アカウント名:
パスワード:
Yahoo! Mail [srad.jp] も同じようなことやってますが、そっちは DKIM なので SPF よりはだいぶ安全性が高いです。
SPF が何が駄目かというと、メール配信システムはIPアドレスを共有するサービスが使われることが多くて(迷惑メールフォルダ行きを避けるためのノウハウが複雑なので固定IPの自社サーバから配信するのではなくSaaSに任せるのが今は一般的)、ホワイトリストに入っている同じメール配信サービスを使うことで、偽メールにも公式アカウントのマークが表示される恐れがあります。
電子署名方式の DKIM ではその問題が生じないので、そっちにすべきでした。
安全性としては、
S/MIME >> DKIM >>>> 超えられない壁 >>>>> SPF です
そんなスパム業者も混在してる「SIer」のIPアドレス登録は規約で禁止すればいいだけの話。
金融機関とかの「まともな企業」はそんなセキュリティ製品の裏を掻くようなの使って配信したりしない。使ったとしてもSalesforceとか、それなりに要件が厳しいところを使う。
三菱東京UFJ銀行 [qualias.jp]や楽天銀行 [rakuten.net](楽天KC [srad.jp]等含む)はReturn-Pathが"bma.mpse.jp"、つまりチーターデジタル社のCheetah Messaging [cheetahdigital.com]を使ってるんですけど、これらはあなたの言う「まともな企業」じゃないってことですかね?
ちなみにゆうちょPayはGMOペイメントゲートウェイのSMTPサーバから送ってきてますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
【脆弱です】SPF で「公式マーク」は危険です (スコア:1)
Yahoo! Mail [srad.jp] も同じようなことやってますが、そっちは DKIM なので SPF よりはだいぶ安全性が高いです。
SPF が何が駄目かというと、メール配信システムはIPアドレスを共有するサービスが使われることが多くて(迷惑メールフォルダ行きを避けるためのノウハウが複雑なので固定IPの自社サーバから配信するのではなくSaaSに任せるのが今は一般的)、ホワイトリストに入っている同じメール配信サービスを使うことで、偽メールにも公式アカウントのマークが表示される恐れがあります。
電子署名方式の DKIM ではその問題が生じないので、そっちにすべきでした。
安全性としては、
S/MIME >> DKIM >>>> 超えられない壁 >>>>> SPF です
Re: (スコア:0)
そんなスパム業者も混在してる「SIer」のIPアドレス登録は規約で禁止すればいいだけの話。
金融機関とかの「まともな企業」はそんなセキュリティ製品の裏を掻くようなの使って配信したりしない。
使ったとしてもSalesforceとか、それなりに要件が厳しいところを使う。
Re:【脆弱です】SPF で「公式マーク」は危険です (スコア:0)
三菱東京UFJ銀行 [qualias.jp]や楽天銀行 [rakuten.net](楽天KC [srad.jp]等含む)はReturn-Pathが"bma.mpse.jp"、つまりチーターデジタル社のCheetah Messaging [cheetahdigital.com]を使ってるんですけど、これらはあなたの言う「まともな企業」じゃないってことですかね?
ちなみにゆうちょPayはGMOペイメントゲートウェイのSMTPサーバから送ってきてますね。