SPFの失敗:よくある原因と対処法

ブログ

SPF失敗の多くの原因について説明しよう。この記事では、失敗のタイプを確認し、将来のSPF失敗を避けるためのベストプラクティスを説明します。

マイサム・アル・ラワティ

読書時間 6
SPFの失敗:よくある原因と対処法
目次-

Sender Policy Framework(SPF)は、スパムを減らし、送信元を認証するために、組織が長年メールシステムで使用してきたメール認証プロトコルの1つです。しかし、SPFが失敗するようなエラーに遭遇することはよくあります。この投稿では、SPFが失敗する原因とその修正方法について説明します。

以下は、SPFの失敗につながる一般的な理由である: 

  • SPFレコード構文エラー 
  • SPFレコードの設定エラー 
  • SPFのDNSルックアップ制限の超過
  • メールの転送 
  • 送信元認証の不備

主なポイント

  1. SPFエラーは、不正な構文、DNSルックアップ制限の超過、同一ドメインに対する複数のSPFレコードなどの問題から発生する可能性があります。
  2. SPFメカニズムは、Pass、Fail、Softfail、Neutral、 Temporary Errorといった異なる結果を返すことができ、それぞれが認証成功の 異なるレベルを示す。
  3. 複数のSPFレコードを "include "メカニズムを使って1つにまとめることは、SPF実装の無効化を避けるために不可欠である。
  4. DMARCレポートを定期的に監視することで、SPF失敗の原因を特定し、タイムリーに解決することができます。
  5. SPFのベストプラクティスを導入することは、メール配信を保護し、認証に失敗する可能性を減らすために非常に重要です。

SPFの失敗はなぜ起こるのか? 

SPFの失敗は以下のような理由で起こりうる:

  • 受信側のMTAが、あなたのDNSで公開されているSPFレコードを見つけられませんでした。
  • 同じドメインに複数のSPFレコードを設定している。 
  • メールサービスプロバイダーが、SPFレコードに含まれていないIPアドレスを変更または追加した。
  • SPFのDNSルックアップ上限を10回超えています。
  • 空白検索の最大許容数である 2 を超えています。
  • フラット化されたSPFレコードの長さが、SPFの255文字制限を超えています。

SPFに失敗した場合、次のステップはその原因を特定し、解決することです。これは、DMARC レポートを定期的に監視することで可能になります。PowerDMARC では、DMARC アナライザーを使って SPF 認証失敗のレポートを簡単に読むことができます。 DMARCアナライザー

PowerDMARCでSPFの失敗を止める!

15日間のトライアルデモを予約する

SPFの失敗の種類

以下は SPF fail の修飾子で、それぞれ SPF メカニズムの前に接頭辞として付加されます:

合格
「不合格
「ソフトフェイル
"?"「ニュートラル

これらはどのように重要なのか?WあなたのEメールが拒否された場合、受信者にどの程度厳しく対処させるかを選択することができます。SPFを受信したメッセージを "パス "する修飾子を指定することができます。 を指定することができます。「あるいは、"Neutral" (何もしない) という立場を取ることもできます。

1.SPF なし

最初のケースでは、受信メール・サーバがDNS検索を実行し、DNSでドメイン名を見つけられなかった場合、noneという結果が返される。また、送信者のDNSにSPFレコードが見つからない場合もNoneが返されます。これは、送信者がこのドメインに対してSPF認証を設定していないことを意味します。この場合、メールのSPF認証は失敗し、"-all "で示されます。

エラーのないSPFレコードを作成するには 無料SPFレコード生成ツールツールを使って、エラーのないSPFレコードを作成しましょう。

2.SPFニュートラル結果

あなたのドメインのSPFを設定する際、SPFレコードに"?all "メカニズムを適用している場合、これは、あなたの送信メールのSPF認証チェックがどのような結論を出しても、受信MTAは中立的な結果を返すことを意味します。これは、SPFをニュートラルモードにしている場合、あなたの代わりにメールを送信することを許可されているIPアドレスを指定せず、許可されていないIPアドレスにもメールを送信することを許可しているためです。

3.SPF ソフトフェイルの結果

SPF softfailは、SPF neutralと同様に、~allメカニズムによって識別されます。これは、受信側のMTAがメールを受け入れ、受信者の受信箱に配信することを意味しますが、DNSにあるSPFレコードにIPアドレスが記載されていない場合は、スパムとしてマークされ、SPF認証がメールに失敗する原因となります。以下にSPFソフトフェイルの例を示します。

 v=spf1 include:spf.google.com ~all

4.SPFハードフェイルの結果が返される

SPFハードフェイルとは、SPFレコードに記載されていない送信元からのメールを受信MTAが破棄することです。ドメイン偽装やなりすましメールから保護したい場合は、SPFレコードにSPF hardfailを設定することをお勧めします。 

例:v=spf1 include:spf.google.com -all

具体的な違い SPFソフトフェール vs ハードフェール

5.SPF Temperror (SPF一時エラー)

SPF認証が失敗する原因として、よくある無害なものにSPF Temperror(一時的なエラー)がある。のような DNS エラーが原因です。 DNS タイムアウト.つまり、その名の通り、一時的に SPF を失敗させる 4xx ステータスコードを返すエラーです。これは、後で再試行すると SPF 合格となります。

6.SPF Permerror(SPFパーマネントエラー)

ドメインが直面するもう一つの一般的なエラーはSPF Permerrorである。これは恒久的なエラーで失敗した場合です。 これは、SPFレコードが受信側のMTAによって無効にされた場合に発生します。DNSルックアップの実行中にMTAによってSPFが壊れて無効になる理由はたくさんあります:

  • SPFルックアップ10回制限の超過
  • 誤ったSPFレコード構文
  • 同一ドメインに複数のSPFレコードが存在する場合
  • SPFレコードの長さ制限(255文字)を超える場合
  • お客様のSPFレコードがESPによる変更に対応していない場合

注意:MTAが SPFチェックを実行するとき、DNSに問い合わせるか、DNSルックアップを実行して、メール送信元の信頼性をチェックします。理想的には、SPFでは最大10回のDNSルックアップが許可されており、それを超えるとSPFが壊れてPermerrorの結果を返します。これはSPFが失敗する非常に一般的な問題です。

電子メールのSPF失敗を修正する方法

スムーズな配信のためには、SPFが失敗しないようにすることが重要です。SPFの失敗を修正するには、以下のベストプラクティスに従ってください: 

1.SPFの制限内にとどまる

DNS ルックアップが RFC で指定された制限値を超えたために認証に失敗した場合、失敗を防ぐために制限値内に収まるようにしてください。PowerDMARC は、マクロを使用することで、これらのハードリミットを下回るように SPF レコードを最適化することができます。多くの場合、SPFのフラット化よりも数倍効果的です。 SPFフラット化.ただし、SPFフラッティングを使用する場合は、以下の点にご注意ください、 SPFフラット化ツールを使用すると、プロセスを簡素化することができますが、メールサービスプロバイダがインフラを変更するたびに手動で更新する必要があります。SPF DNSレコードにマクロを使用することで、DNSのボイドやルックアップの制限を常に超えないようにすることができます。

2.構文エラーと設定エラーを避ける

SPFレコードを手動で実装すると、構文エラーが発生し、失敗することがよくあります。SPFに正しい構文を使用していることを確認するには、自動化された SPFレコード生成ツールツールを使用してください。

DNSでSPFを設定する際は、常にリソースタイプ "TXT "を使用してください。CNAME "や "SPF "のような間違ったリソースタイプを設定すると、設定エラーやSPFの失敗につながります。 

3.すべての送信元を承認する

SPFレコードで、サードパーティベンダーを含むすべての送信元を適切に認証していることを確認してください。ベンダーは頻繁に送信IPリストを変更したり追加したりします。そのような変更については必ず把握し、自社のSPFレコードに反映させなければなりません。承認された送信元を見逃すと、しばしば不当なSPF失敗につながります。 

4.複数のSPFレコードを結合する 

同じドメインに対して複数のSPFレコードを作成すると、SPFの実装が無効になり、SPFが失敗する可能性がある。このような場合は、"include "機構を使って複数のレコードを一つのレコードにまとめるのがよい。 

SPFベストプラクティス

ドメイン所有者が上記のSPFベストプラクティスを遵守することで、不当なSPF失敗の可能性を大幅に減らすことができます。以下は、メールのセキュリティをさらに強化するために、企業が一般的に実施できるその他のグッドプラクティスです: 

  • DKIMを使用して転送メールのSPF失敗を回避する 
  • DMARCとDKIMを使用し、SPFが失敗してDKIMがパスしても、DMARCはパスする。 
  • SPFの失敗と原因を監視するためにDMARCレポートを有効にする 

メール認証の失敗は、ドメインの評判や信頼性にとって決して良いニュースではありません。配信に影響を与えないようにするには、SPFが失敗しないように今すぐ対策を講じる必要があります。 あなたのドメインにSPFが正しく設定されているかテストしてみませんか?無料の SPFチェッカーツールをお試しください!

最新記事 by Maitham Al Lawati(全て見る)
メール認証とは?メールのチェックと認証サイバーセキュリティ起業家起業家がサイバー攻撃からビジネスを守る方法