SPFとは、ドメインに代わって送信することを許可されたサーバーのリストを公開することである。SPFレコードの形でサーバのリストを書き出したら、SPFレコードの最後に “インターネット上の他のすべては許可されていません “と書くのが正しいやり方です。
上記の書き方は、”all “メカニズムを使用するものである。 このメカニズムはすべてにマッチする。 接頭辞に”~”または”-“をつけることで、メカニズムの意味は次のように変わる。
- “~”の場合は “softfail”
- “-“の場合は “fail”
どちらも「NOT PASS 」という意味だが、微妙な違いがあり、それは歴史に関係している。
DMARCが登場する前、SPFはユーザーがポリシーを表明できるようにしようとしていた。”softfail “は主に “NOT PASS “と解釈されていた。”fail “は、少数のオペレータによって “NOT PASS AND DISCARD THIS FAILING EMAIL “という意味に解釈されていた。
SPFの結果に基づいてメールを破棄すると、(SPFレコードが不適切に設定されていたり、SPFに準拠したメールの送り方を理解していないベンダーがいたりして)正当なメールがあまりにも多く廃棄されることになり、ほとんどすべての受信者がスパム対策エンジンの入力としてSPFを使用することになりました。しかし、「失敗」を「NOT PASS AND DISCARD」と解釈するオペレータもまだ少なからずいた。
DMARCの世界へ早送りしよう。現在、受信者はDMARCを使用して、ドメインが電子メールに関連しているという肯定的な主張を検索しています。 この文脈では、~allは-allと同じ意味です… “NOT PASS”。
しかし、SPFレコードに”-all “を指定して運用している場合、正当なメールを破棄してしまうオペレーターに遭遇することがあります。 この問題のデバッグは難しいかもしれない。この問題は、”-all “の代わりに”~all “を使うことで回避できる。あるいは、”-all “の使用は、SPFレコードの正しさの信頼性を伝えるという点で非常に価値があります。このフラグを使えば、まだDMARCをサポートしていないMTAによって、マッチに失敗した不正なメッセージが破棄される可能性が高くなります。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください