SPF診断とは何か？

SPF診断でSPFエラーを撲滅

2024年5月1日
著者: Ahona Rudra
翻訳: 逆井晶子

この記事はPowerDMARCのブログ記事 What is an SPF Survey? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

SPF診断とは、SPFレコードの有効性と正確性を診断・検証するプロセスです。
この診断では、対象のドメイン名を調査し、SPFレコードがあれば表示し、複数のSPFテストを実施します。

この診断では、SPFレコードにあるエラーを特定し、DMARCの適合やメールの到達率に影響する問題を検出します。
さらに、フィッシング詐欺やスパムメールの防止にも効果的です。

SPF診断：SPFレコードの使用状況を確認

SPF診断ツールは、特定のドメインのSPFレコードを視覚的に表示する診断ツールです。
公式ドメインに対して無料のSPF診断を実施すると、以下の操作が可能になります。

SPFレコードが正しく公開されているか確認する。
ドメインからメールを送信できる許可済みのIPアドレスを確認・更新する。
SPFエントリから送信されるメールのトラフィックを分析する。
メールの配信エラーを引き起こすSPFレコードのフォーマットミスを防ぐ。
公開済みのSPFレコードと実際の設定との不一致を特定する。
送信者がSPF認証されたメールを正しく送信できているか、または設定の見直しが必要かを確認する。

SPF診断で設定できる内容

「レコード分析」ページに進むと、DMARC情報を含むSPFレコードの詳細が表示されます。
ここでは、現在有効なSPFレコードのエントリがすべて確認でき、使用中・未使用のエントリを区別することができます。
未使用のエントリを削除することで、不要なSPFルックアップが増えるのを防ぎ、攻撃のリスクを減らすことができます。
また、SPF診断ツールはSPFレコードの整理をサポートし、DNSルックアップの上限（10回）を超えないように調整できます。

この機能では、過去7日間に受信したDMARCレポートのあるドメインに関する有益なフィードバックを提供します。
しかし、7日間のデータだけでは、IP範囲を削除すべきか判断するには不十分な場合があります。
このような場合は、一定期間後に再度SPF診断を実施し、トラフィックを確認する必要があります。

無料のSPF診断で特定される一般的なSPFエラー

SPFユーザは、SPFレコードがエラーなく適切に設定されていることを確認するために、定期的にSPF診断を実施しましょう。
SPF設定の不備により、メールがブロックされたり誤判定されることがあります。
以下に、一般的なエラーとその対処法について説明します。

1. SPFレコードが複数存在する

エラーの原因: SPF診断を実施すると、同じドメインに複数のSPFエントリがある場合、検証が失敗します。
この場合、受信側のメールボックスは両方のエントリを拒否し、メールの到達率が低下します。
対処法: 不要なSPFエントリを削除してください。
既に使用していないサービスのSPFレコードがDNSゾーンに残っている場合、それを削除することを推奨します。
削除が難しい場合は、複数のレコードを統合し、一つのエントリにまとめることができます。
統合する際は、エントリの先頭が「v=spf1」で始まり、最後が「~all」で終わるようにしてください。

2. DNSルックアップの回数が多すぎる

エラーの原因: SPFレコードには、1レコードあたり最大10回の「include」ルックアップが許可されています。
「include」「a」「mx」「ptr」「exists」「redirect」などの各パラメータが1回のルックアップとしてカウントされます。
また、「include」に別の「include」が含まれている場合、その中のパラメータもルックアップ回数としてカウントされるため、合計で10回の制限を超える可能性があります。
対処法: 不要な「include」やドメインへの参照を削除する必要があります。
サブドメインを利用することも可能です。
ただし、そのサブドメインが認証されている場合、メールはそのサブドメインからのみ送信する必要があります。

3. 構文エラー

エラーの原因

各SPFレコードは以下のルールを満たしていない場合、検証が失敗します。

「v=spf1」で始まること。
「~all」「-all」「?all」のいずれかで終わること。
エントリ内に「all」や「v=spf1」が複数回含まれないこと。
エラー例
```
v=spf1 a mx include:_spf.elasticemail.com ~all ~all
```

対処法

SPFレコードの記述が適切であることを確認してください。

4. include に「+」が付いている

エラーの原因: 一部のケースでは、「include」に「+」が付いていると、受信側サーバがSPF認証を失敗と判断することがあります。
これは、「+」が既にデフォルトで「Pass（許可）」を示すため、冗長になってしまうからです。
対処法: SPFレコード内の「+」記号を削除してください。

5. タイポ（誤記）

対処法: タイポは一般的なミスです。
入力した内容を再確認し、スペルミスがないかチェックしてください。

まだ問題が解決しませんか？

まだ問題が解決しない場合は、無料のSPF診断ツールSPFレコードチェッカーをご利用ください。
このツールを使用すると、エラーを即座に検出し、必要な修正を行うことができます。

SPFレコードチェッカーを使用して、ドメインのSPFレコードを簡単に診断できます。

指定の入力欄にドメイン名を入力します。
「Lookup」ボタンをクリックしてください！

SPFチェッカーは、シンプルで使いやすく、どこでも素早くSPFレコードを確認できる便利なツールです。

Redirect	?
App cache	?
DNS lookup	?
TCP Connection	?
First Byte Download	?
DOMContentLoaded	?
Load	?