ファルバニアシミリー
SPFってのは、送信元のメールサーバーのIPアドレスをDNSレコードに指定しとく仕組みね。
指定したとこ以外のアドレスからリクエストが来たら、確実に偽装されたリクエストだと分かる。
そういうのどうしても嫌なら、電子メールでいうところのSPFみたいな仕組み必要だと思う。
とかいう電子メールもDKIMが必須になってきてると聞くので、やっぱHTTP Signatureでよさそう。
HTTP Signatureで署名されてないinboxへのPOSTリクエスト、ねつ造されたデータと正当なデータを区別できないので基本弾くのは正解だと思う。
