2016年2月21日

spfレコードに関して

Filed under: メールサーバー,技術 — システムエンジニア @ 5:35 AM

送信者、送信サーバー、返信宛メールアドレス、などが一致していない場合は成りすましメールと判断されます。

インターネットでは大きな組織が一括で管理している仕組みではなく多くの組織が一定の取り決めに従って全体として機能するようになってきます。そのなかで成りすましという問題があがってきました。

これに対してauが出しているコメントを抜粋して紹介します。


送信ドメイン認証SPFレコードについて

概要

メール送信時のお願い

技術仕様

送信ドメイン認証

SPFレコードについて

送信ドメイン認証SPFレコードとは、メールを送信するサーバの情報をDNSサーバ上で公開し、送信されたメールのドメイン名とDNSサーバのSPFレコードとの整合性を受信サーバ側で確認することで、そのメールが正当なメールサーバから送信されたものかを認証する技術です。これにより、正当なメールサーバから送信されたメールと「なりすましメール」とを判別することが可能となります。その為には送信されているメールのドメインと送信IPアドレスの関連をSPFレコードに記述していただく必要がございます。

詳細は以下サイトの送信ドメイン認証技術導入マニュアルを参考にしてください。

送信ドメイン認証技術導入マニュアル

EZwebにSPFレコードを公開してメールを送信される場合の注意事項

SPFレコードの確認には、エンベロープFromに記述されているドメインを使用致します。

エンベロープFromが記述されていない場合には、SPFレコードの確認は、HELOドメインを使用しますので、EHLO/HELOにも正しい送信ドメインを記述されますようお願い致します。

EZwebにメールを送信するドメインのSPFレコードはTXTレコードで公開してください。

IPアドレスの指定にはIPv4を使用してください。

※お客さまが迷惑メールフィルターの「なりすまし規制 (高)」をご利用になる場合、エンベロープFromに加えてPRAに記述されているドメインを使用したSPFレコードの確認を行い、SPFレコードが無い場合はメールを拒否します。

PRAとして以下の順にヘッダをチェックします。

Resent-Sender → Resent-From → Sender → From

SPF公開の注意事項

SPFレコードが255文字 (ASCII) 以内に収らない場合には、互換性の問題がありますので、includeなどを使用することにより255文字以内での設定をお願い致します。

SPF Website (英文)

SPFレコードのサンプル (一般的な定義例)

"v=spf1 ip4:192.xxx.xxx.0/24 -all"

[BINDでの設定]

example.org. IN TXT "v=spf1 ip4:192.xxx.xxx.0/24 -all"

※"v=spf1 +all"や広いIPアドレスの空間を記載するなど、実質どのIPからでも認証がPASSとなる記載は受信不可となる場合があります。

 

"v=spf1 -all"

[BINDでの設定]

example.org. IN TXT "v=spf1 -all"

1つのドメインに対して複数のSPF1レコードを公開している

(誤)

example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 ~all"

example.org. IN TXT "v=spf1 a:mx01.example.org ~all"

example.org. IN TXT "v=spf1 a:web.example.org ~all"

(正1)

example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"

(正2)

example.org. IN TXT "v=spf1 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"

example.org. IN TXT "spf2.0 ip4:10.0.3.0 ip4:10.0.3.1 a:mx01.example.org a:web.example.org ~all"

ip4とすべきipv4になっている

(誤)

example.org. IN TXT "v=spf1 ipv4:10.0.3.0 mx ~all"

(正)

example.org. IN TXT "v=spf1 ip4:10.0.3.0 mx ~all"

SPFレコードの確認 (nslookupコマンド)

nslookup -q=txt example.org

SPFレコードの確認方法

auケータイ(4G LTEケータイ除く)での確認方法

auの携帯電話にEメール(@ezweb.ne.jp)を送付し、ヘッダ閲覧システム (Eメール設定 → その他の設定 → 5 Eメールヘッダ情報表示 (通信料有料)) にアクセスしていただくと、以下のヘッダで認証結果がPassになっていることをご確認いただくことができます。

2010年12月まで

X-SPF-Auth: Pass

2010年12月以降

Authentication-Results: example.org;

spf=pass smtp.mailfrom=user@example.org;

sender-id=pass header.from=user@example.org

auスマートフォン/iPhone/4G LTEケータイでの確認方法

auWebメールにてご確認いただけます。

auのスマートフォン/iPhone/4G LTEケータイにEメール(@ezweb.ne.jp)を送付し、auWebメールへアクセス(ログイン後)後、受信箱にて該当メールの「ヘッダーを表示」いただくと、以下のヘッダーで認証結果がPassになっていることをご確認いただけます。

Authentication

-results ezweb.ne.jp; spf=pass reason=policy; sender-id=pass reason=policy


以上がauからのコメントですが他のプロバイダーでも同様な内容で適用できます。

Copyright(c) 2009 by i-Style Corp. All Rights Reserved.