MailData

御社のSPFは制限を超えてませんか?

DMARC VS SPF

SPFの限界を理解する

2021年12月11日
著者: Syuzanna Papazyan
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARC Vs SPFの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCとSPFの論争についていけないという方のために、DMARCSPFについて理解し、それがどのように役立つかを説明します。
メール認証に慣れていない方は、DMARCやSPFといった言葉を目にしたことがあるかもしれませんが、どちらが自分に合っているかを判断するために、これらの言葉をよく理解しておきましょう。

SPF(Sender Policy Framework)は、御社の代わりにお客様にメールを送信することを許可されたIPアドレスのリストをキャッシュすることができます。(RFC4408)
一方、DMARCは、認証に失敗したメールに対するポリシーを指定し、ドメイン所有者が実装されているセキュリティプロトコルの厳格さ管理するのに役立ちます。
そうは言っても、DMARCとSPFの比較を詳しく説明しましょう。

SPFは展開済み、それでもDMARCも必要か?

SPFは、ドメイン所有者に、配送の失敗やなりすましの試みのレポートを送るメカニズムを提供していません。
ここで、DMARCの出番となります。
DMARCレポートを有効にすると、SPF認証の結果に関する通知を受け取ることができます。

これには、失敗した配信やなりすましの試みが含まれますが、これらに限定されません。
これは、ドメインにSPFしか導入していない場合でも、メールセキュリティスイートには欠かせない重要な機能です。

ドメインの監視は、メールのパフォーマンスに関する情報を処理し、メールマーケティングキャンペーンの成功率を測定するのに役立ちます。
また、攻撃への迅速な対応や、疑わしい送信者アドレスのブラックリスト化にも役立ちます。

DKIM無しにDMARCを展開できるか?

はい、DNSにDKIMレコードが存在しなくても、DMARCレコードを公開することは可能です。
これは、EメールがDMARCに準拠しているとみなされるためには、SPFまたはDKIM認証のいずれかの試験をパスする必要があり、両方ではないからです。
DKIMレコードが存在しない場合、受信側のMTAはメッセージの信憑性を判断するSPFアライメントのみをチェックし、DKIMは全てのメッセージに対して自動的に失敗となります。

しかし、これは理想的な状況ではありません。
その理由を探ってみましょう。

転送メールの場合、メッセージは受信者の受信箱に届く前に、中間のサーバを通過します。
このサーバは、あなたのドメインのSPFレコードに含まれていない可能性のある別のIPアドレスを持っています。
そのため、転送されたメールは受信者側でSPFの検証が失敗します。

DKIMレコードを持っていない場合、SPFが失敗すると、本質的にDMARCが失敗することになります。
拒否するように設定されたポリシーでは、メーリングリストを介して送信された正当なメールは、受信者に全く届かないことになります。
だからこそ、SPFとDKIMの両方をドメインに実装し、メールを両方のプロトコルに合わせることでDMARCに完全に準拠させることが、スムーズな配信を保証するためのより良い方法なのです。

DMARC VS SPF: まとめ

DMARC対SPFの議論をまとめると、まずSPF用のTXTレコードとDMARC用のレコードを公開し、集約レポートを可能にしつつ、ポリシーを「none」にしておくことをお勧めします。
こうすることで、転送されたり、メーリングリストで送信されたりするメールの量を把握することができます。
Noneポリシーは、メールの配信性に影響を与えず、ドメインを効果的に監視することができます。

しかし、差し迫ったフィッシング攻撃やなりすましに対する防御力を高めるためには、DMARCのポリシー(p=reject/quarantine)をより強化する必要があります。
SPFを導入するだけでは、メール詐欺に対する防御にはならず、DMARCポリシーが必須となります。

DMARCソフトウェアソリューションのメリット

専門家のアドバイスを得て、今日のメール認証基準を最大限に活用するために、PowerDMARCの監査機能の使用をお勧めします。
これは以下のようなことに役立つでしょう。