アカウント名:
パスワード:
多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
それもこれも、SPFレコードにIPアドレスをCIDR指定できるせい。それと、配信側ではDNSへのTXT記述だけで済む導入簡単なSPF認証は、スパム・迷惑メール配信業者にとっても導入が簡単なんでしょーね。#スパム・迷惑メール配信業者にとっては受信時にSPF認証処理する必要なんてないわけだし。
悪質業者がやってるSPFレコード周りの手法例:- SPFレコードに悪質業者お抱えネットワークを全指定。- CIDR
SPFにしろDKIMにしろ防げるのはあくまでドメインの"詐称"。送信元がspammerだろうが、自前でちゃんと用意したドメインならSPF・DKIMにpassするメールを出せる。ということで、DKIM必須にしろというのも筋違い。という認識。
ほとんどの人は送信元のドメインまでちゃんとチェックしないから、spammerにとっては正規のドメインを詐称せずとも、紛らわしいドメインを使ったり、なんなら全然違うドメインでも数打ちゃ当たる方式で大量に送ったりというのが成り立つのでしょう。
>ほとんどの人は送信元のドメインまでちゃんとチェックしないスマートフォンのUIだとその辺確認するすべすらない。Gmailですらもそうだ。メール本体を平文で確認する方法がない。(PCのウェブ向けUIだと確認可能)
いやFromのアドレス、ドメインは見えるぞ、一応。ソースは見れないけど……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
DKIM必須にしてSPF認証は参考扱いに留めろ (スコア:0)
多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、
うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
それもこれも、SPFレコードにIPアドレスをCIDR指定できるせい。
それと、配信側ではDNSへのTXT記述だけで済む導入簡単なSPF認証は、スパム・迷惑メール配信業者にとっても導入が簡単なんでしょーね。
#スパム・迷惑メール配信業者にとっては受信時にSPF認証処理する必要なんてないわけだし。
悪質業者がやってるSPFレコード周りの手法例:
- SPFレコードに悪質業者お抱えネットワークを全指定。
- CIDR
Re: (スコア:0)
SPFにしろDKIMにしろ防げるのはあくまでドメインの"詐称"。
送信元がspammerだろうが、自前でちゃんと用意したドメインならSPF・DKIMにpassするメールを出せる。
ということで、DKIM必須にしろというのも筋違い。という認識。
ほとんどの人は送信元のドメインまでちゃんとチェックしないから、spammerにとっては正規のドメインを詐称せずとも、紛らわしいドメインを使ったり、なんなら全然違うドメインでも数打ちゃ当たる方式で大量に送ったりというのが成り立つのでしょう。
Re: (スコア:0)
>ほとんどの人は送信元のドメインまでちゃんとチェックしない
スマートフォンのUIだとその辺確認するすべすらない。Gmailですらもそうだ。メール本体を平文で確認する方法がない。
(PCのウェブ向けUIだと確認可能)
Re:DKIM必須にしてSPF認証は参考扱いに留めろ (スコア:0)
いやFromのアドレス、ドメインは見えるぞ、一応。
ソースは見れないけど……