皆さんも迷惑メールなど、よく受け取るのではないでしょうか。
最近は、迷惑メール、なりすましメールなど、セキュリティに関するメールの問題が多くなっています。
今回は、メール配信設定において重要な項目である、不正メール対策のために開発された送信ドメイン認証技術「SPF」について解説します。
SPFの基本的な仕組みや実際のレコードの書き方、さらに関連する認証システムであるDKIMとの組み合わせ方など、メールセキュリティの強化について解説します。
メールセキュリティについてお困りの方、セキュリティを強化したい方はぜひ参考にしてみてください。
\2週間無料トライアル実施中/
万全のセキュリティ管理体制・WAF導入可能なVPS!
Windows
VPSを無料で試す
WAF導入済みの共用サーバー!
共用サーバーを無料で試す
目次
SPFレコードとは
まず、SPFレコードはどのようなものか、そしてその役割について見ていきましょう。
SPFの概要
SPF(Sender Policy Framework)は、メールの送信ドメインが正当なものであることを証明するための認証技術です。
SPFを使用することでスパムメールやフィッシング詐欺のメールなど、なりすましメールに対する有効な対策が可能です。
このSPFでは、特定のSPFレコードをDNSに設定することで利用できます。
SPFの役割
SPFが果たす役割や、導入による効果には以下のものがあります。
- スパム対策
- フィッシングメールの防止
- 対外的なドメインの信頼性の向上
また後ほど解説しますが、DKIMやDMARCと併用することで、さらに品質の高いメールセキュリティを実現することができるため、多くの場合は併用されています。
送信ドメイン認証の重要性
SPFレコードの概要や役割についてみてきました。
そして送信ドメイン認証で大切な役割を果たしていることも解説しました。
では、なぜ送信ドメイン認証が必要となってきたのでしょうか。
ここでは、送信ドメイン認証が重要となってきた背景について解説します。
送信ドメイン認証が重要になってきた背景
なぜ、今はSPFなどの送信ドメイン認証が重要と言われるようになってきたのでしょうか。
それには、以下のようないくつかの理由が挙げられます。
スパムメールやフィッシングメールなどの増加
なりすましメールなどでスパムを送ったり、フィッシング詐欺などで不正に個人情報を取得したりする事例が急増している。
2021.02.04
フィッシング詐欺とは。悪質かつ狡猾な手口と防御策について徹底解説
サイバー攻撃の一つであるフィッシング詐欺。私たちの買い物の形態が大きく変わり、「実店舗からインターネット上のオンラインショッ...
ドメインの信頼性の確保
不正メールなどで自社ドメインが悪用されるとブランドイメージなどに影響するために、対策が必要となった。
法規制などの強化
各国でプライバシー対策など法制度が強化されており、その一環としてメールのなりすまし対策などを進める必要が出てきた。
こうしたさまざまな背景からメールのセキュリティを高める必要が出てきたため、SPFなどをはじめとする対策が必要となってきました。
対策としての送信ドメイン認証の有効性と現状
先ほど解説したような背景から現在では多くの企業やSaaSによるメールサービスなどもSPFなどの送信ドメイン認証を採用しています。
たとえば、Gmailなどではメール送信だけでなく、受信についてもSPFやDKIMなど適切ななりすまし対策などを行っていない場合、メールを受け付けないなどといった例もあります。
\ 2週間無料でお試しできます! /
Windows VPSを使ってみる
SPFの仕組みとは
解説したように、SPFは送信ドメイン認証の役割を果たしています。
しかし、どのようにしてその役割を果たしているのでしょうか。
ここでは、DNSとの関連も含めて解説します。
SPFとDNS
SPFの実装を行うにはDNSが必須です。
DNSにSPFレコードの設定を行うことで、送信ドメイン認証が使えるようになっています。
具体的なSPFレコードの構造や記載については後ほど解説します。
SPFレコードによる送信ドメイン認証の仕組み
では、実際のメール送信の際には、SPFレコードはどのように送信ドメイン認証の役割を果たしているのでしょうか。
SPFによる送信ドメイン認証の仕組みを使ってメール送信される場合は、以下のような流れで行われます。
- クライアントよるメール送信
- 受信側のメールサーバーが送信元ドメインのDNSからSPFレコードを取得する
- SPFによる受信側メールサーバーでは、SPFレコードの情報と実際の送信元IPアドレスを照合
- 検証結果によってメール処理を決める
- メールが許可されると受信トレイに配送、拒否されるとエラーとなる
概ねSPFレコードによるメール送信時のドメイン認証の仕組みは以上のようになっています。
2020.11.19
メールサーバーとは。仕組み、プロトコル(SMTP、POP、IMAP)を解説
私たちが普段利用しているメールは、どのような仕組みで送受信されているのでしょうか?メールの送受信では、「メールサーバー」とい...
\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =
SPFレコードの書き方
さて、実際にSPFレコードを使って送信ドメインを認証するには、DNSにレコードを追加する必要があります。
では、具体的にどんなレコードを追加すれば良いのでしょうか。
ここでは、SPFレコードの書き方を解説します。
SPFレコードの基本構造
SPFレコードはDNSにTXTレコードとして追加されます。
そして、基本構成は以下のようになっています。
v=spf1 [mechanism] [qualifier] [ip4] [ip6] [include] [all]
各要素は、以下のようになっています。
- v=spf1: SPFバージョンを指定します。
- mechanism: 送信元IPアドレスの検証方法を指定します。
- qualifier: 検証結果に対するアクションを指定します。デフォルトは +(許可)です。
- ip4/ip6: 許可されたIPv4/IPv6アドレスを指定します。
- include: 他のドメインのSPFレコードを参照します。
- all: 検証に失敗した場合のデフォルトアクションを指定します。
all メカニズムは、クオリファイアと組み合わせて使用され、指定された条件に一致しないすべての送信元に対する最終的なポリシーを定義します。
-all:他のすべての送信元を拒否(ハードフェイル)。
指定された条件に一致しないすべての送信元は拒否される。
~all:他のすべての送信元をソフトフェイル。
指定された条件に一致しない送信元からのメールは警告として扱われるが、拒否はされない。
+all:すべての送信元を許可。
通常使用されないが、すべてのメール送信を許可する場合に使用される。
?all:条件に一致しない送信元に対して、特定のアクションを取らないことを示します。(ニュートラル)
例えば、以下のようなSPFレコードでは、192.0.2.0/24 のIPv4アドレス範囲と example.com ドメインのメールサーバーからの送信を許可し、それ以外の送信元はすべて拒否します。
v=spf1 ip4:192.0.2.0/24 include:example.com -all
\ 2週間無料でお試しできます! /
Windows VPSを使ってみる
SPFと迷惑メール対策
SPFを追加する目的は迷惑メールやなりすましメールなどへの対策です。
ここでは、SPFによる対策やその他の方法を組み合わせることによる対策について考えてみましょう。
SPFと迷惑メール
SPFについては、ここまで解説してきたようにDNSにSPFレコードを追加することによって、「スパム防止」「なりすまし対策」「フィッシング詐欺対策」などに有効な送信ドメイン認証が使えるようになります。
SPFとDKIM
DKIMはDomainKeys Identified Mailの略で、メールが改竄されていないことを確認するための技術です。
メールに電子署名を追加して、受信者が署名を確認することで正当性が確認できるようになっています。
具体的には以下の流れです。
- メール送信時に送信サーバーがメールヘッダに電子署名を追加
- 受信サーバーは、送信ドメインのDNSから公開鍵を受け取って署名を検証
- 署名が有効であれば改竄されていないと判断
2022.11.17
DKIMとは。なりすましメール対策を徹底解説!
なりすましメールやマルウェアなどのリンクを入れたメールなど、メールによるサイバー攻撃が大きな問題となっています。こうした不正なメール...
SPFとDMARC
今度はDMARCについて見てみましょう。
DMARCは、メールの認証結果に基づいてどのように処理をするのかを決めるポリシーを設定する技術です。
例えば、メール受信時に認証に失敗したメールに、以下のように設定します。
- none:認証に失敗しても特に処置を取らず、レポートのみを送信。
- quarantine:認証に失敗したメールを隔離(スパムフォルダなど)。
- reject:認証に失敗したメールを拒否。
これらのいずれかの処理を選択して、認証で拒否されたメールを最終的にどのように処理をするかを決めています。
SPFとDKIM、DMARCを組み合わせた対策
ここまで解説してきたようにSPFは、DKIMやDMARCをうまく組み合わせることで、さらに強力なセキュリティ対策を実施することができます。
これらを組み合わせることで、スパムやフィッシング詐欺からドメインとユーザーを守ることができます。
では、具体的にどのようにするのでしょうか。
<SPF>
・DNSにSPFレコードを追加
<DKIM>
・DKIMキーを生成し、公開鍵をDKIMレコードとしてDNSに追加
<DMARC>
・DNSにポリシー等を含むDMARCレコードを追加
このように見ていくと、DNSはSPF、DKIM、DMARCのレコードを格納する場所であり、メールの送信元の信頼性を確認するために不可欠であることがわかります。
そして、SPF、DKIM、DMARCをDNSに正しく設定することで、以下のようなメリットが得られます。
- より多層的な防御:
SPFが送信元IPアドレスの正当性を確認し、DKIMがメール内容の改ざんを防止、DMARCがこれらの認証結果に基づくポリシーを適用
- メールの信頼性の向上と処理の可視化:
メール自体の正当性などの確認による信頼性の向上に加え、DMARCのレポート機能により、ドメイン所有者は認証失敗の原因を特定し、問題の迅速な解決につながる
- ユーザーが被害を受けることを防ぐ:
フィッシングやなりすましメールのリスクを低減し、ユーザーが詐欺に遭うリスクを防ぐ。
このようにSPFはDKIMやDMARCと組みわせてこそ、効果を発揮すると言えます。
\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =
まとめ
SPF、DKIM、DMARCの正しい設定は、メールセキュリティを強化し、信頼性を向上させるとともに、ユーザーを詐欺やなりすましのリスクから守るために非常に重要です。
今回は、こうしたメールセキュリティの問題に対して有効な対策として採用が拡大しているSPFレコードによる送信ドメイン認証について解説しました。
SPFは、送信されてきたメールが正当なものであり、不正なものではないと認証する重要な技術です。
そして、この技術は、DKIMやDMARCといった技術と組み合わせて使うことでより高いセキュリティと有効的な対策となります。
送信ドメイン認証は、メールセキュリティの非常に重要な要素であり、SPF、DKIM、DMARCを組み合わせて使うことで最大の効果が得られます。
メールのセキュリティ向上を検討する際には、こうしたことをぜひ参考にしてみてください。
マネージドサービスはWinserverにお任せ
サーバー運用のご担当者様の中には、このようなお悩みをお持ちの方もいるのではないでしょうか。
- 社内にサーバー専門のエンジニアがいない…
- セキュリティ対策に不安がある…
Winserverのフルマネージドサービスは、このようなサーバー運用のお悩みを解決します。
サーバーの初期構築・運用・監視など、お客様のお悩みに合わせてWinserverの専門スタッフが代行します。
「何を依頼できるのか詳しく聞きたい」という方は、無料オンライン相談会をご活用ください。
Windows専門のホスティングサービスを20年以上提供してきた実績をもとに、お客様のお悩みをお伺いし、丁寧にサポートさせていただきます。
Winserver紹介資料
Windows Server専門のホスティングサービス「Winserver(ウィンサーバー)」の基本資料です。
各サービスの概要、特徴をまとめています。
Winserver紹介資料
Windows Server専門のホスティングサービス「Winserver(ウィンサーバー)」の基本資料です。
各サービスの概要、特徴をまとめています。