MailData

「DNSレコードタイプ99(SPF)は非推奨となりました」を修正する方法

「DNSレコードタイプ99(SPF)は非推奨となりました」を修正する方法

SPF非推奨への正しい対処

2024年6月1日
著者: Yunes Tarada
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 How to Fix “The DNS record type 99 (SPF) Has Been Deprecated”? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

「DNSレコードタイプ99(SPF)は非推奨です」というSPFレコードの警告を目にしたことがあるかもしれません。
これは2014年に廃止されたためです。
本ブログではこの件についてさらに詳しく説明します。

重要なポイント

  1. DNSレコードタイプ99によるSPFは2014年以降非推奨となっており、既存のすべてのSPFレコードはDNS TXTレコードとして公開する必要があります。
  2. DNSレコードタイプ99の利用廃止は、主にDNSサーバやプロビジョニングシステムとの整合性の問題によるものです。
  3. SPFの代替として、DKIMとDMARCはメール認証において不可欠な役割を果たし、送信者の正当性検証を強化します。
  4. DMARCポリシーを適切に設定することで、受信サーバがSPFまたはDKIMの検証に失敗したメールをどのように処理するかを管理できます。
  5. SPFレコードを定期的に更新・監視することは、メールセキュリティを維持し、ドメインの不正利用によるメール送信を防ぐために重要です。

DNSレコードタイプ99(SPF)の非推奨の発表

SPFの開発チームは当初、より厳格なポリシーを導入しました。 これによりDNSレコードタイプ99(SPF)が登場しました。 しかし、このSPFレコードはRFC7208に基づき2014年4月に非推奨となりました。

現在では、すべてのSPFレコードはDNS TXT(タイプ16)リソースレコードとしてのみ公開する必要があります。

SPFレコードが非推奨となった理由

RFC7208のセクション3.1によると、新しいDNS RRタイプを割り当てるための規定は、現在と比べて初期の開発段階ではより厳格でした。
しかし、DNSサーバやプロビジョニングシステムはこれらのDNS RRタイプの導入と十分に整合しなかったため、それらは廃止されることとなりました。
開発者たちは、SPFの実装にはTXT RRタイプへ切り替える方が現実的であると判断しました。

その結果、DNSレコードタイプ99(SPF)は非推奨となりました。

既存のSPF実装への非推奨化の影響、メール認証におけるSPFの代替手段

Sender Policy Framework(SPF)は、メールプロバイダが特定のドメインからメールを送信するサーバが正規のものであるかを検証するのに役立ちます。
その代替手段としてはDKIMやDMARCがありますが、稼働監視サービスもまた有効です。

DKIM

DKIMは暗号技術を用いてメールを認証し、送信者の正当性を確認するためにデジタル署名を追加します。
これは、暗号化で保護された署名をヘッダーに追加することで機能します。
すべてのDKIM署名には、受信者のサーバが検証を行うために使用する情報が含まれています。

送信者のメールサーバは秘密のDKIMキーを保持しており、これは公開DKIMキーと呼ばれる鍵ペアのもう一方と照合されます。
DKIMセレクタはキーの検索場所を決定し、見つかった場合、そのキーを用いてDKIM署名を復号します。
その後、値が比較され、一致すればDKIMは有効と判断されます。

DMARC
DMARCは、SPFおよび/またはDKIMの検証に失敗したメールをどのように処理するかを受信側のサーバに指示します。
DMARCポリシーは、none(失敗したメールに対して何も行わない)、quarantine(失敗したメールをスパムとして隔離する)、reject(失敗したメールを受信箱に入れない)のいずれかに設定できます。
ドメインに対してDMARCを正しく構成すると、レポートを受け取るようになり、それを監視することで不審な活動を検知できるようになります。
稼働監視

稼働監視は、障害でWebサイトがダウンしたときに関係チームへ自動的に通知する方法です。
これは、24時間365日、1分間隔でレコードをチェックすることで、メール認証にも同じ概念を適用します。
認証レコードのアップタイムとは、レコードが正しく構成され更新されている時間を指します。

アップタイムモニタはメール認証レコードの正確性を検証します。
問題や不一致を検出した場合、関係チームに通知します。

DNSレコードタイプ99の非推奨に対応したSPF構成の更新

もし「DNSレコードタイプ99(SPF)は非推奨です」という警告が表示されている場合は、コンソールを開き、SPFレコードのドメインを選択してください。
値をコピーし、レコードタイプとしてTXTを選択して新しいレコードを作成します。

SPF TXTレコードを作成して公開する方法

以下の手順を実施することでSPF TXTレコードを作成・公開し、ビジネスの信用を保護してください。

ステップ1:リストを作成する

SPFを実装する最初のステップは、あなたのドメインを使用してメール送信を許可するすべてのIPアドレスをリスト化することです。
これには、ローカルネットワークのIPアドレスや、チームメンバー、取締役、あなたに代わってメール送信を許可されている外部ベンダーのデバイスのIPアドレスが含まれます。
さらに、ESP(Email Service Provider)や社内のメールサーバを追加することも検討してください。

ステップ2:SPFレコードを作成する

リストを作成したら、SPFレコードを作成します。次の手順を実施してください。

  • vタグでバージョンを指定します。現在は1つのバージョンしか存在しないため、v=spf1で始めます。
  • その後に、最初に作成したリストに含めたすべてのIPアドレスを追加します。
    例:v=spf1 ip4:123.23.456
  • すべてのincludeタグやIPアドレスを実装したら、レコードを ~all-all、または?allのいずれかで終了させます。
    -allはハードフェイル(厳格な拒否)を意味します。
    ~allはソフトフェイル(緩やかな拒否)を意味します。
ステップ3:レコードをDNSに公開する
SPFレコードを公開するのはDNS管理者の役割です。 これは社内の担当者が行う場合もあれば、DNSプロバイダに依頼する場合もあります。 公開が完了したら、PowerDMARCが提供する無料のSPFレコードチェッカーを利用して、エラーのないレコードになっているか確認してください。