DNSのSPF(Sender Policy Framework)レコードについてたまに会社で話題になります。「メールの差出人がほかのドメインになりすましていないか」ということですが、もう少し具体的にいうと、たとえば「example.co.jpドメインから届いたメールに関しては、送信元はある特定のメールサーバのはず。それ以外のメールサーバから届いている、ということは、なりすましの疑いがある」という感じで判定していきます。そのために使うのがSPFレコードです。
具体的には、たとえばhttp://ja.wikipedia.org/wiki/Sender_Policy_Framework http://webos-goodies.jp/archives/51103006.html などのサイトで説明されています。
まだ今はそれほど普及しているわけではない過渡期なので、そもそもSPFレコードを登録していない、というところが多いかと思います。特定の宛先限定で使うのは構わないでしょうけど、当然「SPFレコードが登録されていないドメインからのメールは受信しない」」としてしまうと、業務に多いに支障があることはいうまでもないでしょう。
SPFのQualifier(受信側がそのメールを受けるか受けないかを判断する基準)としては「+(Pass)」、「-(Fail)」、「~(Softfail)」、「?(Neutral)」がありますが、実際に受け取ったメールに対してどのようなアクションをとるかは受信側のメールサーバの設定次第です。たとえば「そのドメインはWeb公開用としてドメイン名をとっているが、そのドメインからは絶対にメールが送られることはないので、そこから送られたメールに関してはすべて拒否してほしい」ということでアクションをFailにすることはありそうですが、http://www.atmarkit.co.jp/fsecurity/special/82senderid/sender104.html にあるように現状ではだいたいの場合にはSoftfailにしておいて、相手のメールサーバに「認証が失敗する場合もありうる(だから、その場合でも受け取るようにしたほうがいいよ)」と教えてあげるのがいいようです。まあ、特定の宛先同士で他にメールサーバがいないことが確実にわかっている場合であればよいのでしょうけど。
SPFのFailの使い方に関しては、近い問題が今年春の情報セキュリティスペシャリストの試験(ぢろーらもが受けた回)にもでてました。ついでですが「情報セキュリティスペシャリスト試験」の記事で、ぢろーらもが受験したときの様子を紹介しています。
ここで、SPFで防げる攻撃について、以前先輩から聞いた話をします。迷惑メールの一種として「バウンスメール」がありますが、これを食らった時、現状だと「トラフィックを圧迫するようだったらSMTPの接続数を制限する」とかになるでしょうか。送られるメールがスパムっぽくない内容だとしたら、メールのパターンフィルタとかではじくのは難しいので、割とローテク(?)な防ぎ方になるのかな・・・というのはあります。
先輩から聞いたのは「SPFが普及すれば、バウンスメールもなくなっていくのではないか」ということです。バウンスメールがDoS攻撃のような使われ方をする場合だと、たとえば「攻撃者が踏み台となるサーバに、”MAIL FROM:攻撃対象のメールアドレス、RCPT TO: 踏み台メールサーバのドメインの実在しないアドレス” のメールを送る。その結果、踏み台となるサーバは、攻撃対象のメールアドレスに不達通知を送る。その数が多くなると、攻撃対象のトラフィックを圧迫する」となるはずです。その場合、踏み台となるメールサーバが、攻撃対象のドメインのSPFを確認できれば、送信元認証が失敗するのでその時点で防ぐことができる」というわけですね、なるほど・・・。
余談ですが、SPFレコードの実態はDNSのTXTレコードなわけですが、TXTレコードに関してはこんな記事もあります。http://itpro.nikkeibp.co.jp/article/COLUMN/20060824/246356/ TXTであれば他のレコードより大きいサイズのものも登録できてしまうので、それを悪用した攻撃にも使えてしまうわけですね・・・。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
