SPF (Sender Policy Framework)とは？仕組みを解説

SPF (Sender Policy Framework)とは？

SPFとは「メールの送信元が正しいかどうかチェックできる機能」のことを指します。

例として、○○株式会社からのメールを受け取ったとしましょう。しかし、メールは送信元を書き換えることができるため、見た目だけでは本当に○○株式会社からのメールかどうかを判断することはできません。

近年では、有名な会社の名前を語るなど、巧妙に作られたなりすましメールが送信されています。特に、送信元を偽装したメールを送りつけ、クレジットカードの番号などの情報を盗む「フィッシング詐欺」が問題になっています。

SPFはメールサーバーを利用することで、送信元が正しいかどうかチェックします。先程の例だと「このメールは本当に○○株式会社から送信されたものかどうか？」という点を自動で判断します。送信元が異なる場合は受信を拒否し、なりすましメールによる被害を防ぎます。

SPFの仕組み

SPFの仕組みを送信側と受信側の2つから、流れに沿ってご紹介します。

送信側：メールを送信したことを記録する

メールの送受信の際は、IPアドレスとドメイン名の紐付けなどを管理する「DNSサーバー」が使われます。

メールを送信する時は「このメールはこのメールサーバーから送られます」といった記録をDNSサーバーに残します。この記録はSPFレコードと呼ばれ、記録することでメールサーバーがメールを送信したことを把握した状態となります。

受信側：記録からメールの正当性をチェックする

受信側はDNSサーバーのSPFレコードをチェックすることで、メールが正当な送信元かどうか確認します。

具体的には、SPFレコードの内容と、そのメールが送られてきた際のメールサーバーを比較します。メールを送ってきたメールサーバーがSPSレコードに記録されていれば、正当なメールと判断し、メールを受信します。そうでなければ怪しいメールと判断し、受信を拒否します。

SPFを利用する上での注意点

SPFを活用していると、転送時は送信元の情報を書き換える必要があります。例えば、社員Aが社員Bにメールを送ったと仮定します。この時、社員Bが社員Cにメールを転送する場合には注意が必要です。

メールの送信元の情報は社員Aのままになっていますが、実際にメールを送信したのは社員Bです。誤った送信元から送信されていることになるため、受信を拒否されることがあります。同様に、会社のメールの送受信にプライベートで利用しているメールサーバーを利用すると、SPFの認証ができず、メールが拒否されてしまいます。

また、会社で導入する際は全社で導入することが求められます。SPFは受信側と送信側の両方で導入する必要があるためです。どちらか片方が導入していなければ、安全なメールであると判断できません。SPFを適切に利用し、セキュリティ面のリスクを軽減するためにも、関係する社員に対して漏れなく導入するようにしましょう。

まとめ

SPFはメールの送信元が正当かどうかチェックできる機能で、なりすましメールを防ぐ目的で導入されています。セキュリティ対策を万全にするためには、会社で欠かさず導入しておきたい機能です。

本記事の注意点などを参考にSPFを導入し、万全なメール環境を構築していきましょう。