確実なメール配信となりすまし防止(SPF)

偽装メール対策と迷惑メールへの誤分類防止

SPF(Sender Policy Framework)は、自社のドメインに代わってメールを送信できるメールサーバーを指定するメール認証技術です。SPF は、自社のドメインをなりすましから保護し、メールを正常に配信するための対策として有効です。受信側のメールサーバーは、SPF を使用して、送信元とされるドメインが偽装されたものではなく実際の送信元であることを確認します。

  • なりすましを防ぐ - スパマーが送信元のドメインまたは組織を偽って迷惑メールを送信する行為は「なりすまし」と呼ばれます。なりすましメールは、偽の情報を伝える、有害なソフトウェアを配布する、相手をだまして機密情報を提供させるなど、悪意のある目的に利用されるおそれがあります。SPF を利用することで、自社のドメインから送信するメールが偽装されておらず、自社が認証したメールサーバーから送信されたものであることを、相手側のサーバーで確認してもらうことができます。
  • 相手の受信トレイにメールを配信する - SPF は、自社のドメインから送信したメールが迷惑メールに分類されるのを防ぐのに効果的です。送信側のドメインで SPF を導入していない場合、受信側のメールサーバーでは、そのドメインからのメールの正当性を確認できません。このため、正当なメールであるにもかかわらず、受信者の迷惑メールフォルダに振り分けられたり拒否されたりする可能性があります。

注: G Suite のお申し込み時に Google パートナーからドメインを購入された場合、SPF レコードの設定は必要ないことがあります。ご利用のドメインホストによって管理される設定に SPF が含まれるかどうかをご確認ください。

メール認証のベスト プラクティス

管理者の方には、ドメインに対して以下のメール認証方法を設定していただくことをおすすめします。

  • SPF: あるドメインから送信されたように見えるメールが、ドメイン所有者によって承認されたサーバーから送信されたものであることを受信サーバーで確認できます。
  • DKIM: すべてのメールにデジタル署名が追加され、この署名によって、メールが偽装されていないことと配信中に改変されていないことを受信サーバーで確認できます。
  • DMARC: SPF と DKIM でメールを認証し、不審な受信メールを管理できます。
設定方法の詳細については、なりすまし、フィッシング、迷惑メールの防止を支援するをご確認ください。

始める前に

組織で SPF を有効にするにあたり、まず以下の記事をお読みください。

ドメイン プロバイダの確認
SPF を有効にする操作は、Google 管理コンソールではなく、ドメイン プロバイダの管理コンソールで行います。ご利用のドメイン プロバイダがわからない場合は、次の方法でご確認ください。

お支払い記録が見つからない場合は、オンラインでドメインホストを検索します。ICANN(Internet Corporation for Assigned Names and Numbers)は、ドメイン情報を収集する非営利団体です。ICANN 検索ツールを使用してドメインホストを探します。

  1. lookup.icann.org に移動します。
  2. 検索欄にドメイン名を入力し、[Lookup] をクリックします。
  3. 検索結果ページで、[Registrar Information] までスクロールします。通常はこの Registrar(登録事業者)がドメインホストです。

ドメイン再販業者

登録事業者を介してドメイン再販業者がドメインをホストしている場合もあります。表示された登録事業者でログインできない場合、または登録事業者の欄が空白の場合は、再販業者がドメインホストである可能性があります。

  1. ICANN 検索の結果ページで、[Raw Registry RDAP Response] までスクロールします。
  2. [Reseller] のエントリを探します。
  3. 再販業者のウェブサイトにアクセスします。
  4. ドメインを購入または移転したときに使用した認証情報でログインします。
    パスワードを忘れた場合は、再販業者のサポートチームにお問い合わせください。

再販業者が表示されていない場合は、表示された登録事業者のサポートチームにお問い合わせください。

サードパーティのメール プロバイダ

ドメインでサードパーティのメール プロバイダを使用している場合、そのプロバイダから送信された正当なメールが SPF の検証に合格せず、受信側のサーバーで迷惑メールとみなされる可能性があります。

サードパーティのプロバイダから送信されたメールが SPF の検証に合格できるよう、次の対応を行ってください。

  • 使用しているプロバイダの SPF レコードを確認する。
  • 自社のドメインまたはネットワーク経由でメールをルーティングするよう、SMTP リレーを設定する。
SPF の TXT レコード

ドメインで SPF を有効にするには、ドメイン プロバイダの管理コンソールで SPF の TXT レコードを更新します。

TXT レコードはドメイン ネーム システム(DNS)レコードの一種で、ドメイン外部のサーバーなどのソースによって使用されるテキスト情報を記述したものです。詳しくは、TXT レコードについてをご覧ください。

詳しい手順については、ドメインの SPF を有効にするをご覧ください。

(省略可)SPF の現在の TXT レコードを確認する

すでにドメイン プロバイダで SPF の TXT レコードが設定されていることもあります。確認するには、G Suite ツールボックスの Check MX 機能を使用します。

  1. G Suite ツールボックスにアクセスします。
  2. ドメイン名を入力します。
  3. [チェックを実行] をクリックします。
  4. テストが終了したら、[有効な SPF アドレスの範囲] をクリックします。
  5. SPF の結果を確認します。次の情報が表示されます。
    • _spf.google.com
    • _netblocks.google.com に続いていくつかの IP アドレス
    • _netblocks2.google.com に続いていくつかの IP アドレス
    • _netblocks3.google.com に続いていくつかの IP アドレス

ステップ 1: SPF の TXT レコードを作成する

SPF の TXT レコードは、自社のドメインに代わってメールを送信できるメールサーバーを定義するものです。

1 つのドメインで設定できる SPF の TXT レコードは 1 つだけです。ただし、ドメインの TXT レコードには、ドメインのメールを代理送信できるサーバーとドメインを複数指定できます。

TXT レコードの内容

組織からのすべてのメールが G Suite から送信されている場合は、TXT レコードに次のテキスト行を使用します。

v=spf1 include:_spf.google.com ~all

G Suite に加えて、次のいずれかの方法でメールを送信している場合は、カスタムの SPF TXT レコードを作成する必要があります。

  • G Suite 以外のサーバーからもメールを送信している。
  • サードパーティのメール プロバイダを利用している。
  • ウェブサイトで自動メール生成サービス(「お問い合わせ」フォームなど)を使用している。

TXT レコードのサーバー情報TXT レコードの形式を参考にして TXT レコードを作成してください。

TXT レコードのサーバー情報
SPF の TXT レコードには、メールサーバーに関する情報を含める必要があります。

すべてのメールサーバーの IP アドレス

組織のメールを送信しているすべてのサーバーの IP アドレスを特定します。たとえば、次のようなサーバーが該当します。

  • ウェブサーバー
  • オンプレミスのメールサーバー(例: Microsoft Exchange)
  • サービス プロバイダで使用されるメールサーバー
  • ドメインに代わってメールを送信するサードパーティのプロバイダまたはサービス

組織で管理しているすべてのドメイン

メール送信には使用していないものも含め、組織で管理しているすべてのドメインを特定します。SPF の導入後は特に、メール送信用ではないドメインがなりすましに悪用されるおそれがあります。

TXT レコードの形式

TXT レコードは、タグと値のリストを 1 行の書式なしテキストで表したものです。このタグは機構と呼ばれます。さらに、機構が一致した場合に実行する処理を、限定子と呼ばれる省略可能なタグのセットで定義します。

SPF の TXT レコードの例を次に示します。例として使われている IP アドレスとドメイン名を、実際の IP アドレスとドメイン名に置き換えてください。

v=spf1 ip4:192.168.0.1/16 -all

この TXT レコードでは、ドメインのメールを送信するのに、192.168.0.1~192.168.255.255 の任意の IP アドレスが許可されます。

v=spf1 -all

この TXT レコードで、メールを送信しないドメインのなりすましを防止します。

SPF の TXT レコードの機構

SPF の TXT レコードの作成に使用されるタグは、機構と呼ばれます。

重要: SPF TXT レコードには最大 10 個のルックアップを指定できます。TXT レコード内の amxinclude 機構によってルックアップが生成されます。TXT レコードのルックアップ回数が 10 回を超える場合、ドメインからのメールは受信側のサーバーの SPF 認証チェックに合格しません。こうしたメールは迷惑メールに分類される可能性があります。詳しくは、SPF レコードの DNS ルックアップを確認するをご覧ください。

以下の一覧は、TXT レコードで使用する機構をまとめたものです。機構は TXT レコード内の順に検証されます。機構が一致し、限定子が使用されていない場合、デフォルトの処理は「Pass」です。

注: この表のアドレスとドメインはサンプルです。サンプルの値を、実際のメールサーバーおよび組織の IP アドレスとドメインに置き換えてください。

機構 説明と値
v SPF のバージョン。必ず spf1 を指定します。このタグは必須で、レコードの最初のタグにする必要があります。
ip4 メールサーバーを IPv4 アドレスまたはアドレス範囲で指定します(複数可)。値は次のように標準形式の IPv4 アドレスである必要があります。
ip4:192.168.0.1
ip6 メールサーバーを IPv6 アドレスまたはアドレス範囲で指定します(複数可)。値は次のように標準形式の IPv6 アドレスである必要があります。
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a メールサーバーを次のようにドメイン名で指定します。
a:solarmora.com
mx

ドメインの MX レコードを参照することで 1 つ以上のメールサーバーを指定します。例:
mx:mail.solarmora.com

この機構によるドメインの指定は省略可能です。ドメインを指定しない場合のデフォルト値は、SPF レコードが使用されているドメインの MX レコードです。

include

ドメインが自社ドメインではないメールサーバーを指定します。
include:sparkpostmail.com

サードパーティのメール送信者を許可するには、この機構を使用します。

all このタグを使用する場合はレコードの最後に配置します。all の後に続く機構は無視されます。この機構はソフトエラー限定子と併用すること(~all)をおすすめします。

SPF の TXT レコードの限定子

限定子は省略可能なタグで、TXT レコード内の機構が一致したときの処理方法を指定します。

機構は TXT レコード内の順に検証されます。限定子を使用しない場合、デフォルトの処理は「Pass」です。機構が一致しない場合、デフォルトの処理は「Neutral」です。

以下の一覧は、TXT レコードで使用できる限定子をまとめたものです。限定子は、レコード内の任意の機構に追加できる省略可能な接頭辞で、機構の値が一致する場合の処理を指定します。

SPF の TXT レコードには ~all を使用することをおすすめします。

限定子 説明
+ Pass。一致する IP アドレスまたはドメインを持つサーバーは、当該ドメインに代わってメールを送信できます。限定子を指定しない場合のデフォルトです。
- Fail。一致する IP アドレスまたはドメインを持つサーバーは、当該ドメインに代わってメールを送信することはできません。SPF レコードに送信サーバーの IP アドレスまたはドメインが含まれていません。
~ SoftFail。一致する IP アドレスまたはドメインを持つサーバーは、当該ドメインからメールの代理送信を許可されている可能性があります。通常、そのようなサーバーからのメールは受信側のサーバーで受け入れられますが、不審なメールとして扱われます。
? Neutral。当該ドメインに代わってメールを送信できる IP アドレスまたはドメインであることが、SPF レコードに明示されていません。通常、中立的な結果の SPF レコードには ?all が含まれます。

ステップ 2: ドメインの SPF を有効にする

SPF の DNS TXT レコードを追加して、ドメイン プロバイダで SPF を有効にします。

  • 後述の手順 4 の欄の名称(DNS TXT レコード欄の名称など)は、プロバイダによって異なる場合があります。
  • 組織またはドメインのすべてのメール送信を G Suite から行う場合は、手順 4 の TXT レコードの値を使用してください。別の TXT レコードを作成した場合は、代わりにその値を入力します。

SPF を有効にするには、ドメイン プロバイダで SPF の DNS TXT レコードを更新します。

  1. TXT レコードを定義するテキスト ファイルまたは行を取得します。
  2. ドメインホストの管理コンソールにログインします。ご利用のホストがわからない場合は、ドメインホストの確認の手順をご覧ください。
  3. ドメインの TXT レコードを更新するページに移動します。
  4. G Suite メールサーバーの新しい TXT レコードを追加します。
    名前、ホスト、エイリアス 有効期間(TTL) 更新する DNS TXT レコード 優先値 値、応答、配信先
    @
    (または空白)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. 変更を保存します。SPF が有効になり、ドメインがなりすましから保護されてメールが確実に配信されるようになるまで、最長で 48 時間ほどかかることがあります。
  6. (省略可)組織で管理するすべてのドメインについて、上の手順を繰り返します。

SPF レコードに新しいメールサーバーまたはドメインを追加する

次の操作を行ったらその都度、ドメイン プロバイダの TXT レコードを更新してください。

  • 新しいメールサーバーを組織に追加する
  • 新しいサードパーティ メール送信プロバイダの使用を開始する

TXT レコードを更新しない場合、新しいサーバーまたは送信プロバイダから送信されたメールは、迷惑メールに分類される可能性があります。

まず、ステップ 1: SPF の TXT レコードを作成するの手順に沿って、新しいサーバーまたはドメインで TXT レコードを更新します。次に、ステップ 2: ドメインの SPF を有効にするの手順に沿って、ドメイン プロバイダで SPF レコードを更新します。

SPF レコードのトラブルシューティング

SPF を有効にしても、自社ドメインから送信されたメールが相手側で迷惑メールに分類されている場合は、次のトラブルシューティングの手順をお試しください。

メールが SPF に合格したことを確認する

SPF レコードが正しく機能していて、自社ドメインからのメールが SPF に合格したことを確認するには、自社ドメインからの送信メールを調べます。
メールの相手に、該当するメールを開いてメッセージ ヘッダー全体を表示してもらいます。次に、メッセージ ヘッダーで SPF の結果を確認します。SPF に不合格だったことがヘッダーに示されている場合は、SPF レコードにエラーがないか確認します。レコードに、組織のメールを代理送信するすべてのサーバーとドメインへの参照が含まれていることを確認します。
まず、ステップ 1: SPF の TXT レコードを作成するを参考に、必要に応じて TXT レコードに変更を加えます。次に、ステップ 2: ドメインの SPF を有効にするの手順に沿って、ドメインホストでレコードを更新します。
TXT レコードの DNS ルックアップを確認する

SPF の TXT レコードのルックアップは最大 10 回に制限されているため、他のドメインへの参照を 11 個以上含めることはできません。TXT レコードのルックアップが 10 回を超える場合、ドメインからのメールは受信側のサーバーの SPF 検証に合格せず、迷惑メールに分類される可能性があります。

TXT レコード内の a, mx, include, ptr タグの全インスタンスからルックアップが生成されます。

ネストされたルックアップも 10 回の制限にカウントされます。そのため、include タグで参照されるドメインの SPF TXT レコードにドメイン参照がある場合、そうしたドメインは制限にカウントされます。

メールが引き続き迷惑メールに分類される場合は、G Suite ツールボックスの Check MX 機能を使用して TXT レコードのルックアップ回数を確認します。

TXT レコードでのルックアップ回数を減らすには、次のような方法があります。

  • include タグの使用は必要最低限にする。
  • 可能であれば、include ではなく ip4 タグまたは ip6 タグを使用する。
  • 重複するタグまたは同じドメインを参照するタグを削除する。

組織に代わってメールを日常的に送信しているドメインのみを参照し、メールを送信しなくなったメール プロバイダに関する include ステートメントはすべて削除してください。

Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。