SPF 【Sender Policy Framework】
概要
SPF(Sender Policy Framework)とは、電子メールの送信元ドメインの詐称を検知する技術。ドメイン名についての情報を配布するDNS(Domain Name System)の仕組みを利用して、本当に送信元アドレスに記載されたドメインから送られてきたメールかを調べることができる。電子メールの送受信に標準的に用いられるプロトコル(通信規約)である「SMTP」(Simple Mail Transfer Protocol)では、送信元アドレスは送信者が任意に設定できる。迷惑メールの送信者はメールの到達性や効果を高めるため、送信元アドレスのドメイン名に虚偽の内容を記載し、社会的に信用ある企業や団体になりすましたり、メールフィルタに排除されないよう大手ISPやネットサービスのドメインを詐称することがある。
自ドメインが虚偽の送信元の一部に使われることを防ぎたいドメイン管理者は、自ドメインのDNS情報に「SPFレコード」と呼ばれる情報を追加する。SPFレコードにはそのドメインからのメール送信に使われる可能性のあるIPアドレスを列挙しておく。
正規の送信元に指定されたメールサーバには、正規の利用者からの送信依頼しか受け付けないように設定しておく。SPFレコードが利用できないシステムのために、任意のテキストデータを記載できるTXTレコードを用いる方法も規定されている。
迷惑メール送信者がそのドメインのメールアドレスを設定して送信しようとした場合、受信側のメールサーバは送信元に設定されているドメイン名のDNS情報を取り寄せ、SPFレコードに記載されたIPアドレスから来たものかを調べる。
無関係なIPアドレスが発信元であれば、記載された送信元メールアドレスが虚偽であると判断できる。DNSにSPFレコードを記載していないドメインが送信元の場合にはSPFによる虚偽アドレスの検知は利用できない。
SPFはPobox.com社の創業者メンウェン・ウォン(Meng Weng Wong/黄銘榮)氏らが提唱し、当初は「Sender Permitted From」の略とされた。2006年にはIETFによってRFC 4408として標準規格が発行され、2014年のRFC 7208によって改訂された。