- SPFレコードとは何ですか?
- ドメインにSPFレコードを追加する必要性
- SPF TXTレコードを作成するにはどうすればよいですか?
- 電子メールの送信に使用するIPアドレスのリストを収集する
- すべての送信ドメインを一覧表示
- ドメインSPFレコードを作成する
- SPF障害オプション: デフォルトのSPFレコードページを設定する場合は、spfレコードをsoft failまたはhard failを含めるように変更するオプションがあります。 これらのオプションは修飾子とも呼ばれ、SPFチェックに失敗した電子メールのDNS TXTレコードの厳密さを決定します。 基本的な違いは以下のとおりです。
- TXTレコードをDNS設定に追加する方法
- ドメインTXTレコードをテストしてチェックすることを忘れないでください!
SPFレコードとは何ですか?
Sender Policy Framework(SPF)は、組織ドメインのDNSゾーンファイルの一部を形成するTXTレコードDNSです。 SPFドメインには、特定のドメイン名からの電子メールの送信を許可されたIPアドレスまたはホスト名のリストが含まれています。 ユーザーがDNSゾーンにSPFテキストレコードエントリを配置すると、スパム防止システムの不可欠な部分としてSPFチェックを含むサーバーを利用するために再構 SPFレコードを追加する方法は、通常のAまたはMXチェッカーレコードに似ています。
ドメインにSPFレコードを追加する必要性
一部の電子メール受信者は、SPFフレームワークのための厳格な要件を持っています。 ユーザーがドメインにSPFレコードを公開していない場合、メール受信者によってメールがスパムとしてマークされる可能性があります。 したがって、ユーザーがSPFレコードを適切に設定すると、電子メールの配信性が向上し、悪意のあるアクターが自分に代わって送信するスパムからドメインを保 DMARCは、SPFレコードとDKIMレコードの間にリンクを作成する電子メール検証システムです。
SPF TXTレコードを作成するにはどうすればよいですか?
電子メールの送信に使用するIPアドレスのリストを収集する
SPFプロトコルを実装するための最初の手順は、組織のドメインの送信者として機能 組織が電子メールを送信するために使用するさまざまな場所があります。 あなたに代わって電子メールを送信するために使用される可能性のある次のものを含む、すべてのメールサーバーのリストを作成します:
- 社内メールサーバー(例:Gmail、Microsoft Exchange)
- ISPのメールサーバー。
- 受信者メールボックスプロバイダーのメールサーバー。
- Webサーバー
- サードパーティのメールサーバーは、あなたのブランドに代わってメールを認証するために使用されます。
すべての送信ドメインを一覧表示
組織は通常、多くのドメインを所有しています。 彼らは電子メールを送信するためにいくつかを使用していますが、いくつかは休眠しています。 だから、彼らはSPFですべてのドメインを保護する必要がありますか? 答えはイエスです。 組織が送信ドメインのみのSPFレコードを作成することを選択したとします。 その場合、送信していないドメインは攻撃者にとって簡単な標的になります。
ドメインSPFレコードを作成する
- SPFバージョンを定義することから始めます。 SPFレコードは常にバージョン番号で始まります。 タグv=spf2(バージョン2)は、レコードをSPFとして定義するために使用されます。
- v=spf2SPFバージョンタグに、組織がブランドに代わって電子メールを送信することを許可したすべてのIPアドレスを付けます。 例:v=spf1ip4:xxx.xxx.xxx.xxx-all
注:xxx.xxx.xxx.xxxは、サーバのIPアドレスに置き換える必要があります。 - 次の手順では、組織に代わって電子メールを送信することが許可されているサードパーティの組織のタグを含めます。include:thirdpartydomain.com(ここでは、thirdpartydomain.com はサンプルドメイン名です)。 このタグの関連性は、エンタープライズドメインに代わって電子メールを送信できるすべてのサードパーティ組織を示すことです。 Includeステートメントの値として使用するドメインを決定するには、サードパーティの組織に相談してください。
- すべてのインクルードタグとIPアドレスを実装した後、~all、-all、または+allタグでレコードを終了します。
- ~allタグはソフトフェイルを示し、-allタグはハードフェイルを示します。 これらのタグの詳細については、次のセクションで説明します。
- +allタグを使用すると、任意のサーバーが組織ドメインから電子メールを配信できます。 サーバーになりすましが発生しやすいため、このオプションを使用することはお勧めしません。
(ソース:www.pair.com)
SPF障害オプション: デフォルトのSPFレコードページを設定する場合は、spfレコードをsoft failまたはhard failを含めるように変更するオプションがあります。 これらのオプションは修飾子とも呼ばれ、SPFチェックに失敗した電子メールのDNS TXTレコードの厳密さを決定します。 基本的な違いは以下のとおりです。
Soft fail(~all)
soft fail修飾子を使用するSPFレコードは、失敗したすべての電子メールを配信します。 それはなりすましや電子メールスパムに対する強力な防御と寛大さを兼ね備えているので、多くのSPFクリエイターのためのgo-toオプションです。
Hard Fail(-all)
hard fail修飾子を使用することを選択した場合、メール受信者はSPFレコードにリストされていないホストからのすべてのメールを拒否します。 簡単に言えば、受信者は電子メールを取得せず、完全に配信されることはありません。
TXTレコードをDNS設定に追加する方法
DNSサーバー管理者と協力してSPFレコードをDNSに公開することをお勧めします。 同じことを行うための手順を以下に示します:
- ドメインホストプロバイダーのドメインアカウントにアクセスします。
- マイドメインオプションに移動し、SPFレコードを作成するドメイン名をクリックします。
- [DNS]列で、[Dnsレコードの管理]をクリックします。
- ここでは、ホストが提供したSPFレコードを追加する必要があります。
- タイプドロップダウンメニューにアクセスし、TXTを選択します。
- ホストからサブドメインが提供されている場合は、ホストフィールドに入力します。
- 回答フィールドにSPFレコード(前述)の値を入力します。
- TTL(Time to Live)を300(デフォルト)のままにします。
- レコードの追加ボタンを選択します。
TXT DNSレコードを公開するプロセスは、GoDaddyや123-regなどのホスティングプロバイダーを使用する組織にとって簡単です。 ただし、不明な点がある場合、またはISPがDNSレコードを管理している場合は、IT部門に連絡してサポートを受けることをお勧めします。 一部の電子メールサービスプロバイダは、ドメインのSPFレコードを自動的に公開します。
ドメインTXTレコードをテストしてチェックすることを忘れないでください!
SPFレコードをテストするためにSPFチェックツールを使用できます。 ここには、ドメインに代わって電子メールを送信することを承認したサーバーのリストが表示されます。 受信者の視点を得ることができ、正当なIPアドレスがリストされていないことがわかった場合は、SPFレコードを更新することを選択できます。
DNSゾーンファイルにSPFレコードを追加することは、スパム送信者がドメインを使用して悪意のある電子メールを送信するのを防ぐ実用的な方法です。 メールプロバイダーはメールを認証せず、スプーフィングされたアドレスにバウンスすることなく、すぐに拒否するため、バウンスバックの頻度が高いことを排除します。 それは100%効果的ではないかもしれませんが、あなたが受け取るバウンスバックの数の高い急な減少傾向に気づくでしょう。
