SPFレコードの作成と公開方法
SPFレコードは、手動で作成することも、オンラインのSPFレコード作成ツールを使って作成することもできます。手動で作成するよりも、ツールを使ってレコードを作成する利点は以下の通りです。
- 無料
- 正確な結果を提供
- ヒューマンエラーの回避に役立つ
どのようにしたいのかが決まれば、以下の手順で始めることができます。
1. メール送信に使用しているIPアドレスのリストを集める
各SPFレコードは個別のドメインに対応しているため、まずはすべてのドメインのリストを作成することから始めましょう。悪用から守るために、メールを送信していない非アクティブ(または「パーク」)ドメインも含めるようにしましょう。
さらに、お客様の代わりにメールを送信するすべての送信元(サードパーティ)と、お客様のドメインからメールを送信するすべてのものをリストアップする必要があります。これには以下が含まれます。
- ポスタルサーバ(GmailのようなWebベース、ISP経由、Microsoft Exchangeのようなオフィス内のいずれも)
- 一括EメールサービスやEメールマーケティングを提供する企業は、ESPと呼ばれます。 (Email Service Providers).
- その他のサービス(決済代行、eコマースサービス、サポート/チケットシステムなど)
2. すべての送信ドメインを含める
ほとんどの企業は多種多様なドメインを保有しています。休眠状態のドメインもあれば、メール送信に使われているドメインもあります。では、それぞれのドメインを保護するためにSPFを使用する必要があるのでしょうか?はい、それが答えです。例えば、送信ドメインだけにSPFレコードを設定することにしたとしましょう。その場合、攻撃者は非送信ドメインが格好の標的となります。
3. ドメインのSPFレコードを作成する
- SPFバージョンを最初に指定します。SPFレコードでは常にバージョン番号が最初に来ます。文書はv=spf2(version2)というタグを使ってSPFとして指定されます。
- あなたの会社があなたのブランドを代表してメールを送信することを許可したすべてのIPアドレスは、v=spf2 SPFバージョンタグに従う必要があります。 v=spf1 ip4: xxx.xxx.xxx.xxx -all, for instance
- 次のステップは、あなたの会社に代わってメールを送信する許可を持っている外部の会社のタグを追加することです。
- 例えば、thirdpartydomain.comを含めます。(ドメイン名の例は、この場合thirdpartydomain.comです)。このタグの意義は、あなたの企業ドメインの代理としてメールを送信する権限を持つサードパーティ企業をリストアップすることです。どのドメインをinclude文の値として指定するかは、サードパーティの組織と相談して決めてください。
オンラインのSPFレコード生成ツールを使えば、このプロセスを迅速に行うことができます。
4. 施行レベルの設定
- すべてのincludeタグとIPアドレスを実装したら、~all、-all、または?allタグでレコードを終了します。
- allタグはハードフェイルを表し、~allタグはソフトフェイルを表します。
- allタグのおかげで、どのサーバーでもあなたの組織ドメインからのメールを配信することができます。サーバーがなりすましにさらされる可能性があるため、このオプションを利用することはお勧めしません。
以下のモードから選択できます。
- Fail (-all)
- Soft-fail (~all)
- Neutral (?all)
DNSでSPFレコードを公開するには?
生成プロセスが完了したら、ドメインのDNSにSPFレコードを追加する必要があります。
DNS管理者は、DNSにSPFレコードを発行する必要があります。これは社内の役割かもしれませんし、DNSプロバイダーが提供するダッシュボードに直接アクセスすることもできますし、レコードの公開を依頼することもできます。
自分でレコードを公開する場合、
- DNS管理コンソールにアクセスします。
- アドバンスドDNSエディターを開きます。
- 以下の仕様で新しいレコードを作成します。
Type: TXT
TTL: 1 hour
Host: @
Value: [生成されたSPFレコードの値]
- 記録の変更を保存します。
- プロトコルを有効にするために24時間(またはDNSプロバイダーによってはそれ以上)待ちます。
公開後のステップ
オンラインSPFチェッカーツールを使用すると、レコードの公開後にSPFレコードを検証できます。これにより、数秒でSPFレコードを検証し、メール認証システムの有効性を阻害する可能性のある問題を特定することができます。
SPFレコードの確認方法
SPFレコードは、オンラインのSPFレコード検索ツールを使用し、レコードにエラーがなく、機能しており、適切に設定されていることを確認することができます。
SPFだけでは、電子メールベースの攻撃からドメインを守ることはできないことに注意してください。