スパマーのほうが SPF、DKIM、DMARC をうまく活用している

 (toad.social)
14 ポイント 投稿者 GN⁺ 2025-03-26 | 2件のコメント | WhatsAppで共有
  • DMARC、SPF、DKIM のようなメール認証方式はスパム削減の手段として使われているが、実際にはスパム送信者のほうがよりうまく活用している。
  • これらの認証方式はほとんどの送信者にとって大きな利点がなく、認証失敗に基づくメール拒否はむしろ有害になりうる。
  • スパム送信者は安価なドメインを購入して認証を通過する方法をよく理解している。

メール転送と Gmail の問題

  • Gmail は DMARC のような認証を要求しており、これはメール転送時に問題を引き起こすことがある。
  • メール転送時には SPF が壊れることがあり、DKIM は本文やヘッダーを変更しない限り保持される。
  • Gmail の POP3 収集機能は手動でトリガーしにくく、自動実行の間隔も長めである。

メール認証の限界

  • メール認証は特定ドメインのなりすましを防ぐが、類似ドメインやタイプミスを利用したスパムは防げない。
  • 認証は送信者の身元確認には有用だが、認可とは別物である。
  • スパム送信者も認証ポリシーを設定でき、これはスパムの統制に一定の役割を果たしうる。

スパム対策とメールセキュリティ

  • スパム対策にはさまざまな方法が使われているが、完全な解決策は存在しない。
  • Spamhaus のようなサービスはスパム遮断に有用だが、誤検知が発生することがある。
  • メールセキュリティには継続的な管理と更新が必要である。

関連記事

2件のコメント

 
GN⁺ 2025-03-26
Hacker Newsの意見

  • 個人メールサーバーを運用している者として、ロシアのIPアドレスが自分のドメイン名でメールを送ろうとする試みを繰り返し確認している

    • メール送信を業務としている人たちは、メール設定を正しく行う方法を知っている
    • 多くのシステム管理者が基本的な設定をきちんとできていないことに驚く
    • SPF署名が誤っていてSendgridのメールが拒否されているというDMARCメールを受け取ったら、マーケティング部門にそれを正当な用途で使っているか確認すべきだろう
    • 自動署名の価値は限定的だが、SPFとDKIMに基づく拒否が誤りであることはまれだ
    • 大規模組織では状況がさらに悪いかもしれないが、小規模メールサーバーでは技術的な拒否はたいてい正しい判断だ
    • メーリングリストは例外だが、それを使う人たちは例外を追加する方法を見つけられるはずだ

  • SPF、DKIM、DMARCを適切に設定し、スパムスコア0のドメインを持っていても、スパムフォルダに入ってしまう問題を経験している

    • メールがGmailに受け入れられるには「評判」が必要だ
    • メールが最初からスパムに直行するなら、その評判がどうやって蓄積されるのか分からず混乱する
    • LinkedInのメールはスパムではなく、ダークパターンでメールリストに追加されてもブロックされない

  • SPF/DKIMはメールサーバーの評判と関係している

    • Google、Microsoft、Yahooのような大規模サーバーに主に利益をもたらす
    • 大手プロバイダーのスパム対策の試みが小規模プロバイダーに害を与えている
    • メールサーバーの評判を追跡する必要はなく、送信者の評判を追跡すべきだ
    • 匿名メールと実際に知っている人からのメールを別々に扱えるべきだ
    • 現状では、既知のメール送信者が未知の送信者を安全に紹介する方法がない

  • SPFとDKIMはスパムを完全には止められないが、DMARCはおそらく役に立たない

    • スパム送信者もこれらの標準を読めるため、SPF/DKIMでスパムを完全に防ぐことはできない
    • SPF/DKIM導入前は、support@paypal.com のようなアドレスからのフィッシングメールをよく受け取っていた
    • PayPalはSPFで許可されたIPアドレスを明確に示し、DKIMでメールを検証できる
    • SpamAssassinは正しいDKIMを持ち、paypal.comから来たメールのスパムスコアを大きく下げる

  • SPF/DKIM/DMARCの目的は、メールをドメインに結び付けてスプーフィングを防ぐことだ

    • 認証だけでスパムを減らせると期待するのはナイーブだ

  • GoogleはSPFとDKIMの扱いが下手だ

    • 数か月前、Chromiumバグトラッカーのメッセージにメールで返信しようとしたが失敗した
    • SPF/DKIMチェックに失敗したという理由でメールが処理されなかった
    • 自分のSPFとDKIMには問題がなかった
    • Google Workspace設定時に使えと言われるツールが長い間まともに動いていない
    • フィードバックリンクもまともに動かない

  • 個人メールサーバーを運用していて、ほとんどのスパムはSPF/DKIMを通過できない

    • ここ数年で、通過するスパムの割合は増えている
    • 予想していたメールの90〜95%はSPF/DKIMを通過する
    • 厳格な送信者ルールを適用している
    • サイトにメールアドレスを公開しているが、スパムはほとんどない

  • シンプルなヒューリスティックベースのスパムフィルターを運用している

    • 送信メールを確認し、自分が送ったアドレスや件名を含むメールはスパム扱いしない
    • 新しいアドレスから来たスパムは未読のまま表示される
    • 購読確認のようなものはスパムフォルダの上部に表示される

  • Protonにメールを移し、DNSレコードの追加と検証の過程がとても簡単だった

    • 最初はこの手順が怖かったが、簡単に解決できた

  • SPF、DKIM、DMARCの価値は、評判がIPベースからドメインベースへ移ることだと考えていた

    • ドメインの評判を良好に保ち、SPF、DKIM、DMARCを正しく設定すれば、どのIPでもSMTPサーバーをホストできると期待していた
    • なぜそのように動作しないのか不思議に思う