sg sg-security-measures unauthorized_access network
まず結論
SPFは、送信元ドメインが許可したメールサーバ(IPアドレス)から送信されたかを確認する仕組みです。
SG試験では「IPアドレスで確認する認証方式かどうか」を見抜けるかが問われます。
直感的な説明
「この会社のメールは、このサーバからしか送らない」と事前に公開しておくイメージです。
受信側は、
- 送信元のドメインを見て
- 「このドメインはどのサーバから送るはずか?」を確認し
- 実際の送信元IPと一致するかをチェックします
つまり、送信元の“住所(IP)”が正しいかを見る仕組みです。
定義・仕組み
SPF(Sender Policy Framework)は、次の流れで動きます。
- 送信側ドメインがDNSに
→ 「このIPアドレスから送信OK」という情報を登録 - 受信側サーバがメールを受信
- 送信元ドメインのDNSを参照
- 実際の送信元IPと照合
- 一致すれば正当と判断、不一致ならなりすましの可能性
ポイントは、
「DNSに登録された送信元IPと一致するか」を確認しているだけというシンプルな仕組みです。
どんな場面で使う?
使う場面
- なりすましメール(詐称メール)の対策
- 組織のメールドメインを守る
- メールサーバの正当性チェック
注意が必要な場面
- メール転送がある場合
→ 送信元IPが変わるため、SPFが失敗することがある - 本文の改ざん検知はできない
→ あくまで「送信元の正当性」だけ
よくある誤解・混同
SG試験でかなり狙われるポイントです。
❌ DKIMとの混同
- 「電子署名で確認する」 → DKIM
- 「IPアドレスで確認する」 → SPF(これ)
👉 選択肢で
「デジタル署名」「改ざん検知」と書かれていたらSPFではない
❌ SPFは内容の安全性も保証する?
→ しない
SPFは
- 送信元が正しいか → ✔
- 内容が改ざんされていないか → ✖
👉 内容の保証はDKIMの役割
❌ 送信側がチェックする?
→ 受信側がチェックする
👉 SG試験では
「送信サーバが確認する」と書かれていたら誤り
まとめ(試験直前用)
- SPF = 送信元IPアドレスで正当性を確認
- DNSに「送信してよいサーバ」を登録して照合する
- 改ざん検知はできない(DKIMとの違い)
- 受信側サーバがチェックする
- 「デジタル署名」と出たらSPFではないと判断する
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】