SPFレコードの活用

DNSの情報を調べる nslookup コマンドで表示可能です。 (例) @yahoo.co.jp の例 ＞C:\>nslookup - 8.8.8.8 ※「- 8.8.8.8」はGoogle Public DNS の指定ですが、つけなくても構いません。 ＞既定のサーバー: dns.google ＞Address: 8.8.8.8 ＞ ＞> set type=txt ←ここを入力 ＞> yahoo.co.jp ←ここも入力 ＞サーバー: dns.google ＞Address: 8.8.8.8 ＞ ＞権限のない回答: ＞yahoo.co.jp text = ＞ "google-site-verification=GvbYgNin-mY73VbS4IJK2D8nI3tHEf2NpRdy76VYqBU" ＞yahoo.co.jp text = ＞ "v=spf1 include:spf.yahoo.co.jp ~all" SPFレコードは、DNSのTXTレコード(その他文字情報)として記載されています。 そしてSPFレコードが多くなると、一行に記載しきれなくなるので、「他のレコードを取り込む」という"include:"指定が良く使われます。 なので、それで指定されている物も入力していきます。 ＞> spf.yahoo.co.jp ←ここを入力 ＞サーバー: dns.google ＞Address: 8.8.8.8 ＞ ＞権限のない回答: ＞spf.yahoo.co.jp text = ＞ "v=spf1 include:spf01.yahoo.co.jp include:spf02.yahoo.co.jp include:spf03.yahoo.co.jp include:bulk-spf.yahoo.co.jp ~all" さらに include: があったので、入力していきます。 ＞> spf01.yahoo.co.jp ←ここを入力 ＞サーバー: dns.google ＞Address: 8.8.8.8 ＞ ＞権限のない回答: ＞spf01.yahoo.co.jp text = ＞ "v=spf1 ip4:114.110.61.0/24 ip4:183.79.54.0/23 ip4:183.79.56.0/23 ip4:183.79.100.0/23 ip4:183.79.106.0/23 ip4:183.79.108.0/24 ip4:183.79.110.0/24 ~all" ようやくIPアドレスが表示されてきました。 これらのIPアドレスを持つサーバから送信されたメールであれば、メール送信元は信頼できる、ということになります。 ただし、上記のようにネットマスク(/〇〇)が指定されている場合、それは範囲で示されています。 「114.110.61.0/24」であれば「114.110.61.0～255」の256個 「183.79.54.0/23」であれば「183.79.54.0～183.79.55.255」の512個 という表記になります。 もちろん、spf02.yahoo.co.jp, spf03.yahoo.co.jp～も調べていかなければいけませんが同じパターンなので以下省略ということで。 展開していく中で送信サーバに該当するIP記載が見つかれば、そこでチェックは終了するので、必ずしもすべてを展開する必要はありません。 なお、最初の検索で「text = "v=spf1 ～"」の表示が出なかったならば、そのドメインにSPFレコードは設定されていないことになります。 SPFレコード認証としては、「失敗(正規の発信元であるかどうかわからない)」となります。 ※ わからない＝不正メール、ではありません。 (参考) ＞送信ドメイン認証（SPF / DKIM / DMARC）の仕組みと、なりすましメール対策への活用法を徹底解説 – エンタープライズIT [COLUMNS] ＞https://ent.iij.ad.jp/articles/172/