対象プラン
本記事は、自動診断機能の発見課題「SPFレコード無し/SPF Record Missing」について、SecurityScorecard社が公開している解説記事の日本語訳です。
本課題の解決にご活用ください。
「SPFレコード無し」について │ 検出方法 │ 修正方法 │ 解決申請の流れ
1. 「SPFレコード無し」について
Sender Policy Framework (SPF)は、偽造メールやなりすましを検出するためのメール検証技術です。
SPFレコードは、電子メールのリターンパスに記載された、ドメインに対して認可された送信ホストのリストです。このレコードは、そのドメインのDNSレコードとして、特別な書式のTXTレコードの形で公開されます。
SPFレコードは、なりすましメール防止やスパム対策に必要なものです。SMTP(Simple Mail Transfer Protocol)では、なりすましメールを完全に防止することはできませんが、SPFヘッダーにより、電子メールが信頼すべきものかどうかを明らかにすることができます。
注意
組織内のドメインがメールを送信しない場合でも、パークされたドメインと同様に、そのドメインに対してSPFレコードを作成する必要があります。
※The Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)も推奨しており、悪意のある攻撃者は、あらゆるドメインを模倣してなりすましや悪意のあるメールを送信することができるためです。
2. 検出方法
登録ドメインのデジタルフットプリントに紐づいた各ドメインに対して、SPFレコードを調べます。レコードは約48時間ごとに更新されます。
3. 修正方法
課題を修正するためには、以下の対策を実施してください。
-
有効なSender Policy Framework(SPF)レコードを作成する
こちらなどを参考に、SPFレコードを作成ください。
Tips
SPFレコードを公開する場合は、タイプ TXT(Type 16)を使用してください。非推奨のタイプSPF(Type 99)は使用しないでください。
- 受信メールのヘッダーで、spf=passを検索して、設定を検証する
※テスト中はDNSキャッシュを許可してください。インターネット上で完全に伝播するまでに最大48時間かかる場合があります。
4. 解決申請の流れ
解決申請する際、解決方法を以下の3つより選択して申請をしてください。
解決申請の提出方法は、こちらをご参照ください。
-
発生している課題に対処済み(I have fixed this)
ドメインにSPFレコードを追加したのち、 SPF Checkerなどの独立したツールで検証した場合には、解決申請によりSecurityScorecard社に対し、レコードを検査するように依頼してください。
-
代替管理策で対処済み(I have a compensating control)
SPFレコードが無い場合は、DMARCポリシーを”Reject”に設定することで有効な補完コントロールとみなされます。
SPF soft failである場合は、DMARCで” quarantine” または”Reject”に設定することで有効な補完コントロールとみなされます。(以下のフローを参照)
-
誤検知であった(I cannot repuroduce this issue and I think it's incorrect)
SPF CheckerなどのツールでSPFレコードを検証し、その結果を示してください。
Tips
検出された発見課題に紐づいたドメイン/IPアドレスが自社保有の資産ではない場合、登録されているデジタルフットプリントに自社が保有していない(自社管理外の)資産が登録されている可能性があります。
以下資料の[ Step.2 デジタルフットプリントの精査 ]ご確認いただき、デジタルフットプリントの精緻化を推奨いたします。