Sender Policy Framework（SPF）とは何ですか？

SPFとは何ですか？RFC7208に記載されているSPFは、なりすましから組織を保護するための電子メール認証規格です。お客様のメールセキュリティに対する最大の脅威は、攻撃者がお客様のブランド名やドメインを使って偽のメッセージを送信することです。このようなフィッシングメールは、顧客がその違いに気づかないほど説得力があり、結局は詐欺の餌食になってしまうことがあります。このようなフィッシングメールは、貴社のブランドイメージとメールプロバイダーからの評判の両方にダメージを与え、貴社の実際のメールが顧客の受信箱に届く可能性を低くしてしまう可能性があります。

15日間のトライアルを開始デモを予約する

SPF（センダー・ポリシー・フレームワーク）の歴史

SPFとは何かを知るには、それが初めて導入された2000年代初頭にまで遡る必要があります。Sender Policy Framework（SPF）は、メール受信者がメールメッセージの送信元ドメインを確認できるようにする認証方法です。2000年代初頭には、電子メールを認証する方法について、いくつかの提案がありました。その中には、Hadmut Danischによる「Reverse MX」（RMX）やGordon Fecykによる「Designated Mailer Protocol」（DMP）などがあった。

しかし、この2つの提案は、Poboxの創設者であり、シンガポールを拠点とする著名な起業家であるMeng Weng Wongによって2003年に統合されたのです。その後、数年の間に、SPFをめぐって専門家やセキュリティ・エンジニアリングの勧誘が行われ、いくつかの変更が行われました。

2005年、SPFはIETF（Internet Engineering Task Force）の実験的標準として認定された。そして2006年、ついにSPFはRFC4408を仕様として公開された（実験的なものとして）。

知っていましたか？

SPFは、以前はSender Permitted From（SMTP+SPFとも呼ばれる）の頭字語だった。2004年2月、SPFは、今日私たちが親しんでいる一般的な略語で知られるようになった。Sender Policy Framework（センダー・ポリシー・フレームワーク）。

SPFの現状

歴史の話に移って、SPFの現状はどうなっているのかを確認しておきましょう。現在使われているSPFのバージョンは2.0であり、2014年のRFC7208で定義されています。現在では、Microsoft（Outlook）、Google（Gmail）、Yahoo Mail、AOL、Hotmail/Outlook Liveなど、主要なメールプロバイダーでサポートされています。

元々SPFは、メール送信者がどのサーバーからのメール送信を許可されているかを宣言することで、メールのなりすましやフィッシングを防止するために設計されました。それ以来、このプロトコルは様々な形で進化し、ほとんどすべての一般的なメールサーバーで何らかの形で実装されています。

しかし、その一方で、多くの企業で誤解されたまま使用され、その結果、誤った使い方や不十分な設定をしていることが少なくありません。そこで、PowerSPFの出番です。

SPFがもたらすもの：不正な送信者のブロック

SPFがあなたの組織にとってどのような役割を果たしているのか気になる方は、ぜひご覧ください。Sender Policy Framework（SPF）は、電子メールセキュリティの業界標準として最も早くから採用され、最も広く使われているものの1つです。SPFは、「明示的に許可された送信者のみがあなたのドメインからメールを送信できるようにし、それ以外の送信者はブロックする」というシンプルなコンセプトで運用されています。あなたのドメインにSPFを実装すると、次のようなことが起こります。

SPFレコードの発行
メールを送信することができる承認済みのIPアドレスのリストを含むSPFレコードを、お客様のDNS上で公開する必要があります。
メールサーバーの認証
受信側のメールサーバーは、お客様のドメインからのメールを見たときに、送信者のIPアドレスをお客様が登録したリストと照合します。

送信者のIPがリストの中の1つと一致すれば、認証され、宛先の受信箱に送信されます。一致しない場合、メールは認証に失敗し、サーバーによって拒否されます。

サードパーティーベンダーのSPF

サードパーティーベンダーのためのSPFとは何ですか？サードパーティのSPFを揃えるには、ドメインのレコードに、サードパーティに固有のIPアドレスまたはSPF処理用ドメインを含める必要があります。ただし、以下のような複数のSPFレコードを含めないように注意してください。同じドメインに複数のSPFレコードを複数作成しないでください。

たとえば、SuperEmails.netをメール送信者として使用していて、そのSPF処理ドメインがspf.supremails.netの場合、SPFレコードは次のようになります。

v=spf1 include:spf.superemails.net -all

私たちは、あなたをカバーしています。私たちのナレッジには、有名なサードパーティメールベンダーのリストがあり、それぞれのプロトコルの設定方法について具体的な説明が記載されています。

SPFの限界

SPFは、スパムや送信者アドレスの偽造からドメインを保護しますが、すべてが完璧というわけではありません。例えば

SPF + DKIM = DMARC
DMARCはSPFとDKIM（DomainKeys Identified Mail）の両方の技術を併用し、ドメインのなりすましに対する保護をさらに強化しています。PowerDMARCは、さらに一歩進んで、世界中のなりすまし攻撃を発見するAIベースのリアルタイム脅威モデルを備えています。
PowerDMARCによるレポートとフィードバック
SPFもDKIMも、認証に失敗したメールをドメイン所有者にフィードバックすることはありません。DMARCは、詳細なレポートを直接送信し、PowerDMARCアプリが読みやすいチャートや表に変換してくれます。この分析データを利用して、メールマーケティング戦略をその場で変更することができます。
認証されていないメールへの影響をコントロールする
DMARCは、検証に失敗したメールを受信箱に送るか、スパムメールにするか、あるいは拒否するかをドメイン所有者であるあなたが決めることができます。PowerDMARCでは、1つのボタンをクリックするだけで、DMARCポリシーを設定することができます。とても簡単ですね。

最後の2つの制限は、私たちのダイナミックな SPFフラット化ツールを使うことで簡単に回避できます。

PowerDMARCでSPFをより良くする

SPF単体でも効果はありますが、サイバー犯罪者はIPアドレスの検証段階を回避する方法を考え出しました。しかし、SPFの技術は、DMARCに組み込むことで再び意味を持つようになります。このようにすることで、どのようなメリットがあるのでしょうか？お教えしましょう。

SPF + DKIM = DMARC
DMARCはSPFとDKIM（DomainKeys Identified Mail）の両方の技術を併用し、ドメインのなりすましに対する保護をさらに強化しています。PowerDMARCは、さらに一歩進んで、世界中のなりすまし攻撃を発見するAIベースのリアルタイム脅威モデルを備えています。
PowerDMARCによるレポートとフィードバック
SPFもDKIMも、認証に失敗したメールをドメイン所有者にフィードバックすることはありません。DMARCは、詳細なレポートを直接送信し、PowerDMARCアプリが読みやすいチャートや表に変換してくれます。この分析データを利用して、メールマーケティング戦略をその場で変更することができます。
認証されていないメールへの影響をコントロールする
DMARCは、検証に失敗したメールを受信箱に送るか、スパムメールにするか、あるいは拒否するかをドメイン所有者であるあなたが決めることができます。PowerDMARCでは、1つのボタンをクリックするだけで、DMARCポリシーを設定することができます。とても簡単ですね。