メールサーバーのSPF対応が浸透しつつありますが、そもそもSPFってどういうものでしょう。
メールの仕組みはシステム設計・構築をしているエンジニアであれば大変さが理解できると思いますが、かなり複雑です。
他の例に漏れず、メールの基本的な仕組みはインターネット黎明期から変わっておらず、時代と共に脆弱性対応などで継ぎ接ぎでアップデートしてきたと思います。
私なりの理解ですが、SPFが登場した背景として「送信元メールサーバーの正当性を判断するため」であり、それは従来まではDNSの逆引きで行ってきました。
ですが、最近のシステムは正引きと逆引きが一致していることは稀です。例えばロードバランサー配下のメールサーバーなどです。
このため、SPFはDNSにSPFレコードを設け、そのドメインのメールはこのメールサーバーから送信されることをDNSの情報で相手のメールサーバーに伝えているのです。
そして、メールサーバーではSPFを参照して、SPFが参照できないメール受信を拒否するなどのアクションを設定しています。
反対にいうと、SPFの機能はこれだけであり、「SPFを設定できる組織」が悪意のあるメールサーバーを運用していれば、何のセキュリティ対策にもならないかもしれません。
メールサーバーの SPF