SPF

SPF（Sender Policy Framework）は RFC 7208 で定義された DNS ベースのメール認証標準です。送信ドメインの所有者は、そのドメインを「from」としてメール送信を許可された IP アドレスやサードパーティサービスを列挙する 1 つの TXT レコードを公開します。受信側のメールサーバーは @yourcompany.com を名乗るメッセージを受け取ると、yourcompany.com の SPF レコードを照会し、メッセージが列挙された IP のいずれかから発信されたかを検証します。一致すれば SPF パス、しなければ SPF フェイルとなります。

TXT レコードは v=spf1 で始まり、「all」修飾子で終わります。

v=spf1 include:amazonses.com -all

主なメカニズム:

• include:domain — 他ドメインの SPF を再帰的にインクルード（ESP 用）。
• ip4:1.2.3.4 / ip6:::1 — IP の明示的許可。
• a、mx — ドメインの A または MX レコードの IP を許可。
• -all hard-fail（拒否）、~all soft-fail（疑わしいとマーク）、?all neutral。

SPF は 1 回の評価あたり再帰的な DNS lookup の総数を 10 回に制限しています（RFC 7208 §4.6.4）。各 include:、a、mx、exists:、redirect= が 1 回を消費し、ネストされた include は累積カウントされます。サードパーティサービスを多重スタックすると permerror が発生し、多くの受信側はこれを失敗として扱います。ip4: と ip6: メカニズムは lookup コスト 0 なので、カウントが 7-8 を超えてきたら、古い include を明示的な IP range に展開してまとめてください。

AcelleMail は SPF を生成・署名しません — それは運用者側の DNS ゾーンの責務です。標準的なセットアップは次のとおりです: 送信ベンダーを選び（/pricing ページでは Amazon SES を推奨ペアリングとして紹介）、そのベンダーの送信ドメインをインクルードした SPF レコード（SES なら include:amazonses.com）を公開し、AcelleMail の送信サーバーを同じベンダーの認証情報に向けます。これで SPF チェーンが閉じます。詳細な手順とトラブルシューティングは 到達率 pillar ガイドに掲載しています。