【えすぴーえふ】

SPF(メール認証) とは?

公開:
💡 差出人の住所が本物か郵便局に確認するしくみ
📌 このページのポイント
SPFによるメール送信元の検証 正規の送信者 IP: 203.0.113.1 なりすまし IP: 198.51.100.9 DNSサーバー SPFレコード保持 v=spf1 ip4:203.0.113.0/24 -all 受信サーバー SPFを照合 PASS(許可) FAIL(拒否) DNS照合 受信サーバーがDNSのSPFレコードと送信元IPを照合し 許可されていないIPからのメールをブロックする
SPFによるメール送信元の検証フロー
ひよこ ひよこ
SPFってメールの何を守ってくれるの?
ペンギン先生 ペンギン先生
メールの送信元が本物かどうかを確認するしくみだよ。たとえば「example.com」からのメールが届いたとき、本当にexample.comが許可したサーバーから送られたかDNSで確認するんだ
ひよこ ひよこ
どうやって確認するの?
ペンギン先生 ペンギン先生
手紙にたとえると分かりやすいよ。ドメインの持ち主が「うちの手紙を出していいのはこの郵便局だけです」とDNSに登録しておく。受け取り側は差出人の住所を見て、本当にその郵便局から来たか確認する。違ったら怪しいメールだと判断できるんだ
ひよこ ひよこ
SPFだけで完璧に防げるの?
ペンギン先生 ペンギン先生
実はSPFだけだと転送メールで誤判定が起きやすいんだ。だからメール本文の改ざんを検知するDKIMと、SPF・DKIMの結果に基づいてポリシーを決めるDMARCを組み合わせるのが今の標準だよ
ひよこ ひよこ
設定しないとどうなるの?
ペンギン先生 ペンギン先生
2024年からGmailが送信者ガイドラインを厳しくして、SPF未設定のドメインからのメールは迷惑メール扱いされやすくなったよ。ビジネスメールを送るなら、SPF・DKIMDMARCの3点セットはもう必須と思っていいね
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
SPFって出てきたら「メールの送信元IPが本物かDNSで確認するしくみ」と思えればだいたいOK!
📖 おまけ:英語の意味
「Sender Policy Framework」 = 送信者ポリシーフレームワーク
💬 2003年ごろに提案されて2014年にRFC 7208として標準化されたよ。メールのFromアドレスを詐称する「なりすまし」を防ぐために生まれた技術だね
← 用語集にもどる