Sender Policy Framework(SPF)は、電子メール認証のために最も一般的に使用されている規格の1つです。SPFを導入することで、なりすましに対するドメインの安全性を高めることができますが、DKIMやDMARCを使わずに単独で使用する場合、一定の限界があります。
メリット
フィッシング攻撃を阻止する
SPFは、攻撃者があなたのドメインから偽のメールを送信しようとしたときに、受信側のメールサーバーが悪意のある送信元であると判断し、フラグを立てるようにメールを認証します。
ドメインレピュテーションを向上させる
SPFを導入することで、メールプロバイダーに対して、メールを媒介としたサイバー攻撃を防止するための取り組みを表明することになり、お客様のドメインからの本物のメールが、誤ってフラグを立てられることなく、受信箱に届く可能性が高くなります。
デメリット
転送されたメールの認証に失敗する
あなたのドメインから送信されたメールを他の誰かが転送した場合、そのIPアドレスはあなたのSPFレコードにリストされません。受信側のメールサーバーはこれを見て、誤ってフラグを立て、メールはSPFに失敗します。
SPFレコードの維持が困難
ドメイン所有者は、自分のドメインからメールを送信するために、認可されたサードパーティベンダーを必要とすることがよくあります。つまり、IPアドレスやサードパーティベンダーの変更があるたびに、SPFレコードを常に更新する必要があるのです。
ほとんどのユーザーは、誰が本当にメールを送信しているのか分からない
SPF認証は、多くのユーザーが通常目にするFromアドレスではなく、特定のReturn-Path/mailfromドメインで行われます。つまり、攻撃者は、自分が管理するドメインからメールを送信するだけで、別の送信者アドレスを使用することができるのです。一般的なユーザーは、Return-Path/mailfromをわざわざ確認しないため、フィッシング攻撃を受ける可能性があります。
SPFレコードのDNSルックアップは10回まで
SPFレコードは、1つにつき10回のDNSルックアップが可能です。SPFレコードがこの制限を超えると、受信サーバーは自動的にSPF認証に失敗します。
PowerDMARCは、ユニークな新ツール、PowerSPFを搭載し、SPFレコードを制限値以下になるように最適化、簡素化することができ、しかもワンクリックで完了します。
SPF単体ではドメイン偽装を効果的に阻止するには限界がありますが、DKIMやDMARC技術と組み合わせることで、強固ななりすまし防止策を実現できます。