メニュー
Amazon Simple Email Service
開発者ガイド (API Version 2010-12-01)

Amazon SES における SPF を使った E メールの認証

Sender Policy Framework (SPF) は、RFC 7208 に定義されているメール検証標準であり、メールスプーフィングを防止するために設計されています。SPF を使用すると、ドメインの所有者は、そのドメインへの E メール送信元として許可するメールサーバーを指定できます。SPF への準拠を示すために、ドメイン所有者は、許可されているメールサーバーのリストを DNS レコードとしてドメインの DNS サーバーに発行します。受信側のメールサーバーは、MAIL FROM アドレスにドメインが含まれている E メールを受信すると、ドメインの DNS レコードを調べて、送信元メールサーバーを許可されているメールサーバーのリストと比較し、その結果に従って E メールを処理します。

SPF レコードは ISP に対し、ドメインへの E メール送信を Amazon SES に許可したことを示します。Amazon SES を使用する場合、SPF レコードを公開すべきかどうかは、E メールが受信側のメールサーバーによる SPF チェックに合格すればよいのか、SPF に基づく DMARC (Domain-based Message Authentication, Reporting and Conformance) 認証に合格するために必要な追加要件も満たす必要があるのかによって決まります。DKIM を使用して DMARC 検証を実施することもできますが、ベストプラクティスでは、配信可能性を最大限に高めるために、DKIM と SPF の両方を使用します。

  • SPF チェックに合格するには – Amazon SES を使用する場合、SPF チェックに合格するためのセットアップが 2 つあります。1 つ目のセットアップは、Amazon SES のデフォルトの MAIL FROM ドメインを使用し、SPF レコードをまったく公開しないことです。Amazon SES のデフォルトでは独自の MAIL FROM ドメインを使用して E メールが送信されるため、このセットアップを使用すると SPF チェックに合格できます。この場合、SPF チェックに合格するのは、デフォルトの MAIL FROM ドメインが amazonses.com (または、そのサブドメイン) であり送信元メール サーバーが Amazon SES であるためです。

    SPF チェックに合格できるもう 1 つのセットアップは、独自の MAIL FROM ドメインの使用を Amazon SES に設定することです。この場合は、MAIL FROM ドメインと送信元メールサーバー (Amazon SES) が異なるため、SPF レコードの公開が必要になります。カスタムの MAIL FROM ドメインを使用して E メールを送信するためのドメイン設定については、「カスタムの MAIL FROM ドメインを使用する」を参照してください。

  • SPF に基づいて DMARC 検証に合格するには – SPF に基づいて DMARC 検証に成功するには、カスタムの MAIL FROM ドメインをセットアップして SPF レコードを公開する必要があります。DMARC ポリシーのアラインメントモードは、デフォルトの relaxed にする必要があります。DMARC ポリシーの詳細については、https://dmarc.org/ を参照してください。

SPF レコードの追加

TXT レコードをドメインの DNS 設定に追加する手順は、DNS サービスの提供元によって異なりますが、一般的な手順については、「Amazon SES のドメイン検証 TXT レコード」の「ドメインの DNS サーバーに TXT レコードを追加する」を参照してください。SPF レコードの詳細については、http://www.openspf.net および RFC 7208 を参照してください。

新しい SPF レコードの追加

カスタムの MAIL FROM ドメインに既存の SPF レコードがない場合は、次の値を使用して TXT レコードを公開します。レコード名は、DNS サービスによって空白または @ になります。

重要

例に示されているように "-all" を使用した場合は、SPF レコードに登録されていない IP アドレスからの E メールが ISP によってブロックされる可能性があります。このため、SPF レコードには、メール送信に使用するすべての IP アドレスを含めておく必要があります。デバッグ手段として、"~all" を使用することもできます。ISP は通常、"~all" が使用されている場合、SPF レコードに登録されていない IP アドレスからの E メールを受け入れますが、フラグが設定されている場合があります。配信可能性を最大限に高めるために、"-all" を使用し、IP アドレスごとにレコードを追加してください。複数の IP アドレスを許可する方法については、http://www.openspf.org/SPF_Record_Syntax を参照してください。

Copy
"v=spf1 include:amazonses.com -all"

既存の SPF レコードへの追加

ドメインに SPF レコードが既に存在する場合は、次の SPF メカニズムを既存のレコードに追加する必要があります。

Copy
include:amazonses.com

このページの内容: