SPF (Sender Policy Framework)とは。メールの安全性を確保する方法を解説!

皆さんも迷惑メールなど、よく受け取るのではないでしょうか。

最近は、迷惑メール、なりすましメールなど、セキュリティに関するメールの問題が多くなっています。

今回は、メール配信設定において重要な項目である、不正メール対策のために開発された送信ドメイン認証技術SPF」について解説します。

SPFの基本的な仕組みや実際のレコードの書き方、さらに関連する認証システムであるDKIMとの組み合わせ方など、メールセキュリティの強化について解説します。

メールセキュリティについてお困りの方、セキュリティを強化したい方はぜひ参考にしてみてください。

\2週間無料トライアル実施中/
万全のセキュリティ管理体制・WAF導入可能VPS!

Windows 
VPSを無料で試す

WAF導入済み共用サーバー
共用サーバーを無料で試す

SPFレコードとは

まず、SPFレコードはどのようなものか、そしてその役割について見ていきましょう。

SPFの概要

SPF(Sender Policy Framework)は、メールの送信ドメインが正当なものであることを証明するための認証技術です。

SPFを使用することでスパムメールやフィッシング詐欺のメールなど、なりすましメールに対する有効な対策が可能です。

このSPFでは、特定のSPFレコードをDNSに設定することで利用できます。

SPFの役割

SPFが果たす役割や、導入による効果には以下のものがあります。

    • スパム対策
    • フィッシングメールの防止
    • 対外的なドメインの信頼性の向上

また後ほど解説しますが、DKIMやDMARCと併用することで、さらに品質の高いメールセキュリティを実現することができるため、多くの場合は併用されています。

送信ドメイン認証の重要性

SPFレコードの概要や役割についてみてきました。

そして送信ドメイン認証で大切な役割を果たしていることも解説しました。

では、なぜ送信ドメイン認証が必要となってきたのでしょうか。

ここでは、送信ドメイン認証が重要となってきた背景について解説します。

送信ドメイン認証が重要になってきた背景

なぜ、今はSPFなどの送信ドメイン認証が重要と言われるようになってきたのでしょうか。

それには、以下のようないくつかの理由が挙げられます。

スパムメールやフィッシングメールなどの増加

なりすましメールなどでスパムを送ったり、フィッシング詐欺などで不正に個人情報を取得したりする事例が急増している。

ドメインの信頼性の確保

不正メールなどで自社ドメインが悪用されるとブランドイメージなどに影響するために、対策が必要となった。

法規制などの強化

各国でプライバシー対策など法制度が強化されており、その一環としてメールのなりすまし対策などを進める必要が出てきた。

こうしたさまざまな背景からメールのセキュリティを高める必要が出てきたため、SPFなどをはじめとする対策が必要となってきました。

対策としての送信ドメイン認証の有効性と現状

先ほど解説したような背景から現在では多くの企業やSaaSによるメールサービスなどもSPFなどの送信ドメイン認証を採用しています。

たとえば、Gmailなどではメール送信だけでなく、受信についてもSPFやDKIMなど適切ななりすまし対策などを行っていない場合、メールを受け付けないなどといった例もあります。

\ 2週間無料でお試しできます! /
Windows VPSを使ってみる

SPFの仕組みとは

解説したように、SPFは送信ドメイン認証の役割を果たしています。

しかし、どのようにしてその役割を果たしているのでしょうか。

ここでは、DNSとの関連も含めて解説します。

SPFとDNS

SPFの実装を行うにはDNSが必須です。

DNSにSPFレコードの設定を行うことで、送信ドメイン認証が使えるようになっています

具体的なSPFレコードの構造や記載については後ほど解説します。

SPFレコードによる送信ドメイン認証の仕組み

では、実際のメール送信の際には、SPFレコードはどのように送信ドメイン認証の役割を果たしているのでしょうか。

SPFによる送信ドメイン認証の仕組みを使ってメール送信される場合は、以下のような流れで行われます。

    1. クライアントよるメール送信
    2. 受信側のメールサーバーが送信元ドメインのDNSからSPFレコードを取得する
    3. SPFによる受信側メールサーバーでは、SPFレコードの情報と実際の送信元IPアドレスを照合
    4. 検証結果によってメール処理を決める
    5. メールが許可されると受信トレイに配送、拒否されるとエラーとなる

概ねSPFレコードによるメール送信時のドメイン認証の仕組みは以上のようになっています。

\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =

SPFレコードの書き方

さて、実際にSPFレコードを使って送信ドメインを認証するには、DNSにレコードを追加する必要があります。

では、具体的にどんなレコードを追加すれば良いのでしょうか。

ここでは、SPFレコードの書き方を解説します。

SPFレコードの基本構造

SPFレコードはDNSにTXTレコードとして追加されます。

そして、基本構成は以下のようになっています。

v=spf1 [mechanism] [qualifier] [ip4] [ip6] [include] [all]

各要素は、以下のようになっています。

    • v=spf1: SPFバージョンを指定します。
    • mechanism: 送信元IPアドレスの検証方法を指定します。
    • qualifier: 検証結果に対するアクションを指定します。デフォルトは +(許可)です。
    • ip4/ip6: 許可されたIPv4/IPv6アドレスを指定します。
    • include: 他のドメインのSPFレコードを参照します。
    • all: 検証に失敗した場合のデフォルトアクションを指定します。
      all メカニズムは、クオリファイアと組み合わせて使用され、指定された条件に一致しないすべての送信元に対する最終的なポリシーを定義します。

-all:他のすべての送信元を拒否(ハードフェイル)。
指定された条件に一致しないすべての送信元は拒否される。
~all:他のすべての送信元をソフトフェイル。
指定された条件に一致しない送信元からのメールは警告として扱われるが、拒否はされない。
+all:すべての送信元を許可。
通常使用されないが、すべてのメール送信を許可する場合に使用される。
?all:条件に一致しない送信元に対して、特定のアクションを取らないことを示します。(ニュートラル)

例えば、以下のようなSPFレコードでは、192.0.2.0/24 のIPv4アドレス範囲と example.com ドメインのメールサーバーからの送信を許可し、それ以外の送信元はすべて拒否します。

v=spf1 ip4:192.0.2.0/24 include:example.com -all

\ 2週間無料でお試しできます! /
Windows VPSを使ってみる

SPFと迷惑メール対策

SPFを追加する目的は迷惑メールやなりすましメールなどへの対策です。

ここでは、SPFによる対策やその他の方法を組み合わせることによる対策について考えてみましょう。

SPFと迷惑メール

SPFについては、ここまで解説してきたようにDNSにSPFレコードを追加することによって、「スパム防止」「なりすまし対策」「フィッシング詐欺対策」などに有効な送信ドメイン認証が使えるようになります。

SPFとDKIM

DKIMDomainKeys Identified Mailの略で、メールが改竄されていないことを確認するための技術です。

メールに電子署名を追加して、受信者が署名を確認することで正当性が確認できるようになっています。

具体的には以下の流れです。

    • メール送信時に送信サーバーがメールヘッダに電子署名を追加
    • 受信サーバーは、送信ドメインのDNSから公開鍵を受け取って署名を検証
    • 署名が有効であれば改竄されていないと判断

SPFとDMARC

今度はDMARCについて見てみましょう。

DMARCは、メールの認証結果に基づいてどのように処理をするのかを決めるポリシーを設定する技術です。

例えば、メール受信時に認証に失敗したメールに、以下のように設定します。

    • none:認証に失敗しても特に処置を取らず、レポートのみを送信。
    • quarantine:認証に失敗したメールを隔離(スパムフォルダなど)。
    • reject:認証に失敗したメールを拒否。

これらのいずれかの処理を選択して、認証で拒否されたメールを最終的にどのように処理をするかを決めています。

SPFとDKIM、DMARCを組み合わせた対策

ここまで解説してきたようにSPFは、DKIMやDMARCをうまく組み合わせることで、さらに強力なセキュリティ対策を実施することができます。

これらを組み合わせることで、スパムやフィッシング詐欺からドメインとユーザーを守ることができます

では、具体的にどのようにするのでしょうか。

<SPF>

・DNSにSPFレコードを追加

<DKIM>

・DKIMキーを生成し、公開鍵をDKIMレコードとしてDNSに追加

<DMARC>

・DNSにポリシー等を含むDMARCレコードを追加

このように見ていくと、DNSはSPF、DKIM、DMARCのレコードを格納する場所であり、メールの送信元の信頼性を確認するために不可欠であることがわかります。

そして、SPF、DKIM、DMARCをDNSに正しく設定することで、以下のようなメリットが得られます。

    • より多層的な防御

SPFが送信元IPアドレスの正当性を確認し、DKIMがメール内容の改ざんを防止、DMARCがこれらの認証結果に基づくポリシーを適用

    • メールの信頼性の向上と処理の可視化

メール自体の正当性などの確認による信頼性の向上に加え、DMARCのレポート機能により、ドメイン所有者は認証失敗の原因を特定し、問題の迅速な解決につながる

    • ユーザーが被害を受けることを防ぐ

フィッシングやなりすましメールのリスクを低減し、ユーザーが詐欺に遭うリスクを防ぐ。

このようにSPFはDKIMやDMARCと組みわせてこそ、効果を発揮すると言えます。

\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =

まとめ

SPF、DKIM、DMARCの正しい設定は、メールセキュリティを強化し、信頼性を向上させるとともに、ユーザーを詐欺やなりすましのリスクから守るために非常に重要です。

今回は、こうしたメールセキュリティの問題に対して有効な対策として採用が拡大しているSPFレコードによる送信ドメイン認証について解説しました。

SPFは、送信されてきたメールが正当なものであり、不正なものではないと認証する重要な技術です。

そして、この技術は、DKIMやDMARCといった技術と組み合わせて使うことでより高いセキュリティと有効的な対策となります

送信ドメイン認証は、メールセキュリティの非常に重要な要素であり、SPF、DKIM、DMARCを組み合わせて使うことで最大の効果が得られます

メールのセキュリティ向上を検討する際には、こうしたことをぜひ参考にしてみてください。

マネージドサービスはWinserverにお任せ

サーバー運用のご担当者様の中には、このようなお悩みをお持ちの方もいるのではないでしょうか。

    • 社内にサーバー専門のエンジニアがいない…
    • セキュリティ対策に不安がある…

Winserverフルマネージドサービスは、このようなサーバー運用のお悩みを解決します。

サーバーの初期構築・運用・監視など、お客様のお悩みに合わせてWinserverの専門スタッフが代行します。

▼フルマネージドサービスについてはこちら

「何を依頼できるのか詳しく聞きたいという方は、無料オンライン相談会をご活用ください。

Windows専門のホスティングサービスを20年以上提供してきた実績をもとに、お客様のお悩みをお伺いし、丁寧にサポートさせていただきます。

▼無料オンライン相談会についてはこちらWinserverオンライン相談会実施中

Winserver紹介資料

Winserver紹介資料

Windows Server専門のホスティングサービス「Winserver(ウィンサーバー)」の基本資料です。
各サービスの概要、特徴をまとめています。

Winserver紹介資料

Winserver紹介資料

Windows Server専門のホスティングサービス「Winserver(ウィンサーバー)」の基本資料です。
各サービスの概要、特徴をまとめています。

資料をダウンロードする

NVIDIA製GPU搭載
高性能・高火力の専用サーバー!
「Tesla V100」「RTX-5000」「RTX-4000」

▶ プランを見る

関連記事

サーバーの基礎知識

TOP
CLOSE