「昨日まで送信できたメールが、今日から急にブロックされるようになった!」
今年も10月3日から約1週間、この種の問い合わせを多数いただきました。秋の風物詩といえるほど、毎年9月末から10月上旬にかけてこのような問い合わせが増えるのですが、皆様の周りでも一時的にメールが届きにくくなる事象が発生することはありませんでしたか?
各大手メールサービスではセキュリティ強化のため定期的に受信ルールを微調整しており、とくに世界的に利用者の多いGmailでは毎年春と秋にスパムフィルタを大規模チューニングしているとみられ、その時期になると必ずメールのトラブルが急増します。この秋は特にDNS設定が甘い方が全てブロックされていました(10月11日頃から緩和されています。)。
各メールサービスの受信判定は、送信側の立場からするとなかなか厄介なものですが、きちんと根拠のあるものですので、ルールを徹底して送信することで自社ドメインの信頼度を上げることができ、SEOにも良い影響を及ぼすといわれています。
今回はそのルールのうち最も重要といわれる「SPFレコード」のトレンドをご紹介します(少し難しそうな用語も含まれていますが、内容は身近なものですので安心してご覧ください。)。
■SPFレコードとは
SPFレコードとは、自分のドメインを使って送るメールをどのサーバ経由で送信するか宣言しておくもので、そこに記載された経由以外からきたメールは「なりすましメール」の可能性があることを受信側に示唆するための機能です。
これはRFCで定める世界標準仕様なのですが、各メールサービスでは独自チェックルールも追加して利用されているため、2023年時点での最新重要ポイントを以下の5点にまとめました。
<SPFレコード記載に関する重要ポイント>
1. Envelope-fromアドレスのドメインに設定すること(差出人アドレスのドメインではない)
2. 1行で記載すること(いくら長くなっても分割記載しないこと)
3. DNSの参照回数を10回以下にとどめること
4. レコードタイプ「TXT」に記載すること(「SPF」を選ばないこと)
5. 記載内容はすべて実存するものであること(Gmailの追加チェックルール)
1~3は基本ルールですが、4については2014年までDNSのタイプとして「SPF」も存在していたため2014年以前に設定された方は要注意です。
またroute53(AWSのDNSサービス)では、最近でも「SPF」を選択できていましたので、うっかり「SPF」を選んでいないか(「TXT」を選択しているか)route53ユーザの方は念のためご確認ください。
5は近年Gmailが強化しだした独自チェックルールで、GmailではSPFレコードの記載内容を全てチェックしており、存在しないサーバ情報が含まれていた場合SPFレコード全体を無効とみなし、受信ブロックすることがあります。
かつてメール送信で使っていたサーバやMAツールなどの情報をSPFレコードに残したままにしていると、SPAMやなりすましメールの温床になってしまうこともあるため、現在すでに利用していない配信ルートの情報はすぐにSPFレコードから消しましょう。
昨今、一番頭を悩ませているのが3の問題です。
これはSPFレコードに記載された文字列(include等)を全てIPアドレス化するのに必要な工数(DNSを参照する回数)を上限10回までとするルールなのですが、この問題は表面上からはわかりにくく、大手ショップ様でもルールの違反になっていることがよくあります。
例えば、GoogleWorkspace、Microsoft365、Salesforce(CRM)とPardot(MA)を全て利用しているようなケースを例にしましょう。各サービスからメールを配信する可能性がある場合は、それぞれのSPFレコードを記載する必要があります。
この例の場合、SPFレコードは下記のようになります。
v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:_spf.salesforce.com include:aspmx.pardot.com ~all
このSPFレコードのDNS参照数を計算してみると、Microsoft365、SalesforceとMarketoの各SPFレコードはDNSを2回ずつ参照し、GoogleWorkspaceのSPFレコードは4回もDNS参照を必要とします。そのため全体では、GoogleWorkspace(4回) + Microsoft365(2回) + Salesforce(2回) + Marketo(2回) 合計10回の参照数上限に達してしまいます。
今後、このドメインで別のサービス(EC一元管理ツールや勤怠管理ツールなど)を導入してメールを送ろうとしても、これ以上IPアドレス以外のSPFレコードは追記できません(IPアドレスで追記する場合は可能。)。もし追記した場合は、このSPFレコード全体を無効とみなされることも多く、このドメインで送るメールは全体的に受信ブロックされやすくなる可能性があります。
SPFレコードのルールは上記1~5以外にも複数規定があるため、完全にチェックするのは大変ですが、無償のチェックツールもありますので、ご参考になさるのもよいかと思います。
例:Dmarcian「SPF Surveyor」
https://dmarcian.com/spf-survey/
メールでお悩みの方の環境ではSPFレコードに問題があることが多く、とくに、以前は正しく設定していたはずなのに知らぬ間にルール違反状態になっているケースも多いようです。もし皆様も自社のSPFレコードを長らく確認されていないようでしたら、いちど確認されることをお勧めいたします。