SPFはSenderPolicyFrameworkの略です。ウィキペディアによると、SPFは、特定のドメインから偽造された電子メールを保護するのに役立つフレームワークです。これは2000年の初めに最初に導入されましたが、RFC 7208の公開により、2014年まで正式に標準化されませんでした。簡単に言えば、SPFは、送信された電子メールが正当であることを検証するために電子メールサーバーを受信する方法を提供します。スパム。
SPFは、いくつかの TXTを追加することで実装されます メールを送信する特定のドメイン名のドメインネームサーバー(DNS)レコード。
redhat.comがdigでSPFをどのように使用しているかを見てみましょう:
$ dig +short redhat.com TXT | grep spf
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" TXTを見てください レコードが返されました。理解する必要がある4つのキーワードがあります:
- v =spf1
- ip4 -すべてのIPv4アドレスを提供します 特定のドメインが合法的に電子メールを送信できる電子メールサーバー。形式は、単一のIPv4ホストまたはCIDRサブネットマスクを使用したIPv4ネットワークにすることができます。
- 含める -親ドメインに代わってメールを送信するための追加のサブドメイン承認を提供します。
- -すべて - noを指定します 他のIPv4アドレスは、有効な電子メール送信者として信頼されている必要があります。
すべてには3つのオプションがあります :
- -すべて -「ダッシュオール」とも呼ばれ、 TXTに具体的に記載されていないIPv4アドレスで送信されたメールを意味します レコードは拒否する必要があります。
- 〜すべて -「チルダオール」とも呼ばれ、 TXTに具体的に記載されていないIPv4アドレスで送信されたメールを意味します レコードにはおそらくスパムのフラグが付けられているはずです。
- +すべて -「プラスオール」とも呼ばれ、特定のドメインからすべてのIPv4アドレスによって送信された電子メールが許可されることを意味します。これはお勧めできません。
セキュリティについて考えるとき、アクセスが少ないほど多くなります。電子メールを送信するために、正当な承認された電子メールサーバーを使用してSPFドメインレコードを構成してください。これは、そのドメインが被害を受けるのを防ぐのに役立ちます。
[次のこともお勧めします:メールサーバーを構成するためのシステム管理者ガイド]
仕組み
Red Hatの従業員は、RedHatメールサーバーを介してGoogleGmailの受信者にメールを送信します。 Googleのメール保護サーバーレイヤーは、DNS TXTを介してSPF照会を実行します redhat.comDNSに対するレコードルックアップ。 redhat.com DNSは、次の TXTで応答します 記録:
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" Google SPF照会は応答を解析し、電子メールエンベロープを送信する電子メールサーバーアドレスを調べ、提供されたリスト内のIPv4アドレスと照合しようとします。一致する場合、Googleはこれが承認されたRedHatメールサーバーから送信された正当なメールであることを認識しています。情報が一致しない場合は、電子メールエンベロープが偽造/変更されたと見なされ、受信者を保護するためにスパムとしてブロックまたはマークされます。
実装方法
ドメイン名のSPFレコードを作成するには、ドメインの権限のあるネームサーバーに次のDNSレコードを提供する必要があります。
example.com. IN TXT “v=spf1 ipv:192.168.100.200 -all” このレコードは、正当な電子メールがドメインexample.comから192.168.100.200のIPv4アドレスを介してのみ送信されることをアドバタイズします。他のすべては拒否する必要があります。
[システム管理者のスキルをテストしたいですか?今日、スキル評価を受けてください。 ]
まとめ
SPFは、電子メール管理者が自由に使用できる3つの一般的なDNSベースの構成オプションの1つです。今後のブログ投稿で、ドメインベースのメッセージ認証(DMARC)とDomainKeys Identified Mail(DKIM)の構成オプションを紹介しますので、しばらくお待ちください。