SPF(Sender Policy Framework)とは

SPF(Sender Policy Framework)とは、電子メールの送信元アドレスの偽装を防止するための技術。差出人のメールアドレスが他のドメインになりすましていないかどうかを検出することができ、無差別に大量に送られる迷惑メールを抑止する効果が期待されている。SPFは、インターネット技術の標準化推進団体であるIETFが正式に発行する文書「RFC4408」として策定されている。

メールの送信元ドメインを認証する認証方式には大きく2種類あり、メールを送信しているホストのアドレスを検査する「IPベースの認証方式」(SPFはこちらに該当する)と、メールに設定された電子署名を検査する「暗号化による認証方式」に分かれる。

メールの送信プロトコルである「SMTP」は、差出人のメールアドレスを誰でも自由に名乗ることができるため、スパム送信者によって簡単に偽装することが可能である。そのための対策として策定されたのがSPFで、IPアドレスの詐称は難しいという原理の元に成り立っている。SPFは、あるドメインのメールを送信することができる正規のサーバーのIPアドレスをリストして管理する。そのドメインと無関係なメールサーバーを利用して送信元を偽ったメールを送信しようとすると、受信側で送信元の偽装を検出して自動的に受け取りを拒否するという仕組みだ。認証はサーバー側で完結するため、認証のためにメール受信者であるエンドユーザーが何らかの作業を行う必要はない。

SPFは、プロバイダーなど多くのサービス事業者が導入しなければ効果が発揮できない、差出人アドレスを詐称していない迷惑メールは検出できないといった問題点が指摘されているものの、ドメイン所有者側での対応が比較的容易であることもあり、携帯電話事業者などを中心に普及が進んでいる。

(英文)RFC4408 Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1
(英文)SPF Project Overview

セキュリティ用語辞典一覧ページへ

  • 2012年2月のIT総括
  • カテゴリートップへ
  • ソフトウェア制限ポリシーとは