Sender Policy Framework

メールサーバーがメールを受信する際に、メッセージごとにIPアドレスなどをDNSに照会、これらが一致しない場合は詐称メールとみなす、というもの。

Pobox.com社のCTOであるMeng Weng Wongにより開発された。

Microsoftも似たような機構のスパム対策技術 "Caller ID for E-Mail" を開発していたことから、後に両者を統合してIETFへ提出され、RFC 4408で実験プロトコル(Experimental)となった後、これを破棄してRFC 7208がPROPOSED STANDARDとして公開された。

対応するためには、ドメインの属するDNSサーバーのゾーンファイルに「SPFレコード」を追記する必要がある。

これにより、差出人のアドレスが詐称されているかどうかを判断でき、例えば大企業などを騙ったフィッシングメール(フィッシング詐欺)を防止することができる。

弱点としては、差出人のアドレスのうちドメインを偽装しないものは排除できず、またSPF未対応のドメインから送信されるメールや、メールに記載された送信元以外から送信されたメールは未認証となり、これらも同様に排除できない。

それでも、実装が容易であることなどから普及が進んでいる。