CYBERNET

コラム

SPFフラット化とは?

~SPFフラット化の仕組みとその問題点~

SPFの仕組みとSPFフラット化の問題点を解説します

※本ページは、Valimail公式サイトのBlog に掲載された記事を翻訳・編集し、日本向けに作成されています。
-https://www.valimail.com/blog/what-is-spf-flattening/

1.はじめに:SPFとDMARCにおける課題

メール認証の仕組みを強化し、DMARCをエンフォースメント(p=quarantine や p=reject)に移行するうえで、
多くの組織が直面する大きな課題の一つがSPF(Sender Policy Framework)です。

もし、自社ドメインを使って送信を許可すべきすべての送信元を正しくSPFに登録できなければ、DMARCをエンフォースメントすることはできません。
承認漏れがある状態でエンフォースメントを設定すると、正規のメールまでもが拒否や隔離の対象になってしまいます。

SPFは非常に有効な仕組みですが、その仕様には「DNSルックアップ制限(10回まで)」という大きな壁があります。
これを回避するために一部の組織が使うのがSPFフラット化ですが、実はこれは根本的な解決にはなりません。

2. DNSルックアップ制限(10回まで)とは?

SPFでは、レコードの中で別のドメインを参照するときにDNSルックアップが発生します。

この場合、受信サーバーは example.com のSPFレコードを確認します。これが1回のルックアップです。

さらに example.com の中に別の include: があれば、そこで追加のルックアップが発生します。
このようにSPFレコードが入れ子(ネスト)構造になると、ルックアップ回数はどんどん増えていきます。

SPF規格では、DNSルックアップが10回を超えると認証は即座に失敗します。
つまり、正しいサービスから送信されたメールであっても「確認できなかった」という理由で認証エラーとなり、迷惑メール扱いや拒否につながるリスクがあります。

3.SPFフラット化とは?

SPFフラット化とは、この「10回ルックアップ制限」を避けるために、SPFレコードに含まれる参照ドメインをIPアドレスに展開して直接記載する方法です。

通常は include: ステートメントを使って他のドメインを参照しますが、フラット化ではそれを削除し、代わりにIPアドレスを直接列挙します。
こうすることでDNSルックアップ数を減らし、10回の制限を超えないように見せかけるのです。

各ドメインを展開して、すべての IP を直接一覧表示します。

このように include: を削除し、代わりにその参照先のIPアドレスを直接列挙します。
理論的にはDNSルックアップを消費しないため「10回制限」を回避できるように見えます。

4.SPFフラット化の問題点

SPFフラット化は短期的な回避策に見えますが、実際には根本的な解決どころか、新たな問題を生む手法です。
多くの組織は「10回制限に到達して困ったとき」に安易にSPFフラット化を試みます。
最初は単純で効果的に思えるかもしれませんが、時間の経過とともに深刻な問題が現れます。

<主な問題点>

  1. サービスプロバイダー側の変更とそのメンテナンスの負担
    クラウドサービスやメール配信サービスは、送信に使うIPアドレスを頻繁に追加・削除します。
    多くの場合、こうした変更は顧客に通知されません。SPFレコードを常時確認し、手作業で更新し続ける必要があります。
    そのため、フラット化したリストを維持するには、管理者が自力で変更を追跡し続ける必要があります。
  2. 人的エラーのリスク
    長大なIPアドレスのリストを手で管理するのは非常に困難です。
    ・IPv4とIPv6が混在すると表記が複雑になりやすい
    ・数値、記号の入力ミスやピリオドの記載漏れ
    ・構文の間違い
    といったエラーが発生しやすく、それが原因でSPF認証が失敗するリスクが高まります。
  3. 複数レコード化のリスク
    IPアドレスのリストが大きくなりすぎると、1つのSPFレコードに収まらなくなることがあります。
    その場合、複数のレコードに分割し相互参照させますが、結局は再び「10回ルックアップ制限」にぶつかる可能性があります。
  4. 管理性の欠如
    膨大なIPアドレスの羅列を見ても「どのIPアドレスがどのサービスに対応しているのか」が分かりません。
    メモを残していなければ、別の管理者に引き継ぐことも困難です。

結論として、SPFフラット化は「10回制限」という1つの問題を解決する代わりに、
メンテナンス負担・信頼性低下・認証失敗リスクという大きな問題を新たに作り出し、長期的には機能しない解決策といえるのです。

5.Valimail Instant SPFという解決策

こうした課題を根本的に解決するのが、Valimailの特許技術Instant SPFです。
Instant SPFは、受信サーバーからの問い合わせに応じて、その時点で最新かつ正確なSPFレコードを自動生成して返す仕組みを採用しています。
これにより、サービスやクラウドプロバイダーがIPアドレスを追加・削除しても自動的に反映され、常に正確なSPF認証を提供します。

<特長>

  • SPFに完全準拠
    SPF規格に完全準拠しており、SPFに準拠したすべてのメール受信サーバーで処理可能です。
  • リアルタイム生成
    受信サーバーからSPFの問い合わせがあるたびに、完全に調整されたSPFレコードをミリ秒単位で自動生成して返答します。
  • 常に最新状態
    送信サービスのネットワークやIPが変更されても即座に反映。
    24時間365日、すべてのメールについて100%の精度を保証します。
  • SPFフラット化不要
    IPアドレスを静的に書き出す必要がなく、「10回ルックアップ制限」を動的に回避します。
  • Valimail Heliosとの連携
    世界中の何千もの送信サービスの設定情報を連携済み。管理者は利用サービスをリストから選択するだけで、常に正しいSPF設定を維持できます。

6.よくある質問(FAQ)

Q. SPFフラット化とは?
A. SPFレコード内の include: を展開し、参照先のIPアドレスをSPFレコードに直接列記する方法です。DNSルックアップ回数を減らす狙いがありますが、静的リストはすぐに古くなり、メンテナンス負担が増えます。

Q. なぜ一部の組織はSPFフラット化を選ぶのか?
A. SPFのDNSルックアップ制限(10回まで)を避けるためです。ただし、これは一時的な回避にすぎず、古いIPアドレスの残存やSPFレコードの誤記など新しい問題を引き起こします。

Q. DNSルックアップ制限を超えるとどうなる?
A. SPF認証が失敗し、正規のメールが拒否や隔離の対象になります。受信サーバーは「なぜ制限を超えたか」を考慮せず、単純に「失敗」と処理します。

7.まとめ

SPFフラット化は、表面的にはDNSルックアップ制限(10回まで)の回避策のように見えますが、
実際には更新負担・人的ミス・認証失敗を招くリスクが高い方法です。

ValimailのInstant SPFは、リアルタイム生成と自動更新により、この問題を根本から解決します。
DMARCを確実にエンフォースメントまで進めたい企業にとって、最も信頼できる選択肢といえるでしょう。

お問い合わせ

サイバネットシステム株式会社
製品お問い合わせ窓口

itdsales@cybernet.co.jp

メールでのお問い合わせも承っております。
販売店契約に関するお問い合わせは、こちらからお願いいたします。

お問い合わせフォームはこちら
カテゴリ別
製品別
ソリューション別