SPFレコードとは外部からのなりすましなどの不正アクセスを防ぎ、安全にメール配信をするための仕組みです。
SPFレコードの設定ができていなければ、メルマガやキャンペーン通知などのメール配信はシステムにより「なりすましの可能性がある」「改ざんされている可能性がある」というように判断され、ユーザーに送信することができない可能性があります。
今回はメール配信をするなら知っておきたいSPFレコードについてご紹介いたします。
目次
SPFレコードとは
SPFレコード(Sender Policy Framework)とはメールの送受信に関わるセキュリティ技術であり、送信ドメイン認証の仕組みの一つです。
送信元のメールサーバーからドメイン情報が保管されているDNSレコード内に、メール配信を行うサーバーの情報を記録することで、受信するメールサーバーはメールを受け取る際に正常な送信元から送られてきたメールであることを確認した上でメールを受信することができます。
また、悪意のあるユーザーはFromメールアドレスを詐称し受信者に対して不正なメールを送信してきますが、受信者が情報の照合を行えるため不正アクセスを防ぐことが可能となっています。
メール配信にSPFレコードが重要な理由とは
SPFレコードは安全なメール配信であることを受信者に示し、不正アクセスの防止や取引先との信用を担保するために重要といえます。
例えば、DNSに記録したメールサーバー情報と異なるメールサーバーからのメール配信であると判断された場合は「なりすまし」の可能性が疑われ、受信者にはメールが届かなかったり、自動的に迷惑メールフォルダに振り分けられてしまいます。
また、メール受信ユーザーからは「送信されるはずのメールがまだ届いていない」、「会員登録をしたいのにメールが届かないから先に進めない」など企業ブランドや売り上げにもマイナスの影響が出てきてしまう可能性があります。
さらに、取引先企業からは「セキュリティ対策が不十分である」、「取引においてはセキュリティ面でリスクがあるかもしれない」など信用を損ねてしまう可能性もあります。
メール配信時にはSPFレコードを必ず設定し、不正アクセスによる情報漏洩や社会的信用が低下するリスクを防止しなくてはなりません。
SPFレコードの確認方法
SPFレコードを確認するには取引先や顧客との送受信で利用しているメールアドレスを運用しているDNSサーバーの設定から確認します。
例えば、Fromアドレスが〇〇@example.jpであればexample.jpを提供・管理しているサーバー会社にてSPFレコードを確認します。
この際、自社で管理しているDNSサーバーの場合はサーバー・システムの担当者に確認し、サーバー管理会社で委託管理している場合はSPFレコード設定が可能かどうかを確認するようにしてください。
SPFレコードとDKIM・DMARCの違い
SPFレコードの他にも不正メール対策としてDKIM・DMARCなどがありますので見ていきましょう。
DKIMとは
DKIM(DomainKeys Identified Mail)は電子署名による認証を行うことで、受信した文章が途中で改ざんされていないかをチェックしてくれます。
また、SPFと同様に送信元メールサーバーと受信元メールサーバーを利用してメールが正常であるかどうかチェックされる仕組みになっています。
DMARCとは?
DMARC(Domain-based Message Authentication、Reporting and Conformance)は送信側がDNSサーバーに「メールを受け取る」「メールを隔離する」「メールを拒否する」などのDMARCポリシーを定義させることで、SPFレコードやDKIM署名で配信したメールが認証失敗と判断された場合に、推奨する行動を示すことができる仕組みです。
SPFやDKIMでも認証対策を行い不正から受信者の情報を守ることはできますが、認証に失敗した際には受信したメールをどうするかは受信者に委ねる形となっており、受信者の対応についても送信者は把握することはできません。
そこで、DMARCを活用することでSPFやDKIMの認証プロセスで判断できなかった改ざんやなりすましなどの悪意のあるメール配信を排除することができます。
SPFレコードとDKIMとDMARCの違い
SPF・DKIM・DMARCそれぞれの違いは以下の通りです。
SPF | IPアドレスを使って認証を行う |
DKIM | 電子署名を使って認証を行う |
DMARC | 認証失敗時の推奨アクションを提示 |
「SPF」は送信元メールサーバーのIPアドレスが受信したメールと一致するかどうかを照合して認証を行う対策です。
「DKIM」は配信メールに電子署名を付けることで、途中で不正にメール内の文章などが改ざんされていないかを検証する認証対策になります。
「DMARC」はSPFとDKIMで認証が失敗した場合に行われる対策というように、それぞれの異なる特徴があります。
そのため、メール認証対策時にこれらを単体で活用するのではなく、すべてを導入することで抜け漏れを最小限に抑えた強いセキュリティ対策が行えます。
メールのセキュリティ不足による被害事例
近年では個人情報の保護や漏洩に関する取り組みが以前よりも厳しくなってきているのはご存知のことかと思います。
SPFレコードのセキュリティではありませんが、例えば2016年6月には大手旅行代理店が外部からの不正アクセスにより、最大約793万人分の「氏名」、「性別」、「生年月日」、「メールアドレス」、「住所」、「郵便番号」、「電話番号」、「パスポート番号」、「パスポート取得日」といった顧客の個人情報が漏洩した可能性があることを発表しています。
具体的には社員が取引先である航空会社を装ったドメインのメールに添付されてあるファイルを会社の管理下にあるパソコンで開いてしまい、パソコンとサーバーがウイルスに感染してしまったことが分かっています。
また、受信したメールは「日本人のよくある苗字@国内航空会社のドメイン」で作成されており、添付されているPDFファイルは北京行のEチケットであったため従業員もすぐにウイルスに気づくことができなかったとされています。
日頃から社内外でのメールに関するセキュリティ意識の向上を行うことと、定期的に社内研修などを行うなどする取り組みも重要になってきていると言えるでしょう。
自社の状況を確認しておこう
過去の事例でもSPFレコードなどのセキュリティ対策が不十分だったことから、外部からの不正アクセスで顧客の個人情報を漏洩させてしまったケースは少なくありません。
自社のメール配信について詳しく把握できている場合もあれば、あまり把握していないという場合も見受けられます。
メール配信では個人情報を扱う場合が多いと思いますので、一度確認しておくことがおすすめです。