SPFレコードって?
701 views
Skip to first unread message
davi
Jan 30, 2014, 7:30:13 AM1/30/14
to tsnet_...@googlegroups.com
みなさん < こん??は でび です
唐突ですが、SPFレコードって、要するに何ですか?
メールが来たら、送信者がメアドで「自称」している送信元ドメイン
を、逆引きしてから「行って良し」とか確認する関所があって、
その関所からの問い合わせ電話(PINGのようなもの?)をちゃんと
受け付けますよ、という宣言をする設定のことだと理解すれば
宜しいでしょうか?
MXレコードはレンタルサーバのデフォルトのままで運用して
いますが、さくらの特殊な仕様で、h...@example.sakura.ne.jpと
h...@example.bar.jpがエイリアスで繋がっています。
そして、普段使いは短い方のh...@example.bar.jpの方です。
そこでSPFレコードの追加の設定(拒否設定ではなく、情報の
追加の設定)を後付けで行った場合、例えば上記のエイリアス
メール絡みや、MLへの投稿のReturnPathで不具合が生じたりは
しないのでしょうか。
さくらのレンタルサーバで「Gmail」と「Google Apps」宛て
のメールが遅延があるから、必要ならSPFレコードを追加せよ、
ってお知らせが来たのですが、どんなデメリットがあるのかが
わからず、困惑しています。
http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=844
http://support.sakura.ad.jp/manual/rs/domain/spf_record.html
Googleが受信を厳格化しているということは、A社と契約している
ドメインAの送信元アドレスを用いて、別途契約しているB社の
メールサーバから送信した場合、はね飛ばされる(かも)よ、と
いうことですよね?
Googleはこんな所でも、チマチマと個体識別のネタ探しをしている
んだなぁと呆れるやら感心するやら…。
でも現状、nifty.comからの送信をGoogleのメールサーバで
行えるのに、そういう方向に舵を切ったのは、一体どういう
ことなのか。どうも腑に落ちません。
今日は、4件を同時並行でメールのやりとりして、一日が終わって
しまいました。こういう日は、生産性があったと言って良いのか…。
なんとなく自分が嫌になりますね。明日は機械振興会館。
でび http://davi.txt-nifty.com/1984/
唐突ですが、SPFレコードって、要するに何ですか?
メールが来たら、送信者がメアドで「自称」している送信元ドメイン
を、逆引きしてから「行って良し」とか確認する関所があって、
その関所からの問い合わせ電話(PINGのようなもの?)をちゃんと
受け付けますよ、という宣言をする設定のことだと理解すれば
宜しいでしょうか?
MXレコードはレンタルサーバのデフォルトのままで運用して
いますが、さくらの特殊な仕様で、h...@example.sakura.ne.jpと
h...@example.bar.jpがエイリアスで繋がっています。
そして、普段使いは短い方のh...@example.bar.jpの方です。
そこでSPFレコードの追加の設定(拒否設定ではなく、情報の
追加の設定)を後付けで行った場合、例えば上記のエイリアス
メール絡みや、MLへの投稿のReturnPathで不具合が生じたりは
しないのでしょうか。
さくらのレンタルサーバで「Gmail」と「Google Apps」宛て
のメールが遅延があるから、必要ならSPFレコードを追加せよ、
ってお知らせが来たのですが、どんなデメリットがあるのかが
わからず、困惑しています。
http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=844
http://support.sakura.ad.jp/manual/rs/domain/spf_record.html
Googleが受信を厳格化しているということは、A社と契約している
ドメインAの送信元アドレスを用いて、別途契約しているB社の
メールサーバから送信した場合、はね飛ばされる(かも)よ、と
いうことですよね?
Googleはこんな所でも、チマチマと個体識別のネタ探しをしている
んだなぁと呆れるやら感心するやら…。
でも現状、nifty.comからの送信をGoogleのメールサーバで
行えるのに、そういう方向に舵を切ったのは、一体どういう
ことなのか。どうも腑に落ちません。
今日は、4件を同時並行でメールのやりとりして、一日が終わって
しまいました。こういう日は、生産性があったと言って良いのか…。
なんとなく自分が嫌になりますね。明日は機械振興会館。
でび http://davi.txt-nifty.com/1984/
Zazel
Jan 31, 2014, 7:26:57 PM1/31/14
to tsnet_...@googlegroups.com
Zazelです。
** 業務連絡 **
お知らせするのを忘れていましたが、私が使用していたドメインを契約更新
しなかったため、tsnet.32g.cxも終了しました。アクセスもほぼないので
役目を終えたと判断しました。連絡が遅れ申し訳ありません。
(2014/01/30 21:30), davi wrote:
> 唐突ですが、SPFレコードって、要するに何ですか?
SPFは簡単にいえば、あるドメインからのメールがどこから送られてくるかを
DNSに登録することにより、送信元ドメインを詐称できないようにする仕組み
です。例えば三井住友銀行は、
% host -t txt smbc.co.jp.
smbc.co.jp descriptive text "v=spf1 +ip4:202.221.2.64/26
+ip4:202.221.246.192/27 +ip4:202.221.255.64/26
+include:spf.smbc.2iij.net ~all"
とIPアドレスが登録されています。その設定文がSPFレコードです。
> MXレコードはレンタルサーバのデフォルトのままで運用して
> いますが、さくらの特殊な仕様で、h...@example.sakura.ne.jpと
> h...@example.bar.jpがエイリアスで繋がっています。
> そして、普段使いは短い方のh...@example.bar.jpの方です。
>
> そこでSPFレコードの追加の設定(拒否設定ではなく、情報の
> 追加の設定)を後付けで行った場合、例えば上記のエイリアス
> メール絡みや、MLへの投稿のReturnPathで不具合が生じたりは
> しないのでしょうか。
example.bar.jpとexample.sakura.ne.jpのメールアドレスを共に使いたければ、
それぞれのドメイン管理者がSPFの設定をします。例え同じサーバーから
送信するとしても、example.bar.jpの管理者がDNSに設定したところで
example.sakura.ne.jpを名乗るメールには影響しません。
> Googleが受信を厳格化しているということは、A社と契約している
> ドメインAの送信元アドレスを用いて、別途契約しているB社の
> メールサーバから送信した場合、はね飛ばされる(かも)よ、と
> いうことですよね?
はい、そのうち拒否されるかもしれません。相変わらず日本の周辺国からは
第三者中継でのメール送信を試す接続が多いですしね。
昨年流行ったドラクエ等のフィッシングメールもウェブメールのセキュリティー
ホール経由で送信元を騙ったようです。
** 業務連絡 **
お知らせするのを忘れていましたが、私が使用していたドメインを契約更新
しなかったため、tsnet.32g.cxも終了しました。アクセスもほぼないので
役目を終えたと判断しました。連絡が遅れ申し訳ありません。
(2014/01/30 21:30), davi wrote:
> 唐突ですが、SPFレコードって、要するに何ですか?
SPFは簡単にいえば、あるドメインからのメールがどこから送られてくるかを
DNSに登録することにより、送信元ドメインを詐称できないようにする仕組み
です。例えば三井住友銀行は、
% host -t txt smbc.co.jp.
smbc.co.jp descriptive text "v=spf1 +ip4:202.221.2.64/26
+ip4:202.221.246.192/27 +ip4:202.221.255.64/26
+include:spf.smbc.2iij.net ~all"
とIPアドレスが登録されています。その設定文がSPFレコードです。
> MXレコードはレンタルサーバのデフォルトのままで運用して
> いますが、さくらの特殊な仕様で、h...@example.sakura.ne.jpと
> h...@example.bar.jpがエイリアスで繋がっています。
> そして、普段使いは短い方のh...@example.bar.jpの方です。
>
> そこでSPFレコードの追加の設定(拒否設定ではなく、情報の
> 追加の設定)を後付けで行った場合、例えば上記のエイリアス
> メール絡みや、MLへの投稿のReturnPathで不具合が生じたりは
> しないのでしょうか。
それぞれのドメイン管理者がSPFの設定をします。例え同じサーバーから
送信するとしても、example.bar.jpの管理者がDNSに設定したところで
example.sakura.ne.jpを名乗るメールには影響しません。
> Googleが受信を厳格化しているということは、A社と契約している
> ドメインAの送信元アドレスを用いて、別途契約しているB社の
> メールサーバから送信した場合、はね飛ばされる(かも)よ、と
> いうことですよね?
第三者中継でのメール送信を試す接続が多いですしね。
昨年流行ったドラクエ等のフィッシングメールもウェブメールのセキュリティー
ホール経由で送信元を騙ったようです。
davi
Feb 1, 2014, 7:40:57 AM2/1/14
to tsnet_...@googlegroups.com
Zazelさん < こん??は でび です
On Sat, 01 Feb 2014 09:26:57 +0900
"Zazel" <zaz...@gmail.com> wrote:
> SPFは簡単にいえば、あるドメインからのメールがどこから送られてくるかを
> DNSに登録することにより、送信元ドメインを詐称できないようにする仕組み
> はい、そのうち拒否されるかもしれません。相変わらず日本の周辺国からは
> 第三者中継でのメール送信を試す接続が多いですしね。
なるほど、やはりそういう意味だったんですね。
2013年の秋にIIJがオープンリゾルバ方式のDNSキャッシュサーバを廃止した
のと同じで「ネットワークが貧弱だった頃に作られた相互扶助的な仕組み
はもうそろそろやめても良いよね?」という流れなのだと受け止めました。
http://internet.watch.impress.co.jp/docs/news/20130925_616842.html
でも大規模災害の時には困りますね。
そのときはGoogle Public DNSで「8.8.8.8」「8.8.4.4」とかを
使えってことなのかなぁ。寡占化も善し悪しですなぁ。
hostコマンドなかったからnslookupでやってみました。
ルートドメイン 三菱UFJフィナンシャル・グループ=http://www.mufg.jp/
サブドメイン 三菱東京UFJ銀行=http://www.bk.mufg.jp/
------------------------------------------
C:\Windows\system32>nslookup -type=any mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
*** MyRouter が mufg.jp を見つけられません: Unspecified error
------------------------------------------
C:\Windows\system32>nslookup -type=any bk.mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
権限のない回答:
bk.mufg.jp nameserver = dns01.mufg.jp
bk.mufg.jp nameserver = tokio.mind.ad.jp
bk.mufg.jp nameserver = dns1.ibps.ne.jp
bk.mufg.jp nameserver = ns1.idc.mind.ne.jp
bk.mufg.jp nameserver = dns02.mufg.jp
bk.mufg.jp nameserver = dns2.ibps.ne.jp
bk.mufg.jp nameserver = dns02.mufg.jp
bk.mufg.jp nameserver = dns1.ibps.ne.jp
bk.mufg.jp nameserver = tokio.mind.ad.jp
bk.mufg.jp nameserver = ns1.idc.mind.ne.jp
bk.mufg.jp nameserver = dns2.ibps.ne.jp
bk.mufg.jp nameserver = dns01.mufg.jp
ns1.idc.mind.ne.jp internet address = 202.228.6.2
dns1.ibps.ne.jp internet address = 210.128.152.27
dns2.ibps.ne.jp internet address = 202.221.249.253
dns01.mufg.jp internet address = 203.178.126.9
dns02.mufg.jp internet address = 210.172.225.213
tokio.mind.ad.jp internet address = 202.228.1.34
------------------------------------------
C:\Windows\system32>nslookup -type=mx mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
権限のない回答:
mufg.jp MX preference = 10, mail exchanger = msgw.bk.mufg.jp
mufg.jp nameserver = dns01.mufg.jp
mufg.jp nameserver = tokio.mind.ad.jp
mufg.jp nameserver = dns02.mufg.jp
mufg.jp nameserver = dns1.ibps.ne.jp
mufg.jp nameserver = ns1.idc.mind.ne.jp
mufg.jp nameserver = dns2.ibps.ne.jp
msgw.bk.mufg.jp internet address = 203.178.91.67
ns1.idc.mind.ne.jp internet address = 202.228.6.2
dns1.ibps.ne.jp internet address = 210.128.152.27
dns2.ibps.ne.jp internet address = 202.221.249.253
dns01.mufg.jp internet address = 203.178.126.9
dns02.mufg.jp internet address = 210.172.225.213
tokio.mind.ad.jp internet address = 202.228.1.34
C:\Windows\system32>
------------------------------------------
anyではSPFレコードは見えないみたいです。
ルートドメイン( mufg.jp)の設定でメールサーバを
>mail exchanger = msgw.bk.mufg.jp
という記述で飛ばしているようですが、
------------------------------------------
C:\Windows\system32>nslookup -type=txt msgw.bk.mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
bk.mufg.jp
primary name server = dns01.mufg.jp
responsible mail addr = postmaster.mufg.jp
serial = 2014011701
refresh = 10800 (3 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
C:\Windows\system32>
------------------------------------------
ここには設定がないようでした。
間違って-type=textと打ったら、エラーが出ました。-type=txtなんですね。
あれぇ。では、msgwなしのbk.mufg.jpのみの場合。
------------------------------------------
C:\Windows\system32>nslookup -type=txt bk.mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
bk.mufg.jp
primary name server = dns01.mufg.jp
responsible mail addr = postmaster.mufg.jp
serial = 2014011701
refresh = 10800 (3 hours)
retry = 3600 (1 hour)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
------------------------------------------
おかしいなぁ。では、ルートドメイン「mufg.jp」はどうか?
------------------------------------------
C:\Windows\system32>nslookup -type=txt mufg.jp
サーバー: MyRouter
Address: 192.168.X.X
権限のない回答:
mufg.jp text =
"v=spf1 +ip4:203.178.91.81 +ip4:203.178.91.82 +ip4:124.146.170.8
+ip4:124.146.170.9 +ip4:203.178.92.72 +ip4:203.178.92.73 +ip4:203.178.127.4
include:spf-bma.mpme.jp include:spf-rmb.mpme.jp +ip4:220.213.236.41
+ip4:220.213.236.42
include:spf1.mufg.jp ~all"
mufg.jp nameserver = dns2.ibps.ne.jp
mufg.jp nameserver = dns02.mufg.jp
mufg.jp nameserver = ns1.idc.mind.ne.jp
mufg.jp nameserver = tokio.mind.ad.jp
mufg.jp nameserver = dns01.mufg.jp
mufg.jp nameserver = dns1.ibps.ne.jp
ns1.idc.mind.ne.jp internet address = 202.228.6.2
dns1.ibps.ne.jp internet address = 210.128.152.27
dns2.ibps.ne.jp internet address = 202.221.249.253
dns01.mufg.jp internet address = 203.178.126.9
dns02.mufg.jp internet address = 210.172.225.213
------------------------------------------
ふむ…。
> example.bar.jpとexample.sakura.ne.jpのメールアドレスを共に使いたければ、
> それぞれのドメイン管理者がSPFの設定をします。例え同じサーバーから
> 送信するとしても、example.bar.jpの管理者がDNSに設定したところで
> example.sakura.ne.jpを名乗るメールには影響しません。
頂いたヒントを元に「mufg.jp」の結果を見てみると、
> include:spf-bma.mpme.jp include:spf-rmb.mpme.jp +ip4:220.213.236.41
とあって、「mpme.jp」を逆引きしてみたら、他社が提供している
メール配信システムのソリューションのようでした。
includeで別ドメインからの発信も取り込んで、「それもウチが出したやつでっせ」
って証明できるということのようですね。
ルートドメイン名「bar.jp」と「sakura.ne.jp」のレコードと関連づけは、
さくらインターネットのアドミンが握っていて、一般ユーザは両方の
「example」部分だけを設定できるようですから、
「example.bar.jp」のレコードには「include:example.sakura.ne.jp」
「example.example.sakura.ne.jp」のレコードには「include:example.bar.jp」
とたすき掛けにすればいいのかな。
これって、たすき掛けで、無限ループになったりしちゃいますか?
大枠はなんとなくわかったような気がするのですが、それぞれのルート
ドメインの設定と、それぞれのドメインが異なるサブドメイン名同士の
設定と、エイリアスの取り扱いは、混乱しそうです。
それとも、"primary name server"に出てきたアドレスを「 ~all"」の直前に
「include:」で放り込んじゃっても良いのですか?
http://community.office365.com/ja-jp/forums/323/t/7436.aspx?PageIndex=2
の記事には
>TXT @ v=spf1 include:outlook.com ~all などを登録し完了
ってありましたので、"primary name server"の値をぶちこんでおけば
「大ざっぱ」な指定で楽できるよ、ということなのだろうと思いました。
あっ、でも、同じさくらのユーザで悪いやつがいた場合は、巻き添えで
denyされる可能性が高まるのかな…。
二日間じっと待つのって気分がジリジリしそう。
でび http://davi.txt-nifty.com/1984/
jscripter
Feb 1, 2014, 8:11:28 AM2/1/14
to tsnet_...@googlegroups.com
業務連絡、長い間お疲れ様でした。ありがとうございました。時代は変わりますね。
2014年2月1日土曜日 9時26分57秒 UTC+9 Zazel:
2014年2月1日土曜日 9時26分57秒 UTC+9 Zazel:
Zazel
Feb 2, 2014, 6:11:00 AM2/2/14
to tsnet_...@googlegroups.com
Zazelです。
(2014/02/01 21:40), davi wrote:
> ルートドメイン( mufg.jp)の設定でメールサーバを
>> mail exchanger = msgw.bk.mufg.jp
> という記述で飛ばしているようですが、
飛ばしているというか、@mufg.jp 宛のメールはmsgw.bk.mufg.jp という
サーバーが受け取るという設定です。
> おかしいなぁ。では、ルートドメイン「mufg.jp」はどうか?
> ------------------------------------------
> C:\Windows\system32>nslookup -type=txt mufg.jp
> サーバー: MyRouter
> Address: 192.168.X.X
>
> 権限のない回答:
> mufg.jp text =
> "v=spf1 +ip4:203.178.91.81 +ip4:203.178.91.82 +ip4:124.146.170.8
> +ip4:124.146.170.9 +ip4:203.178.92.72 +ip4:203.178.92.73 +ip4:203.178.127.4
> include:spf-bma.mpme.jp include:spf-rmb.mpme.jp +ip4:220.213.236.41
> +ip4:220.213.236.42
> include:spf1.mufg.jp ~all"
これが @mufg.jp からメールが送られてきた時に参照すべきSPFレコードです。
> 「example.bar.jp」のレコードには「include:example.sakura.ne.jp」
> 「example.example.sakura.ne.jp」のレコードには「include:example.bar.jp」
>
> とたすき掛けにすればいいのかな。
> これって、たすき掛けで、無限ループになったりしちゃいますか?
これだとループですね。
細かい設定方法は以下のサイトなどを参照して設定してみてくださいませ。
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
(2014/02/01 21:40), davi wrote:
> ルートドメイン( mufg.jp)の設定でメールサーバを
>> mail exchanger = msgw.bk.mufg.jp
> という記述で飛ばしているようですが、
サーバーが受け取るという設定です。
> おかしいなぁ。では、ルートドメイン「mufg.jp」はどうか?
> ------------------------------------------
> C:\Windows\system32>nslookup -type=txt mufg.jp
> サーバー: MyRouter
> Address: 192.168.X.X
>
> 権限のない回答:
> mufg.jp text =
> "v=spf1 +ip4:203.178.91.81 +ip4:203.178.91.82 +ip4:124.146.170.8
> +ip4:124.146.170.9 +ip4:203.178.92.72 +ip4:203.178.92.73 +ip4:203.178.127.4
> include:spf-bma.mpme.jp include:spf-rmb.mpme.jp +ip4:220.213.236.41
> +ip4:220.213.236.42
> include:spf1.mufg.jp ~all"
> 「example.bar.jp」のレコードには「include:example.sakura.ne.jp」
> 「example.example.sakura.ne.jp」のレコードには「include:example.bar.jp」
>
> とたすき掛けにすればいいのかな。
> これって、たすき掛けで、無限ループになったりしちゃいますか?
細かい設定方法は以下のサイトなどを参照して設定してみてくださいませ。
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
Reply all
Reply to author
Forward
0 new messages