを設定する際は、常にリソースタイプ "TXT "を使用してください。CNAME "や "SPF "のような間違ったリソースタイプを設定すると、設定エラーやSPFの失敗につながります。 

3.すべての送信元を承認する

SPFレコードで、サードパーティベンダーを含むすべての送信元を適切に認証していることを確認してください。ベンダーは頻繁に送信IPリストを変更したり追加したりします。そのような変更については必ず把握し、自社のSPFレコードに反映させなければなりません。承認された送信元を見逃すと、しばしば不当なSPF失敗につながります。 

4.複数のSPFレコードを結合する 

同じドメインに対して複数のSPFレコードを作成すると、SPFの実装が無効になり、SPFが失敗する可能性があります。このような場合は、"include "機構を使って複数のレコードを一つのレコードにまとめるのが良いでしょう。 

SPFの失敗を防ぐベストプラクティス

ドメイン所有者は、上記のSPFのベストプラクティスを守ることで、不当なSPF失敗の可能性を大幅に減らすことができます。 

さらに、企業のメールセキュリティ体制全体を強化するために従うべき推奨事項を以下に示します:

  • DKIMを使用して、転送メールのSPF失敗を回避しましょう:転送はしばしばSPFを破壊しますが、DKIM(DomainKeys Identified Mail)は認証を維持するのに役立ちます。
  • DMARCとDKIMを併用する:SPFが失敗してもDKIMが通過した場合、ドメインベースのメッセージ認証・報告・準拠(DMARC)は依然としてメールを検証できます。
  • DMARCレポートを有効にする:SPFの失敗を監視し、詳細なDMARCレポートによってその根本原因を特定します。
  • SPFレコードは常に最新の状態に保ちましょう: サードパーティのメールサービスを追加または削除するたびに、SPFレコードを見直し、更新してください。
  • DNSレコードの定期的な監査とテスト:DNSレコードが正しく、一貫性があり、SPFルックアップの制限を超えていないことを確認するために、定期的なチェックをスケジュールします。

メール認証の失敗は、ドメインの評判や信頼性にとって決して良いニュースではありません。これらのプラクティスに従うことで、SPF失敗のリスクを最小限に抑え、より良いメール配信を実現することができます。

結論

SPFの不具合を修正することは、信頼の維持、ブランドレピュテーションの保護、信頼性の高いメール配信のために非常に重要です。SPFが適切に設定されていないと、スパムとして判定されたり、受信拒否されたり、なりすましメールとして攻撃者に悪用されたりする可能性が高くなります。

定期的にドメインを監視し、SPFレコードを更新し、SPF、DKIM、DMARCなど複数のメール認証プロトコルを併用することです。SPF、DKIM、DMARCなど複数のメール認証プロトコルを併用することで、認証チェックを通過し、メールチャネルの安全性を確保できる可能性が高まります。

SPFが正しく設定され、コストのかかる失敗を回避したいですか?今すぐPowerDMARCの機能を試して、メールのセキュリティを強化し、不正使用からドメインを守りましょう。

よくあるご質問

自分のメールがSPFに失敗しているかどうかを知るには?

メールのヘッダーでSPFの結果を確認したり、DMARCレポートやSPFチェッカーなどのツールを利用することができます。これらのツールは、あなたのメッセージがSPFバリデーションに合格しているか不合格であるかを表示します。

SPFの失敗でメールがバウンスすることはありますか?

はい。SPFが "hard fail "という結果で失敗した場合、受信サーバーはメッセージを完全に拒否し、バウンスにつながることがよくあります。また、受信サーバーがメッセージを受け入れても、迷惑メールフォルダーに振り分けられてしまう場合もあります。

SPFがあればDKIMとDMARCは必要ですか?

もちろんです。SPFだけでは転送メールを保護したり、ドメインレベルのレポートを提供したりできません。DKIMはメールの完全性を保証し、DMARCはSPFとDKIMを連携させることで、可視性となりすましに対するより強力な保護を実現します。

最新記事 by Maitham Al Lawati(全て見る)
最終更新日:
DNS TXTレコード:定義、用途、設定ガイドDNS TXTレコードとはDNSの伝播にはどのくらい時間がかかるのか?ヒントとチェック