確実なメール配信となりすまし防止(SPF)

偽装メール対策と迷惑メールへの誤分類防止

Sender Policy Framework(SPF)は、自社のドメインをなりすましから保護するとともに、メールを正常に配信するのに役立ちます。SPF を使用してメールを認証し、ドメインに代わってメールを送信できるメールサーバーを指定します。受信側のメールサーバーは SPF を使用して、送信元とされるドメインが偽装されたものではなく実際のドメインであることを確認します。

すべて開く  |  すべて閉じる

SPF を使う理由

注: Google Workspace のお申し込み時に Google パートナーからドメインを購入した場合、SPF レコードの設定は必要ないことがあります。ご利用のドメインホストによって管理される設定に SPF が含まれているかどうかをご確認ください。

なりすましを防ぐ
迷惑メールの送信者は、送信元のドメインまたは組織を偽って、メールが正当な組織から送信されたように見せかける可能性があります。こうした行為は「なりすまし」と呼ばれます。なりすましメールは、偽の情報を伝える、有害なソフトウェアを配布する、相手をだまして機密情報を提供させるなど、悪意のある目的に利用されるおそれがあります。SPF を利用することで、自社のドメインから送信するメールが偽装されておらず、自社が承認したメールサーバーから送信されたものであることを、受信側のサーバーで確認してもらうことができます。
相手の受信トレイにメールを配信する
SPF は、自社のドメインから送信したメールが迷惑メールに分類されるのを防ぐのに効果的です。送信側のドメインで SPF を導入していない場合、受信側のメールサーバーでは、そのドメインからのメールの正当性を確認できません。このため、正当なメールであるにもかかわらず、受信者の迷惑メールフォルダに振り分けられたり拒否されたりする可能性があります。

始める前に

SPF を有効にします。これは Google 管理コンソールではなく、ドメイン プロバイダの管理コンソールで行います。ご利用のドメイン プロバイダがわからない場合は、次の方法でご確認ください。

手順 1: ドメイン プロバイダを確認する

お支払い記録が見つからない場合は、オンラインでドメインホストを検索します。ICANN(Internet Corporation for Assigned Names and Numbers)は、ドメイン情報を収集する非営利団体です。ICANN 検索ツールを使用してドメインホストを探します。

  1. lookup.icann.org に移動します。
  2. 検索欄にドメイン名を入力し、[Lookup] をクリックします。
  3. 検索結果ページで、[Registrar Information] までスクロールします。通常はこの Registrar(登録事業者)がドメインホストです。

ドメイン再販業者

登録事業者を介してドメイン再販業者がドメインをホストしている場合もあります。表示された登録事業者でログインできない場合、または登録事業者の欄が空白の場合は、再販業者がドメインホストである可能性があります。

  1. ICANN 検索の結果ページで、[Raw Registry RDAP Response] までスクロールします。
  2. [Reseller] のエントリを探します。
  3. 再販業者のウェブサイトにアクセスします。
  4. ドメインを購入または移転したときに使用した認証情報でログインします。
    パスワードを忘れた場合は、再販業者のサポートチームにお問い合わせください。

再販業者が表示されていない場合は、表示された登録事業者のサポートチームにお問い合わせください。

手順 2: サードパーティのメール プロバイダからのメールが SPF チェックに合格することを確認する

ドメインでサードパーティのメール プロバイダを使用している場合、そのプロバイダから送信された正当なメールが SPF チェックに合格せず、受信側のサーバーで迷惑メールに分類される可能性があります。サードパーティのプロバイダから送信されたメールが SPF チェックに合格するよう、次の対応を行ってください。

  • 使用しているプロバイダの SPF レコードを確認する。
  • 自社のドメインまたはネットワーク経由でメールをルーティングするよう、SMTP リレーを設定する。
手順 3: (省略可)SPF の現在の TXT レコードを確認する

TXT レコードはドメイン ネーム システム(DNS)レコードの一種で、ドメイン外部のサーバーなどのソースに関するテキスト情報を記述したものです。すでにドメイン プロバイダで SPF の TXT レコードが設定されていることもあります。確認するには、Google 管理者ツールボックスの Check MX 機能を使用します。

  1. Google 管理者ツールボックスにアクセスします。
  2. ドメイン名を入力します。
  3. [チェックを実行] をクリックします。
  4. テストが終了したら、[有効な SPF アドレスの範囲] をクリックします。
  5. SPF の結果を確認します。次の情報が表示されます。
    [ドメイン名].com
    _spf.google.com
    _netblocks.google.com に続いていくつかの IP アドレス
    _netblocks2.google.com に続いていくつかの IP アドレス
    _netblocks3.google.com に続いていくつかの IP アドレス

ステップ 1: SPF の TXT レコードを作成する

SPF の TXT レコードは、自社のドメインに代わってメールを送信できるメールサーバーを定義するものです。1 つのドメインで設定できる SPF の TXT レコードは 1 つだけです。ただし、ドメインの TXT レコードには、ドメインのメールを代理送信できるサーバーとドメインを複数指定できます。

TXT ファイルを開き、以下のガイドラインに沿って TXT レコードの内容を入力します。

TXT レコードの内容

組織からのすべてのメールが Google Workspace から送信されている場合は、TXT レコードに次のテキスト行を使用します。

v=spf1 include:_spf.google.com ~all

Google Workspace に加えて次のいずれかの方法でメールを送信している場合は、SPF 用のカスタムの TXT レコードを作成します。

  • Google Workspace 以外のサーバーからもメールを送信している。
  • サードパーティのメール プロバイダを利用している。
  • 自動メールを生成するサービス(「お問い合わせ」フォームなど)が自社のウェブサイトで使用されている。

例:

v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all

この SPF 用 TXT レコードは、自社のドメインに代わってメールを送信するために、Google Workspace、指定した IP アドレス、サードパーティ サービスの SparkPost を認証します。
次に説明する TXT レコードに必要なサーバー情報TXT レコードの形式を参考にして TXT レコードを作成してください。
TXT レコードに必要なサーバー情報
SPF の TXT レコードには、メールサーバーに関する情報を含める必要があります。

すべてのメールサーバーの IP アドレスを指定する

たとえば、次のようなサーバーが該当します。

  • ウェブサーバー
  • オンプレミスのメールサーバー(例: Microsoft Exchange)
  • サービス プロバイダで使用されるメールサーバー
  • ドメインに代わってメールを送信するサードパーティのプロバイダまたはサービス

組織で管理しているすべてのドメインを指定する

メール送信には使用していないドメインを含めます。SPF の導入後は特に、メール送信用ではないドメインがなりすましに悪用されるおそれがあります。

TXT レコードの形式

TXT レコードは、タグと値のリストを 1 行の書式なしテキストで表したものです。このタグは機構と呼ばれます。さらに、機構が一致した場合に実行する処理を、限定子と呼ばれるタグで定義します(省略可)。

SPF の TXT レコードの例

SPF の TXT レコードの例を次に示します。例として使われている IP アドレスとドメイン名を、実際の IP アドレスとドメイン名に置き換えてください。

v=spf1 ip4:192.168.0.1/16 -all

この TXT レコードでは、ドメインのメールを送信するのに、192.168.0.1~192.168.255.255 の任意の IP アドレスが許可されます。

v=spf1 ~all

この TXT レコードでは、メールを送信しないドメインのなりすましを防止します。

SPF の TXT レコードの機構

重要: SPF TXT レコードには最大 10 個のルックアップを指定できます。TXT レコード内の amxinclude 機構によってルックアップが生成されます。TXT レコードのルックアップ回数が 10 回を超える場合、ドメインからのメールは受信側のサーバーの SPF 認証チェックに合格しません。こうしたメールは迷惑メールに分類される可能性があります。詳しくは、後述の TXT レコードの DNS ルックアップを確認するをご覧ください。

以下の一覧は、TXT レコードで使用する機構をまとめたものです。機構は TXT レコード内に出現する順に検証されます。機構が一致し、限定子が使用されていない場合、デフォルトの処理は「Pass」です。

注: この表のアドレスとドメインはサンプルです。サンプルの値を、実際のメールサーバーおよび組織の IP アドレスとドメインに置き換えてください。

機構 説明と値
v SPF のバージョン。必ず spf1 を指定します。このタグは必須で、レコードの最初のタグにする必要があります。
ip4 メールサーバーを IPv4 アドレスまたはアドレス範囲で指定します(複数可)。値は次のように標準形式の IPv4 アドレスである必要があります。
ip4:192.168.0.1
ip6 メールサーバーを IPv6 アドレスまたはアドレス範囲で指定します(複数可)。値は次のように標準形式の IPv6 アドレスである必要があります。
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a メールサーバーを次のようにドメイン名で指定します。
a:solarmora.com
mx

ドメインの MX レコードを参照することでメールサーバーを指定します。次に例を示します。
mx:mail.solarmora.com

この機構によるドメインの指定は省略可能です。ドメインを指定しない場合のデフォルト値は、SPF レコードが使用されているドメインの MX レコードです。

include

自社ドメイン以外のドメインのメールサーバーを指定します。次に例を示します。
include:sparkpostmail.com

サードパーティのメール送信者を許可するには、この機構を使用します。

all all を使用する場合は、レコードの最後に配置する必要があります。all の後に続く機構はすべて無視されます。この機構は SoftFail の限定子と併用すること(~all)をおすすめします。

SPF の TXT レコードの限定子

限定子は省略可能なタグで、SPF の TXT レコード内の機構が一致したときの処理方法を指定するものです。

機構は TXT レコード内に出現する順に検証されます。限定子を使用しない場合、デフォルトの処理は「Pass」です。機構が一致しない場合、デフォルトの処理は「Neutral」です。

以下の一覧は、TXT レコードで使用できる限定子をまとめたものです。限定子は、レコード内の任意の機構に追加できる省略可能な接頭辞で、機構の値が一致する場合の処理を指定します。

SPF の TXT レコードには ~all を使用することをおすすめします。

限定子 説明
+ Pass。一致する IP アドレスまたはドメインを持つサーバーは、当該ドメインに代わってメールを送信できます。限定子を指定しない場合のデフォルトです。
- Fail。一致する IP アドレスまたはドメインを持つサーバーは、当該ドメインに代わってメールを送信することはできません。SPF レコードに送信サーバーの IP アドレスまたはドメインが含まれていません。
~ SoftFail。一致する IP アドレスまたはドメイン アドレスを持つサーバーは、当該ドメインからメールの代理送信を許可されている可能性があります。通常、そのようなサーバーからのメールは受信側のサーバーで受け入れられますが、不審なメールとして扱われます。
? Neutral。当該ドメインに代わってメールを送信できる IP アドレスまたはドメインであることが、SPF レコードに明示されていません。通常、中立的な結果の SPF レコードには ?all が含まれます。

TXT レコードの作成について詳しくは、TXT レコードの値をご覧ください。

ステップ 2. ドメインの SPF を有効にする

重要: TXT レコードを新しいサーバーまたは送信者情報で更新しない場合、新しいサーバーまたは送信者から送信されたメールが迷惑メールに分類される可能性があります。詳しくは、TXT レコードについてをご覧ください。

SPF の DNS TXT レコードを追加して、ドメイン プロバイダで SPF を有効にします。

  • 後述の手順 3 の欄の名称(DNS TXT レコード欄の名称など)は、プロバイダによって異なる場合があります。
  • 組織またはドメインのすべてのメール送信を Google Workspace から行う場合は、後述の手順 3 の TXT レコードの値を使用してください。別の TXT レコードを作成した場合は、代わりにその値を入力します。

SPF を有効にするには:

  1. ドメインホストの管理コンソールにログインします。
  2. ドメインの TXT レコードを更新するページに移動します。
  3. TXT レコードを定義するテキスト ファイルまたはテキスト行を使用して、ご利用の Google Workspace メールサーバーの DNS レコードを次の値で作成します。

    種類: TXT
    ホスト: @
    値: v=spf1 include:_spf.google.com ~all
    TTL: 1 時間(または 3,600 秒)

SPF レコードに新しいメールサーバーまたはドメインを追加する

ドメインで SPF を有効にするには、次のような場合に毎回ドメイン プロバイダの管理コンソールで SPF の TXT レコードを更新します。

  • 新しいメールサーバーを組織に追加する。
  • 新しいサードパーティ メール送信プロバイダの使用を開始する。

方法として、前述のステップ 1 とステップ 2(SPF の TXT レコードを作成するおよびドメインの SPF を有効にする)の手順を繰り返します。

メール認証用のおすすめの方法を適用する

ドメインに対して以下のメール認証方法を設定することも検討してください。設定手順について詳しくは、なりすまし、フィッシング、迷惑メールの防止を支援するをご覧ください。

DKIM
DomainKeys Identified Mail(DKIM)は、メールの送信元ドメインのなりすまし防止に役立ちます。DKIM によってすべてのメールにデジタル署名が追加され、これにより、メールが偽装されていないことと配信中に改変されていないことを受信サーバーで確認できます。
DMARC
Domain-based Message Authentication, Reporting and Conformance(DMARC)を使用すると、SPF と DKIM の認証が適用されるとともに、メールの認証と配信に関するレポートを入手できます。

SPF レコードのトラブルシューティング

SPF を有効にしても、自社ドメインから送信したメールが相手側で迷惑メールに分類されている場合は、次のトラブルシューティングの手順をお試しください。

手順 1: メールが SPF に合格することを確認する
SPF レコードが正しく機能していて、自社ドメインからのメールが SPF に合格することを確認するには、自社ドメインからの送信メールを調べます。
  1. メールの相手に、該当するメールを開いてメッセージ ヘッダー全体を表示してもらいます。
  2. SPF に不合格だったことがヘッダーに示されている場合は、SPF レコードにエラーがないか確認します。
  3. レコードに、組織のメールを代理送信するすべてのサーバーとドメインへの参照が含まれていることを確認します。
    1. 前述のステップ 1. SPF の TXT レコードを作成するの手順を確認します。
    2. 必要に応じて TXT レコードに変更を加えます。
    3. 前述のステップ 2. ドメインの SPF を有効にするの手順に沿って、ドメインホストでレコードを更新します。
手順 2: TXT レコードの DNS ルックアップを確認する

SPF の TXT レコードのルックアップは最大 10 回に制限されているため、他のドメインへの参照を 11 個以上含めることはできません。

  • TXT レコードのルックアップが 10 回を超える場合、ドメインからのメールは受信側のサーバーの SPF チェックに合格せず、
  • 迷惑メールに分類される可能性があります。
  • TXT レコード内の a, mx, include, ptr タグの全インスタンスからルックアップが生成されます。
  • ネストされたルックアップも 10 回の制限にカウントされます。そのため、include タグで参照されるドメインの SPF TXT レコードにドメイン参照がある場合、そうしたドメインは制限にカウントされます。

ヒント: メールが引き続き迷惑メールに分類される場合は、Google 管理者ツールボックスの Check MX 機能を使用して TXT レコードのルックアップ回数を確認します。

TXT レコードでのルックアップ回数を減らすには、次のような方法があります。

  • include タグの使用は必要最低限にする。
  • 可能であれば、include ではなく ip4 タグまたは ip6 タグを使用する。
  • 重複するタグまたは同じドメインを参照するタグを削除する。
  • メールを日常的に送信しているドメインのみを参照する。メールを送信しなくなったメール プロバイダに関する include ステートメントはすべて削除してください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。