SPF を使うならサーバー更改時にもきちんと追従しようよ

しばらく前から spam メールやフィッシングメールの対策として SPF を利用しているところが増えている。
しかし送信元メールサーバーのリプレースなどをしたときに、それに合わせた SPF レコードの更新を忘れているなんてことはないだろうか。

実は某社のサポートサイトの登録内容を変更したところ、登録情報の更新通知メールが一向に届かないので調べてみたところ、某社の SPF レコードが正しく更新されていないことに気がついた。

更新通知メールを受け取る予定のメールサーバーは自分で管理しているため、最初は自分のメールサーバーが落ちているのかと不安になったのだが、余所からのメールは順調に受信できているので、その問題はなさそうだ。
念のために受信ログを覗いたら、どうやら原因を推察できそうな痕跡が見つけられた。

~$ cat /var/log/mail.log
    :
    :
Jan 29 08:29:46 ***** policyd-spf[11996]: Fail; identity=mailfrom; client-ip=999.999.999.999; helo=*******.; envelope-from=support-info@*******.example.com; receiver=****@compnet.jp
Jan 29 08:29:46 ***** postfix/smtpd[11989]: NOQUEUE: reject: RCPT from *******.example.jp[999.999.999.999]: 550 5.7.1 <****@compnet.jp>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.org/Why?s=mfrom;id=support-info@*******.example.com;ip=999.999.999.999;r=****@compnet.jp; from=<support-info@*******.example.comm> to=<****@compnet.jp> proto=ESMTP helo=<*******.>
    :
    :

このログから、SPF による認証において MAIL-From が信用できないことが読み取れる。

このようなログは、通常では MAIL-From が詐称されているようなメールを受信したときに現れる。
しかし、実際に某社のサポートサイトで行った操作の結果、この時刻の前後にこの MAIL-From に示されるアドレスからメールが送られる可能性は非常に高いはずだ。
つまり、このログから読み取ったこととは異なり、MAIL-From が詐称されたのでは無いと考えた方が良さそうだ。

そこで実際に登録、公開されている SPF レコードの内容を確認してみよう。
SPF レコードの内容を確認するには、MAIL-From のアドレスのドメイン部を使って、DNS の txt レコードを見れば良い。

~$ dig *******.example.com txt
 
; <<>> DiG 9.5.0-P2.1 <<>> *******.example.com txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65298
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
 
;; QUESTION SECTION:
;*******.example.com.           IN      TXT
 
;; ANSWER SECTION:
*******.example.com.    74948   IN      TXT     "v=spf1 mx ip4:MMM.MMM.MMM.MMM/32 ip4:NNN.NNN.NNN.NNN/32 -all"
 
;; AUTHORITY SECTION:
    :
    :

これを見ると、登録されているふたつの IPv4 のアドレスから送られるもの以外は、全て不正メールと見なしてもかまわないとなっている。
先ほどのログを見直すと、問題の更新通知メールを送信してきているメールサーバーのアドレスは、SPF レコードに書かれているものとは別のものだ。

どうやらこれが更新通知メールが届かない原因になっているようだ。

サポートサイトにはこのような不具合を報告する直接的な窓口は無いので、通常のサポート問い合わせとして報告しておいたが、同じ現象に遭っている人が他にもいるようで、「お手続き完了メールが受け取れない事象に関しましては、現在調査を行っている段階でございます。」という悠長な回答が届いた。

関連記事

  • SPF を使うなら part22010.3.28 (日) SPF を使うなら part2 ほんの 2 ヶ月ほど前に「SPF を使うならサーバー更改時にもきちんと追従しようよ」という記事を書いた。 某社サポートサイトで登録サイトを変更したときに送られる通知メールが、自らが指定した正しいメールサーバーから送信されてないために、spam […]
  • SPF を使うなら part32010.4.2 (金) SPF を使うなら part3 2ヶ月ほど前に引き続き、つい最近もメールが正しいメールサーバーから送られてきたことを保証する仕組みである SPF が正しく設定されていないという記事を書いたばかりだが、さらに別のメールマガジンでも問題を見つけてしまった。 今回は先の 2 […]
  • ubuntu 10.04 をメールサーバーに (SPFの宣言 – BIND)2011.4.2 (土) ubuntu 10.04 をメールサーバーに (SPFの宣言 – BIND) Postfix で受信したメールに対して SPF の確認をするような設定を、先の記事で施した。 しかし、受信したメールの SPF は確認できるが、こちらから送ったメールについては SPF で確認できるようにはなっていない。 […]
  • ubuntu 10.04 をメールサーバーに (序説)2010.7.5 (月) ubuntu 10.04 をメールサーバーに (序説) 6 月 1 日からサーバーのアップグレードに関する記事を書き始め、悠に一ヶ月が経った。 実際には 6 月 1 日の記事から 2 週間ほど試行錯誤をした後に、既にリプレースを完了している。 6 月 17 […]

コメントを残す