15.1 動作原理

Messaging Server からメッセージが届くと、MTA は SPF クエリーを実行して、そのアドレスが本当にそのアドレス上のドメインに由来するものかどうかを判定します。SPF クエリーは、メッセージのドメイン (domain) に属する TXT レコードを DNS に問い合わせます。domain は、HELO または EHLO (spfhelo チャネルキーワードが使用された場合) の引数として指定されたドメイン名か、MAIL FROM: コマンドで指定されたオリジネータのアドレス内のドメイン名(通常は @ 文字のあとの部分) のいずれかです。ドメイン名が指定されていないか、使用できない場合は、HELO/EHLO で指定されたドメインが domain として使用されます。ほとんどの ISP は、自社のドメインに一致する IP アドレスの公式リストを配布しています。IP アドレスがドメイン名に一致しない場合、そのメッセージは偽造されたとみなされます。

DNS に問い合わせる前に、SPF_LOCAL マッピングテーブルに一致するドメインがあるかどうかを確認します。一致するドメインがある場合は、それが最初に使用されます。

マッピングテーブルで見つかったレコードに redirect=domain 節が含まれている場合は、ドメインへのリダイレクションが DNS クエリーとして実行され、マッピングファイルの冗長な再帰的チェックが行われなくなります。

取得される TXT レコードの例を次に示します。

v=spf1 +mx a:colo.siroe.com/28 -all

v=spf1 トークンは、この RFC によってサポートされる SPF レコードに必ず指定されます。

+mx は、MX レコードから domain を検索し、この SMTP 接続のソース IP アドレスが domain に関する MX クエリーの結果として得られたいずれかの IP アドレスに一致するかどうかを確認するように指示しています。+ は、一致した場合にこの結果が Pass になることを意味します。

a:colo.siroe.com/28 は、A レコードから colo.siroe.com を検索し、この SMTP 接続のソース IP アドレスが A レコードで指定されたのと同じ CIDR サブネット内にあるかどうかを (255.255.255.240 でマスクした) 28 ビットのみを比較することによって確認するように指示しています。修飾子文字が指定されていないので、一致した場合は結果が Pass になることを意味するデフォルトの + が使用されます。

最後の -all はほかのすべてに一致し、その結果は Fail になります。SPF レコードの詳細については、RFC 4408 (http://www.ietf.org/rfc/rfc4408.txt) を参照してください。

SPF 処理の結果には、いくつかの種類があります。次の表に、処理の結果とその説明を示します。

SPF 処理の完了後、SPF 処理の結果をドキュメント化するメッセージに Received-SPF: ヘッダーが書き込まれます。このヘッダーは、その後の検討における Sieve 処理の中で照会できます。option.dat ファイルの MTA オプション MM_DEBUG が有効 (>0) になっている場合は、拡張デバッグが利用可能です。