SPFメールとは？

SPFのおさらい

2024年2月10日
著者: Maitham Al Lawati
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 Why Should You Avoid SPF PTR? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

SPF（Sender Policy Framework）は、電子メールのなりすましを検出し、特定のドメインに代わってメッセージを送信する無許可の送信者を防止するための電子メール認証プロトコルです。
SPFメールレコードは、ドメインの検証済み送信者のリストを維持し、受信サーバがメールを認証するために公開され検索できるようにします。
これらのレコードは、RFC7208に記載されています。

メールにおけるSPFの意味

SPFはSender Policy Frameworkの略であり、2000年代初頭に初めて導入されました。
当初、SPFはSender Permitted From（またはSMTP+SPF）という略語で知られていましたが、2004年2月に現在のSender Policy Frameworkという一般的な略語として知られるようになりました。

SPFの動作原理

メールにおけるSPFは、ドメイン所有者が自分たちの代わりにメールを送信することが許可されている認証済みのメールサーバ（IPアドレスやホスト名）のリストを公開することによって機能します。
以下はSPFの動作ステップです。

1. SPFレコードの公開

ドメイン所有者は、自分たちのドメインのDNSにSPFレコードを公開します。
このレコードには、そのドメインに対してメールを送信することが許可されているメールサーバが指定されています。

2. メールの受信

メールが送信されると、送信者のドメインに関する情報が含まれています。

3. 送信者のドメインの抽出

受信者のメールサーバは、送信者のメールアドレスからドメインを抽出します。

4. DNSルックアップの実行

受信者のメールサーバは、送信者のドメインのSPFレコードを取得するためにDNSルックアップを実行します。

5. SPF認証の実行

SPFレコードには、そのドメインに対してメールを送信することが許可されているサーバを定義するポリシーが含まれています。
受信者のメールサーバは、メールを送信したサーバのIPアドレスやホスト名をSPFレコードに指定された認証済みサーバリストと比較します。

6. 認証結果の決定

SPFチェックに基づいて、受信者のメールサーバは、メールが認証済みサーバから送信されたかどうかを判断します。

7. 結果に基づくアクションの実行

受信者のメールサーバは、SPFチェックの結果に基づいてアクションを実行します。メールを受け入れるか、スパムとしてマークするかなどです。

SPFメールの使用方法

SPFメール標準を使用するには、その仕組みを正しく理解し、ドメインおよびメールサービスプロバイダーのSPFサポートを確認する必要があります。
その後、SPFレコードを作成し、DNSに公開し、理想的にはSPF DNS実装をDKIMやDMARCと組み合わせてなりすましを防ぐことができます。

メールにおけるSender Policy Frameworkの重要性

SPFは、ドメインから送信されるメールが本物であり、サイバー攻撃者によって作成された偽の誘いではないことを保証するために重要です。
SPFの主な利点は以下の通りです。

メールのなりすましの削減

SPFは、送信サーバの真正性を検証することで、メールのなりすましと戦います。

メールの配信率の向上

SPFを実装すると、メールの配信率が向上します。
受信サーバがSPFチェックを実行し、送信サーバが認証されていることが判明すると、メールをスパムとしてマークするのではなく、受け入れる可能性が高くなります。

誤判定の削減

認証済みのメールサーバを正確に識別することで、SPFは正当なメールがスパムとしてマークされる可能性を減らします。
これにより、重要なメールが意図された受信者の受信トレイに確実に届くようになります。

送信者の評判の向上

SPFは、送信者の評判を築き、維持する上で役割を果たします。
SPFを実装することで、ドメイン所有者はメールのセキュリティと認証に対するコミットメントを示すことができます。

フィッシングとスパムの軽減

SPFは、フィッシング攻撃やスパムキャンペーンの効果を減らすのに役立ちます。
SPFは、悪意のあるアクターが信頼できるドメインからの詐欺メールを送信することをより困難にします。

メール標準への準拠

多くのメールサービスプロバイダーや組織は、メールポリシーの一環としてSPFの使用を奨励または要求しています。

SPFポリシーの有効化方法

SPFレコードを作成するには、以下の一般的な手順に従う必要があります。

1. 認証済みメールサーバの決定

ドメインに代わってメールを送信することが許可されているメールサーバのIPアドレスやホスト名を特定します。
これには、自分の組織のメールサーバやサードパーティのメールサービスプロバイダーが含まれることがあります。

2. SPFポリシーの定義

SPFポリシーを定義します。
これには、どのサーバがドメインに対してメールを送信することが許可されているかを指定することが含まれます。
特定のサーバのみを許可するか、IPアドレスやホスト名に基づいてサーバの範囲を含めるかを選択できます。

3. SPFフォーマットの決定

SPFレコードは、ドメインのDNSにTXTレコードとして公開されます。
レコードは特定のフォーマットで必要な情報を含む必要があります。

4. SPFレコードの公開

ドメインのDNS管理システムにアクセスします。
通常は、ドメインレジストラやホスティングプロバイダーによって提供されます。
ドメインのDNS設定を見つけ、新しいTXTレコードを追加してSPFレコードを指定します。
ホスト名（通常はドメイン自体の「@」）を指定し、値フィールドにSPFレコードを貼り付けます。

SPFレコードの例

DNSのSPFレコードTXTは以下のようになります。

v=spf1 ip4:192.168.0.0/16 include:mailtrap.example.com ~all

このレコードは、192.168.0.0/16のサーバを有効な送信者として定義していますが、これらのメッセージがどこに配信されるかは指定していません。
ローカルに配信される場合もあれば、インターネット上の他のサーバに配信される場合もあります。
これは、メールインフラストラクチャ内の他のサーバがどのように構成されているかによります（後で詳しく説明します）。

SPFの確認方法

SPFレコードを追加した後、変更がDNSシステム全体に反映されるまでに時間がかかることがあります。
SPFレコードチェックツールを使用して、レコードの正確性を確認し、DNSによって認識されていることを確認します。

SPFレコードは、メールインフラストラクチャの特定の要件に応じて複雑になる可能性があることに注意が必要です。
構文に不安がある場合や高度な設定が必要な場合は、システム管理者やITサポートに相談して、正しくSPFレコードを作成することをお勧めします。

サードパーティベンダー向けのSPF

サードパーティベンダー向けのSPFとは何でしょう？
サードパーティをSPFに合わせるには、ドメインのレコードに彼ら専用のIPアドレスやSPF処理ドメインを含める必要があります。
しかし、同じドメインに複数のSPFレコードを含めないように注意してください！

たとえば、SuperEmails.netをメール送信者として使用しており、彼らのSPF処理ドメインがspf.superemails.netである場合、SPFレコードは以下のようになります。

v=spf1 include:spf.superemails.net -all

私たちはあなたをサポートします。
当社のナレッジはは、各サードパーティのメールベンダーに対するプロトコルの設定方法に関する特定の指示について含まれています。

SPFの制限事項は何ですか？

SPFはスパムや偽造された送信者アドレスからドメインを保護しますが、完璧ではありません。
理由は以下の通りです。

• SPFは、メール転送時に問題に直面することがあります。
  メールが一つのサーバから別のサーバに転送されると、元のSPF認証が失敗する可能性があります。
  これは、転送サーバが送信者のドメインのSPFレコードにリストされていないためです。
• 認証済みメールサーバとサードパーティサービスの数が増えると、SPFレコードの管理と維持の複雑さが増します。
• SPFは、送信サーバの真正性を検証することに焦点を当てており、DKIMのような暗号化やコンテンツの検証は提供しません。
• SPFは、メールの特定の送信者の可視性を提供しません。送信サーバの真正性のみを検証します。
  したがって、SPFをDMARCと組み合わせることが重要です。

PowerDMARCでSPFをさらに強化

SPFはそれ自体で依然として効果的ですが、サイバー犯罪者はIPアドレス検証フェーズを回避する方法を見つけ出しました。
しかし、SPF技術はDMARCに組み込まれることで再び関連性を持ちます。

SPFをDKIMとDMARCと組み合わせる

DMARCをSPFおよびDKIMの両方に対して整合させることに加えて、PowerDMARCはAIベースのリアルタイム脅威モデリングを導入し、世界中のなりすまし攻撃を明らかにします。

レポートとフィードバック

SPFもDKIMも、認証に失敗したメールに関するフィードバックをドメイン所有者に提供しません。
DMARCは詳細なDMARCレポートを直接提供し、PowerDMARCアプリはそれを読みやすいチャートや表に変換します。
分析データを使用して、メールマーケティング戦略を即座に変更することができます。

認証されていないメールに対するアクションの制御

DMARCは、認証に失敗したメールが受信トレイに入るか、スパムとしてマークされるか、拒否されるかを決定することができます。
PowerDMARCを使用すると、DMARCポリシーを設定するためにボタンを1回クリックするだけで済みます。
それは非常に簡単です。