「SPF」とは？わかりやすく解説！【仕組み・必要性・問題点】

「SPF」というのは、「電子メールのなりすましを防ぐための仕組み」の1つです。
本名は「Sender Policy Framework / 送信者ポリシーフレームワーク」です。

SPFはどんな役に立つの？なりすましの恐ろしさ！

普段何気なく使っている電子メールですが、実はなりすましが意外に多い。
それもそのはず。電子メールのなりすましって、ものすごく簡単にできてしまうんです。

電子メールをなりすまして引き起こす問題の1つが、みなさまのよくご存知「フィッシング詐欺」です。

銀行サイトや大手通販サイトになりすまして「こんにちは！個人情報確認のためにIDとパスワードを入力してください〜＾＾」といったメールを無差別に送信します。メールを正規のものだと信じて入力してしまった人は、残念ながらIDとパスワードを抜かれてしまいます。そして不正ログインへ。

・・・と、このような問題を防ぐために、なりすまし防止策は必要不可欠なのです。
なりすまし防止策の1つが「SPF」ですが、他にも「DKIM」や「SenderID」や「DMARC」などが存在します。

その中でも「SPF」は、国内普及率が94.31%と非常に高く大変すばらしい仕組みなのですね〜。

出典元：総務省「送信ドメイン認証結果の集計(DKIM)（2014年6月時点）」

SPFの仕組み

「SPF」の仕組みをざっくり説明すると、「メールサーバーとDNSサーバーが連携して、差出人が正しいかどうかを判断する」というものです。

メールサーバーだけでは、差出人の正誤を判断できません。
なのでメールサーバーは、DNSサーバーに「この差出人、本当に正しいだろうか？」と問い合わせを行います。
DNSサーバーにはあらかじめ「SPFレコード」と呼ばれる「正しい差出人（のIPアドレス）一覧」を記したデータを登録しておきます。
DNSサーバーは、メールサーバーから送られてきた差出人データとSPFレコードを照らし合わせて、正誤を判断するのです。

ちなみに、SPFレコードは僕たちが自分で登録しなくてはいけません。
・・・ といっても、ほとんどの場合はメールマガジン等を配信している人が登録する項目です。一般人には無関係ですね。

メールマガジンを配信している人がSPFレコードを登録し忘れると、せっかくのメールマガジンがなりすましメール扱いになるため,
ユーザへの到達率が悪くなります。忘れずに登録するようにしましょう！

SPFの問題点

SPFは優秀な仕組みですが、いくつか問題点が存在します。

メールアドレスを偽っていないなりすましメールは正しく判断できない！

メールアドレスを「偽っていない」なりすましメールは、「問題なし」と判断されてしまいます。

たとえば「google.co.jp」というメールアドレスのなりすましは検出することができますが
「goog1e.co.jp」というメールアドレスのなりすましは検知することができません。
↑「l（小文字のエル）」を「1（数字のいち）」にしています。

IDやパスワードを要求するメールが届いたら、落ち着いて差出人のアドレスを確認してみましょう。

amzaon.co.jp（zとaが逆）
yanoo.co.jp（hがnになってる）

・・・など、よく見ると明らかにおかしいはずなのに、ぱっと見は意外と気づかないものです。（笑）

IPアドレスに依存した技術なので、IPアドレスが変わると正誤判断も変わる。

SPFは差出人の「IPアドレス」を元に、正誤を判断しています。なのでIPアドレスが変わってしまうと、正誤判断に影響がでるのは当然のことですね。
具体的には「普通のメールを送っているはずなのに、なりすましメール扱いされてしまう」というもの。

SPFレコードの登録が意外とシビア。

SPFレコードの記述を1文字でも間違えると、エラー扱い。つまりなりすましメール扱いになってしまいます。
IT全般に不慣れな方の場合、SPFレコードの記述は少し面倒な作業かもしれません。

ちなみにSPFレコードは、このような記述の仕方をします。

“v=spf1 ip4:111.111.111.111 include:test.com -all“

111.111.111.111の部分にIPアドレスを記述します。・・・はい、見るからに面倒くさそうですね。