SPFレコードとは
SPFレコード(送信者ポリシーフレームワーク)はメールサーバーがドメインに代わってメールを送信することを認可するTXTレコードです。SPFはメール受信サーバーが受信メッセージが正当なソースからであることを検証するのに役立つ重要なメール認証メカニズムで、スパムを削減し、メールスプーフィング攻撃を防止します。SPFレコード構文
基本的な構造
v=spf1 [mechanisms] [qualifier]all一般的なメカニズム
| メカニズム | 目的 | 例 |
|---|---|---|
| ip4 | IPv4を認可 | ip4:192.0.2.0/24 |
| ip6 | IPv6を認可 | ip6:2001:db8::/32 |
| a | ドメインのAレコードIP | a:example.com |
| mx | ドメインのMXサーバー | mx |
| include | 別のSPFを含める | include:_spf.google.com |
修飾子
- + パス(デフォルト、認可)
- - 失敗(未認可、拒否)
- ~ ソフトフェイル(疑わしいとしてマーク)
- ? ニュートラル(主張なし)
SPFレコードの例
Google Workspace
v=spf1 include:_spf.google.com ~all複数のプロバイダー
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 -allSPFルックアップ制限
SPFは10ルックアップ制限があります:
- 各include、a、mxは1ルックアップとしてカウント
- ip4/ip6はカウントしない
- 超過により永続エラーが発生
ベストプラクティス
1. ~allで始める、後で-allにきつくする
2. DNSルックアップが10以下に留まる
3. DKIMとDMARCと組み合わせる
4. デプロイする前にテスト
SPFはメール認証に不可欠で、ドメインがスパムとフィッシング攻撃で使用されるのを防ぎます。