アカウント名:
パスワード:
多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
それもこれも、SPFレコードにIPアドレスをCIDR指定できるせい。それと、配信側ではDNSへのTXT記述だけで済む導入簡単なSPF認証は、スパム・迷惑メール配信業者にとっても導入が簡単なんでしょーね。#スパム・迷惑メール配信業者にとっては受信時にSPF認証処理する必要なんてないわけだし。
悪質業者がやってるSPFレコード周りの手法例:- SPFレコードに悪質業者お抱えネットワークを全指定。- CIDRのネットマスクを浅くしたり、(たぶん)無関係なレコードで水増しすることで、 SPFレコードからの、スパム送信元SMTPサーバー逆探を妨げる。- SPFレコードにAWS全域指定して、AWSにSMTPサーバー用意(AWSなのでブラックリストに登録しずらい)。- SPFレコード提供ドメインを立ち上げて、実際に迷惑メールに使う個々のアドレスのドメインには そのデータをインクルードさせることで省力化。- SPFレコードをわざと再帰ループさせて、自動分析しようとする人に一手間かけさせる。
SPF認証は、残り2割の、ボット系迷惑メール排除には役立つし、配信業者に手間=コストををかけさせる点で無駄とまでは言わないが、IPアドレスに何でも指定できるSPFは、DKIMと異なり、DMARCの価値を棄損させると言い切ってもいいだろう。
というか、”メリットがあまり理解されていない”と記事にはあるけれど、どう考えても、SPF認証だけのDMARCには価値がないという”デメリットを皆が判っている”上でお手軽なSPF認証導入と違って、面倒なDKIM導入まで手が届いてない、ことこそが本質じゃないのか?
> 多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、> うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
おまけにSPFにはメールの転送機能との相性が最悪という根本的欠陥もありますしね。(SRSやってるサイトなんてめちゃめちゃ限られてるし)なんであんなものをみんなで進めようとしてるんだかホントわかんない。
SPFにしろDKIMにしろ防げるのはあくまでドメインの"詐称"。送信元がspammerだろうが、自前でちゃんと用意したドメインならSPF・DKIMにpassするメールを出せる。ということで、DKIM必須にしろというのも筋違い。という認識。
ほとんどの人は送信元のドメインまでちゃんとチェックしないから、spammerにとっては正規のドメインを詐称せずとも、紛らわしいドメインを使ったり、なんなら全然違うドメインでも数打ちゃ当たる方式で大量に送ったりというのが成り立つのでしょう。
>ほとんどの人は送信元のドメインまでちゃんとチェックしないスマートフォンのUIだとその辺確認するすべすらない。Gmailですらもそうだ。メール本体を平文で確認する方法がない。(PCのウェブ向けUIだと確認可能)
いやFromのアドレス、ドメインは見えるぞ、一応。ソースは見れないけど……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
DKIM必須にしてSPF認証は参考扱いに留めろ (スコア:0)
多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、
うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
それもこれも、SPFレコードにIPアドレスをCIDR指定できるせい。
それと、配信側ではDNSへのTXT記述だけで済む導入簡単なSPF認証は、スパム・迷惑メール配信業者にとっても導入が簡単なんでしょーね。
#スパム・迷惑メール配信業者にとっては受信時にSPF認証処理する必要なんてないわけだし。
悪質業者がやってるSPFレコード周りの手法例:
- SPFレコードに悪質業者お抱えネットワークを全指定。
- CIDRのネットマスクを浅くしたり、(たぶん)無関係なレコードで水増しすることで、
SPFレコードからの、スパム送信元SMTPサーバー逆探を妨げる。
- SPFレコードにAWS全域指定して、AWSにSMTPサーバー用意(AWSなのでブラックリストに登録しずらい)。
- SPFレコード提供ドメインを立ち上げて、実際に迷惑メールに使う個々のアドレスのドメインには
そのデータをインクルードさせることで省力化。
- SPFレコードをわざと再帰ループさせて、自動分析しようとする人に一手間かけさせる。
SPF認証は、残り2割の、ボット系迷惑メール排除には役立つし、配信業者に手間=コストををかけさせる点で
無駄とまでは言わないが、
IPアドレスに何でも指定できるSPFは、DKIMと異なり、DMARCの価値を棄損させると言い切ってもいいだろう。
というか、”メリットがあまり理解されていない”と記事にはあるけれど、
どう考えても、SPF認証だけのDMARCには価値がないという”デメリットを皆が判っている”上で
お手軽なSPF認証導入と違って、面倒なDKIM導入まで手が届いてない、ことこそが本質じゃないのか?
Re: (スコア:0)
> 多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、
> うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
おまけにSPFにはメールの転送機能との相性が最悪という根本的欠陥もありますしね。
(SRSやってるサイトなんてめちゃめちゃ限られてるし)
なんであんなものをみんなで進めようとしてるんだかホントわかんない。
Re: (スコア:0)
SPFにしろDKIMにしろ防げるのはあくまでドメインの"詐称"。
送信元がspammerだろうが、自前でちゃんと用意したドメインならSPF・DKIMにpassするメールを出せる。
ということで、DKIM必須にしろというのも筋違い。という認識。
ほとんどの人は送信元のドメインまでちゃんとチェックしないから、spammerにとっては正規のドメインを詐称せずとも、紛らわしいドメインを使ったり、なんなら全然違うドメインでも数打ちゃ当たる方式で大量に送ったりというのが成り立つのでしょう。
Re: (スコア:0)
>ほとんどの人は送信元のドメインまでちゃんとチェックしない
スマートフォンのUIだとその辺確認するすべすらない。Gmailですらもそうだ。メール本体を平文で確認する方法がない。
(PCのウェブ向けUIだと確認可能)
Re: (スコア:0)
いやFromのアドレス、ドメインは見えるぞ、一応。
ソースは見れないけど……