サブドメインにSPFは必要?
サブドメインごとのSPF
2023年2月9日
著者: Syuzanna Papazyan
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Do I Need SPF for Subdomains? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
DMARCとは異なり、SPFはサブドメインごとに異なる動作をします。
サブドメインにSPFを設定すべきか、また、サブドメインに別途(DMARCの)ポリシーを導入すべきか悩んでいる方は、この記事が参考になるかもしれません。
DMARCがサブドメインでどのように機能するかについては、こちらをご覧ください。
簡単におさらいすると、ドメインのDMARCポリシーは自動的にサブドメインにも適用されます。
つまり、 company.com で公開されているp=rejectのDMARCレコードがあれば、 support.company.com や marketing.company.com などのサブドメインから送られるメールには、ゾーンAPEXドメインと同じDMARCポリシーが継承されるため、個々のsp(サブドメインポリシー)のDMARCタグを手動で構成する必要はありません。
次に、サブドメインのSPFを管理する方法について説明します。
SPFはサブドメインでどのように機能する?
SPFのポリシーは、サブドメインには自動的に継承されません。
SPFを使用してメールを認証するとき、サブドメインを使用してメールを送信する場合は、DNSエントリに変更を加え、これらのサブドメインに個別にSPFレコードを設定する必要があります。
例えば、
company.com のSPFレコードは以下のとおりです。
v=spf1 include:spf.domain.com include:spf.xyz.net -all
しかしながら、ゾーンAPEXドメインである company.com から直接メールを送信するのではなく、ゾーンAPEXドメインに基づくサブドメインである marketing.company.com からメールを送信するとします。
するとメール受信者は、サブドメインにSPFレコードがないため、SPFレコードが見つからないというエラーを返します。
サブドメイン用のSPFレコードを作成する
PowerDMARCでサブドメインにSPFレコードを作成するには、以下の手順に従います。
- SPFレコード生成ツールに移動する
- サブドメインのメール送信を代行するサードパーティ(SendGrid、Zendeskなど)に関する情報を入力する
- 「SPFレコードを生成する」ボタンを押すと、AIがエラーのないTXTレコードを生成してくれる
- このレコードをクリップボードにコピーする
サブドメインのSPFレコードを公開する
サブドメインのSPFを公開するには、以下の手順に従います。
- 管理者としてDNS管理コンソールにアクセスする
- DNS設定ページに移動し、DNSレコードを編集/追加する
- サブドメインがポータルに登録されていることを確認し、「新しいレコードを追加する」をクリックする
- 「新規レコードの追加」 のポップアップボックスで新規レコードを作成する
| レコードタイプ | TXT |
|---|---|
| TTL | 1時間 |
| ホスト | (サブドメイン名) |
| 値 | 生成したSPFレコードをここに貼り付けます |
注:各項目の名称や新しいレコードの追加方法は、ご利用のDNSプロバイダによって異なります。
ご不明な点は、ご利用のホスティングプロバイダにお問い合わせください。
なぜサブドメイン(およびドメイン)にSPFが必要?
メールを送信すると、受信サーバはDNS Lookupを行い、送信側のサブドメイン(またはドメイン)のDNSにSPFレコードを問い合わせます。
見つかると、送信者のIPアドレスがレコードで指定されたもののいずれかと一致するかどうかがチェックされます。
一致した場合、ドメインの所有者が、そのドメインに代わってメールを転送する権限をその(SPFで指定された)ドメインに委譲したことを意味します。
※訳注:つまり、DNSにSPFレコードとして登録されている=メールの送信元として保証されている、ということです。
一致しない場合、メールはSPFチェックに失敗します。
サイバー犯罪者は、ドメイン名を偽造してクライアントに偽のメールを送信し、詐欺を働く可能性があります。
SPFレコードを設定することで、不正な第三者がドメインからメールを送信するのを防ぐことができます。
このため、サブドメインとゾーンAPEXに別々にSPFを設定し、なりすましに対する包括的な防御を実現することが重要です。
SPFレコードとはどのようなものか?
以下は、参考のためのSPFレコードです。
- インクルードメカニズムは、ユーザがメール送信の代行に使用している可能性のあるサードパーティのドメインを指定し、承認された送信元として含めるために使用されます。
- このタグは、使用中のSPFレコードのバージョンを指定します。
- SPFにおける-allの働きは、SPFのhard fail(SPFで指定されていないサーバからのメールは全て排除する設定)の指定です。
メールの到達率に問題がある場合、SPFレコードに構文上の誤りがないかを確認する必要があります。
レコード内に冗長なスペースがないか、また、すべて1行で記述されているかを確認してください。
それでも問題が解決しない場合は、PowerDMARCを使用して安全なSPFを導入してください。
私たちはSPFの導入プロセスを合理化し、設定や認証の問題に直面することがないよう支援します。
SPFの導入をトライアルで試す場合はこちらからお問い合わせください。