迷惑メール対策の注意点(SPFレコード)について

GMO Solution Partner のM.Sです。

Gmailにおけるガイドラインが2023年10月に発表され、2024年の2月1日の適用開始に
対応するため、多くの方々が対応をされたのではないかと思います。
当社並びに連結各社においても例外ではなく、間際までいろいろと対応が入っておりました。

影響力は絶大で、DMARC(ディーマーク)の導入が上場企業225社において8割以上になった
というような記事も目にしました。

2024年6月1日より配信の規制を更に拡大予定であり、
改めて、主要な対応と見落としがちなポイントを振り返ってみたいと思います。

対象と影響

Googleのガイドラインが影響を与える対象ですが、
個人用 Gmail アカウントにメールを送信する場合となっており、

具体的な送信先は、@gmail.com または @googlemail.com となります。
Google Workspaceのアカウントは対象外であることが、よくある質問に記載されています。

また、ガイドラインの対象としては、上記個人アドレスにメール送付する場合と
回答されています。

対策としてのメール認証

ガイドラインにおける具体的な対策は、
「すべての送信者の要件」と「1日あたり5,000件以上のメール送付する要件」
で異なりますが、最低限メールの認証設定は行う必要があると言えます。

Googleから開示されたメール認証の要件は3つです。
※DMARCのみ5,000件以上の要件に記載

  • SPF
  • DKIM
  • DMARC
SPF IPアドレスなどによる送信元の特定によりメールの信頼性を高めます
DKIM 電子証明書を用いて、送信された内容の改ざんが行われていないことの信頼性を高めます
DMARC DMARCは、SPFとDKIMの結果に基づいて、受信サーバに対しての指示を促し、
受信者の保護を図ります

SPFは、送信元IPアドレスの正当性確認に用いられ、内容の改ざんは判断できません。
DKIMは、内容の改ざんは確認できますが、送信元が正当なIPアドレスかは判断ができません。
※DKIMはDNSに公開鍵を登録することによりドメインベースでの正当性を証明

内容の性質上、SPF、DKIMどちらか一方だけでは足りておらず、更にDMARCまで含めることにより、
メールの送信元の正当性と内容の改ざん防止の両方を実現しようとしています。

SPFレコード登録時の注意点

3つのメール送信元認証の内、SPFは最も古くから対応されてきた内容ですが、
その対応においては少し注意が必要です。

  • DNS Lookupの上限がある事項を確認する
  • 記述が正しいかを必ず外部ツールなどを利用して確認する

上限の確認

SPFレコードのIPアドレスでの記載には上限規定はありませんが、DNSの問い合わせが過多にならないように、DNSの問い合わせは10回までの上限が存在します。特に、ドメイン名での記載を行うincludeの利用は注意が必要です。

また、その上限は、入れ子状態を含めての上限数となり、この部分が落とし穴となります。
SPFレコードのinclude記述が10以下なので、問題がないと思っていると、入れ子による落とし穴に
ハマる可能性があります。

具体例で見てみます。
例えば、以下のようにSPFレコードのincludeでドメイン自体を指定していた場合、
「_spf.example1.com」自体が、更にincludeをしているとすると、そちらもDNSルックアップの
対象となります。

上記の例の場合、DNSルックアップは、合計2回になります

1回_spf.example1.com
2回_spf.sub.example1.com

入れ子の状態にあるかは、WindowsのDOSなどでも簡単に状況の確認はできます

内容の確認方法

SPFレコードに限りませんが、記述の仕方が間違ったり、上限に抵触する場合は、
SPFが正しく機能せずに、メールが届かない原因となりえます。

外部ツールなどを利用し、記述が正しいか、上限抵触はないかなどを必ず確認しましょう

easydmarc などは nest(入れ子)された情報もわかりやすく表示してくれます
https://easydmarc.com/tools/spf-lookup