SPFレコード

固定ページのサーバー・ネットワークにある
インストールや設定のSPF・DKIM・DMARCに
一番面倒なDKIMだけ説明しましたが、今回
サーバー更新の際、SPFでひっかかってしまい
見直しを図りました。

SPFについてちょっと説明

メールの詳細は省きますが、その仕組み上ヘッダfromの
書き換えは容易で、つまり送信元を偽装したなりすまし
メールが横行してしまう要因です。
そこでIPアドレスやドメインの身元を確認するために
送信ドメイン認証という仕組みが実装されるようになりました。
その認証方式のひとつがSender Policy Framework略して
SPFになります。
数あるドメイン認証の中でも、送信ドメインDNSのTXT
レコードに、短いSPFレコードを追加するだけです。

書式例
oba-q.com. IN TXT “v=spf1 +ip4:219.117.245.192/28 -all”

他の書式
oba-q.com. IN TXT “v=spf1 +ip4:219.117.245.200 -all”
　　　　　　　　　　　　（219.117.245.200/32と同意）

oba-q.com. IN TXT “v=spf1 a:ns3.oba-q.com -all”
（FDQNで書く）

include:xxx.comやredirect=xxx.comで、includeや
redirect先のspfレコードを参照させる方法もありますが、
他の書式の送信元IPアドレスが一般的です。

1枚のNICでIPアドレスが複数ある場合

拙宅サーバーの環境はIP16で、そのうちの1個はネットワーク、
もう1個がブロードキャストなので、最大14個使えます。
とりあえずボンディングしておらず、WAN用1枚LAN用1枚で
NICは2枚ですが、WAN側に複数のIPアドレスが振ってあります。
そのうちの1個はプライマリで残りはセカンダリ、つまり
エイリアスとなります。
そんな時はセグメントごと指定するとよいでしょう。
219.117.245.192/28は219.117.245.192から219.117.245.207
までの16個となります。

ただし、例えばその中の1つの219.117.245.199などと
どう書いても、プライマリのIPアドレスで認識されるのでは？
と思われる節があり（深くは追及していない）、最初から
プライマリのIPアドレスを書いても、ちゃんと認証されて
くれましたので、結果オーライということで。。。

プライマリIPアドレスを忘れちゃった方。
ifconfigを叩けば出てきます。
ip addrではプライマリとセカンダリがボロボロ出てきますが
プライマリは一番上に表示されます。
ifconfigではセカンダリは出てこないので間違うことは
ありませんね。笑

もう一つ問題が

書式が合っているかはSPF・DKIM・DMARCのチェックサイトで
確認できますが、それで合格してもG-MAILにメールが届かない
ことがあります。
旧サーバーからドメインを移設した際に、DNSの正引きや逆引き
が変更されると、G-MAILが参照しているネームサーバーに反映
されるまではうまくいかないみたいのですよ。。。
設定が終わってG-MAILのアドレスに送ってもはじかれて、
最初はそのことに気づかず、いろいろやっていましたがダメ。
放置状態で次の日に送ったら全部の認証にPASSしました。（大笑い
確認サイトでPASSしてますからねぇ。。。

SPFレコード書式の注意

1ドメインに対し送信元IPアドレスを複数書き込みたい場合、
スペースで区切り、必ず1行で書いてください。
改行するとエラーになります。

DNSの参照回数は10回までで、たとえばincludeした先で発生した
ルックアップ回数も含まれるので要注意です。
10回を超えるとspf認証に撥ねられます。
また誤って
ドメインA　include:ドメインB
としながら
ドメインB　include:ドメインA
も存在すると、無限ループに陥りエラーとなります。
慣れないうちはIPアドレスが無難です。

とりあえず新サーバーにドメイン12個の移設終了。
全部移設し終わったら、14年頑張ってくれた
旧サーバーの電源を落とします。。。
新しいサーバーと言ってもWindowsマシーンのお下がりを
サーバー仕立てにしたもので
CPU　4コア8スレッド3.50GHz　3.90 GHz（ターボ・ブースト）
メモリ・スワップ共32GB・SSD2TBx2でRAID1　Almalinux9.5
というサーバーとしてはチンケなものですが、稼働目的から
すれば、オーバースペックですね。
アクティブサポート期限の2027年5月31日まで、もってくれれば
御の字で、できればセキュリティサポート終了日の2032年5月31日
を目指します。ｗｗｗ

閑話休題

面白いの見つけました
滅多にない例ですが、Webサーバーに利用するがメールサーバー
としては使わない時に

oba-q.com. IN TXT ” v=spf1 -all”

と何も指定しなかったら、メールは使わないぞ～！と宣言した
ことになるので、そのドメインではなりすましができない
ことになるという記事でした。
残念ながらメールしか使わないドメインはあっても、上記の例は
ありませんので、そのうち忘れてしまうノウハウでしょう。💦

余談

DMARCの書式例

_dmarc.oba-q.com. IN TXT “v=DMARC1; p=none; sp=quarantine; rua=mailto:admin@oba-q.com; ruf=mailto:admin@oba-q.com”
（1行で）
意外と簡単です。

DKIM　　⇒　　こちら

 

もも三昧
 
タイミングが合わずトリミング行けてません。
ももはクマ牧場の熊と化しています。笑
 

 
連れ合いインスタグラム
拙生のインスタ　⇒　こちら
（要ログイン）

HOME