SPFで迷惑メール判定が逆にスパムを増長させる問題

SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きます。

#SPFレコードとは送信ドメインを認証の一種で、詳しくはネットで調べてください。
#独自ドメインを持っている人はSPFを知らずに済ますことはできません。
(特にGoogleのせいで知らないでは済まなくなってしまいました)

参考)

SPF(Sender Policy Framework): 迷惑メール撲滅委員会
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

SPF レコードについて – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/33786?hl=ja

一括送信によるメール返送 – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/168383

Googleだけに限ったことではないですが、メールをサービスするプロバイダの傾向として、SPFレコードの設定を(なにがなんでもやれと)強制するような動きがここ数年で強まっています。

特にGoogleは厳しく、G Suite(Google Apps)のメール機能、フリーのGmailともに SPFレコード判定をして Pass しないものは迷惑メールフォルダ行きか、または他の条件と組み合わせて疑わしきは受け取り拒否します。
Googleグループを使ったメーリングリストは特に判定が厳しく、SPF必須です。

受け取り拒否されたメールは送信元にエラーリターンし、受信するはずだった人には通知されませんのでメールが来たことを知る方法がありません。

これが何を意味するか

Googleのメールサービスを使っている人にメールを出す場合、
自分が独自ドメインだったら必ずSPFを正しく設定しておかないと
相手に届かないかもしれない

ということになります。
怖くて仕事には使えません。

では、SPFが迷惑メール/スパム撲滅に役立っているかというと、全くそうでないのが現状です。

なぜでしょう?
だって、スパムメール送信をする人たちはネットの最新技術にも精通しています。
スパマーは小賢しく、難なくSPFを完全に設定してくるからです。

結果こうなります。

SPFに疎い善意の一般の人のメールが弾かれて届かない
SPFの知識に強いスパム業者のメールはどんどん届く
わーい!スパム天国だ。いい仕組みを作ってくれた!

Googleがやっきになって広めようとしているSPFですが、今のところとても残念な結果になっています。
Googleの人たちは賢いはずだからおかしいですね。。。。
たぶん過渡期の問題は無視して100%浸透したあとのことを見据えているのかもしれません。

コメントを残す