送信ドメイン認証SPFレコードについて
お知らせ
なりすましメールの抑止と送信元のアイコン表示について
2023年10月以降順次フィッシング対策のため、送信ドメイン認証技術であるDMARC/DKIM/BIMIを導入いたします。上記に対応している送信元からの正規メールにはau/KDDIロゴや公式ロゴ、またはチェックマークが表示されます。詳しくは以下をご確認ください。
送信ドメイン認証SPFレコードとは、メールを送信するサーバの情報をDNSサーバ上で公開し、送信されたメールのドメイン名とDNSサーバのSPFレコードとの整合性を受信サーバ側で確認することで、そのメールが正当なメールサーバから送信されたものかを認証する技術です。これにより、正当なメールサーバから送信されたメールと「なりすましメール」とを判別することが可能となります。その為には送信されているメールのドメインと送信IPアドレスの関連をSPFレコードに記述していただく必要がございます。
詳細は以下サイトの送信ドメイン認証技術導入マニュアルを参考にしてください。
auメールにSPFレコードを公開してメールを送信される場合の注意事項
-
SPFレコードの確認には、エンベロープFromに記述されているドメインを使用いたします。
エンベロープFromが記述されていない場合には、SPFレコードの確認は、HELOドメインを使用しますので、EHLO/HELOにも正しい送信ドメインを記述されますようお願いいたします。 - auメールにメールを送信するドメインのSPFレコードはTXTレコードで公開してください。
- IPアドレスの指定にはIPv4を使用してください。
-
お客さまが迷惑メールフィルターの「なりすまし規制(高)」をご利用になる場合、エンベロープFromに加えてPRAに記述されているドメインを使用したSPFレコードの確認を行い、SPFレコードが無い場合はメールを拒否します。
PRAとして以下の順にヘッダをチェックします。
Resent-Sender → Resent-From → Sender → From
SPF公開の注意事項
SPFレコードが255文字(ASCII)以内に収らない場合には、互換性の問題がありますので、includeなどを使用することにより255文字以内での設定をお願いいたします。
SPFレコードのサンプル(一般的な定義例)
<192.xxx.xxx.0/24のネットワークから送信する場合>
"v=spf1 ip4:192.xxx.xxx.0/24 -all"
[BINDでの設定]
example.org. IN TXT "v=spf1 ip4:192.xxx.xxx.0/24 -all"
- "v=spf1 +all"や広いIPアドレスの空間を記載するなど、実質どのIPからでも認証がPASSとなる記載は受信不可となる場合があります。
<メールを送信しないドメインの定義>
"v=spf1 -all"
[BINDでの設定]
example.org. IN TXT "v=spf1 -all"
<SPFレコードの記述間違い例>
-
1つのドメインに対して複数のSPF1レコードを公開している
(誤)
example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 ~all"
example.org. IN TXT "v=spf1 a:mx01.example.org ~all"
example.org. IN TXT "v=spf1 a:web.example.org ~all"
(正1)
example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"
(正2)
example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"
example.org. IN TXT "spf2.0 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"
-
ip4とすべきipv4になっている
(誤)
example.org. IN TXT "v=spf1 ipv4:10.0.3.0 mx ~all"
(正)
example.org. IN TXT "v=spf1 ip4:10.0.3.0 mx ~all"
SPFレコードの確認(nslookupコマンド)
nslookup -q=txt example.org
SPFレコードの確認方法
auWebメールにてご確認いただけます。
auメール(@au.com/@ezweb.ne.jp)にメールを送付し、auWebメールへアクセス(ログイン後)後、受信箱にて該当メールの「ヘッダーを表示」いただくと、以下のヘッダーで認証結果がPassになっていることをご確認いただけます。
Authentication
-results ezweb.ne.jp; spf=pass reason=policy; sender-id=pass reason=policy
(参考)auWebメール画面
DMARCに関する注意事項
-
SPFアライメント
エンベロープFromとヘッダーFromのドメインが異なる場合、p=にて宣言されたポリシーに応じてメールが規制される場合があります。
-
DKIMアライメント
DKIM dタグ(d=)とヘッダーFromのドメインが異なる場合、p=にて宣言されたポリシーに応じてメールが規制される場合があります。
