Sender Policy Framework (SPF) レコードを使用したメール配信の有効化による SN メールサーバーの許可Description会社が未知の IP アドレスからのメール配信を防止している場合や、IP アドレスに基づいてスパムをフィルタリングするサービスを使用している場合は、ServiceNow の Sender Policy Framework (SPF) レコードを使用してそれらのサービスを設定できます。ServiceNow は、なりすまし防止やスパム検出を支援する SPF レコードを提供しています。会社のメールインフラストラクチャが、後述する業界標準に沿って設定されていることを確認してください。これにより、ServiceNow インスタンスから会社のメールサービスへのメール配信が中断されることなく継続されます。 送信者ポリシーフレームワークはRFC4408の下で標準化されています。詳細については、OpenSPFのウェブサイトをご覧ください。http://www.openspf.org/FAQhttp://www.ietf.org/rfc/rfc4408.txt ServiceNow メールサーバーの IP は、インスタンスが ServiceNow 提供の送信メールに SMTP アカウントを使用している場合にのみ使用されます。インスタンスが代わりにカスタム SMTP を使用している場合は、[VPN を使用しない顧客ネットワークへの統合に使用されるソースアドレス] にリストされているノード IP が使用されます。IPアドレス情報 - アクセスと統合 一方、インスタンスからのすべての送信メールの 99.9% がその地域のメールサーバーを使用し (EMEA インスタンスは c.spf を使用します)、ServiceNow メールサーバーは相互にバックアップします。つまり、あるデータセンターで容量や接続の問題が発生した場合、メールは別の DC 経由でルーティングされます (EMEA インスタンスは一時的に b.spf または d.spf を使用します)。 これは内部または公の通知なしに行われ、単一のインスタンス/顧客に対してこれを無効にする方法はありません。お客様は、3 つすべての SPF レコードを許可リストに登録することをお勧めします。IP は頻繁に削除されるか、許可リストに追加される可能性があります。リストを調べる必要がある場合は、digコマンドを使用して結果を使用します。 dig b.spf.service-now.com dig c.spf.service-now.com dig d.spf.service-now.com 管理者が Windows を使用しているために dig コマンドにアクセスできない場合、URL http://mxtoolbox.com/spf.aspx は dig <ドメイン> TXT +short と同じ出力を提供できます。ResolutionServiceNow では、メールサーバー機能を使用して SPF レコードを自動的に取得し、SPF レコードを動的に使用するようにメールシステムを設定することを強くお勧めします。ServiceNow がインスタンスを別のデータセンターに移動した場合でも、メールサーバーは引き続きインスタンスからメールを受信できます。 SPF TXTレコードの長さに関して問題が発生した場合は、以下を確認してください。 https://repost.aws/knowledge-center/route-53-configure-long-spf-txt-records 代替ソリューション SPF レコードを動的に使用するようメールサーバーを構成できない場合は、メール管理者またはシステム管理者と協力して一連の dig ターミナルコマンドを使用し、手動で SPF レコードデータを収集して、許可リストを作成する必要があります。 必要なスキル: SPF レコード形式に関する知識掘るまたは同様のDNSツール。 警告:ServiceNow は、SPF レコード構造と返されるホストまたは IP を変更する権利を留保します。これにより、実行しなければならないコマンドに影響が出たり、時間の経過とともに許可リストが古くなり、メールの問題が発生したりする可能性があります。 このような更新が行われることはめったにありませんが、可能性がないわけではありません。定期的な手動または自動プロセスを実装し、収集した SPF データを許可リストと照合する必要があります。メールの問題を回避するため、定期的に許可リストを更新してください。 例: この例では、最初に dig コマンドを発行し、応答の構造に応じて追加のクエリを発行して、ホストと IP を特定します。 警告:これはコマンドと戻り値の一例に過ぎません。システムメール管理者と協力して初期クエリを実行し、この KB 記事を読んだときと同様に SPF レコードデータに従って IP アドレスを収集します。 現在の SPF レコード TXT レコードに対する service-now.com ドメインの初期クエリから開始します。 dig service-now.com TXT +short この KB 記事の執筆時点で、コマンドは 3 つの a: レコードを含む次のデータを返しました。 "v=spf1 a:b.spf.service-now.com a:c.spf.service-now.com a:d.spf.service-now.com" 応答内の太字の項目は、それぞれメールサーバーのグループを示します (サーバーの場所に基づいています)。 b.spf.service-now.com - カナダDCc.spf.service-now.com - 米国/欧州 DCd.spf.service-now.com - その他すべての DC service-now.com ドメインのメールサーバーの IP アドレスリストは、上記の各ドメインの DNS A レコードで利用できます。そのため、dig コマンドを使用してそれらをリストアップするには、次のように実行します。 dig A b.spf.service-now.com +short # カナダDCdig A c.spf.service-now.com +short # 米国/ヨーロッパDCdig A d.spf.service-now.com +short # 他のすべてのDCインスタンスの場所にかかわらず、許可リストで 3 つの結果をすべて使用してください。ServiceNow は、任意のデータセンターを介してメールトラフィックを再ルーティングする場合があります。 SPF クエリツール: SPF レコードをテストするためのツールは多数あります ( http://www.kitterman.com/spf/validate.html など) 「Is this SPF record valid - syntactically correct? (この SPF レコードは有効ですか、構文的に正しいですか)」セクションでは、新しい SPF レコードが構文的に正しいかどうか、および (実際に DNS に公開する前に) 10 回以上の DNS ルックアップを必要とするかどうかをテストできます。 2 つ目の代替ソリューション SPF レコードを動的に使用するようにメールサーバーを構成できず、必要なツールを使用して ServiceNow SPF レコードをクエリできない場合は、次の DNS クエリを実行し、結果の IP を使用して許可リストに ServiceNow メールサーバーの IP アドレスを静的に定義してください。ServiceNow は、将来いつでもこれらのレコードに IP アドレスを追加または削除する可能性があります。 最新の IP アドレスリストを取得するには、dig コマンドを使用します。 dig A b.spf.service-now.com +short # カナダDCdig A c.spf.service-now.com +short # 米国/ヨーロッパDCdig A d.spf.service-now.com +short # 他のすべてのDC * インスタンスの場所に関係なく、許可リスト内の 3 つのレコードのすべての IP を使用してください。ServiceNow は、可用性を維持するために、任意のデータセンター を経由してメールトラフィックを再ルーティングする場合があります。 特別なケース - ハイブリッドシンガポールのお客様のみ: ハイブリッドシンガポールのインスタンスでは、送信 SMTP アカウントは @service-now.com ではなく @sg.service-now.com に設定されている必要があります。 sg.service-now.com には別の SPF レコードがあります。 "v=spf1 a:spf.sg.service-now.com -all" 注 : これは SPF レコード service-now.com とは異なります $ ホスト spf.sg.service-now.com spf.sg.service-now.com のアドレスは149.96.220.3です spf.sg.service-now.com のアドレスは149.96.221.3です これらの IP アドレスが変更された場合、その変更は SPF レコードに反映されますが、IP が変更される可能性はほとんどありません。 注 : データセンターで変更を行った後も古い SPF レコードを使用している場合、ServiceNow は一切の責任を負いません。