SPF レコードでメールのなりすましを防止する

組織のドメインが偽装メールに利用されないように対策をする

送信元のドメインを偽ってメールを送る行為は「なりすまし」と呼ばれます。組織で使用しているドメインホストに Sender Policy Framework(SPF)レコードを設定しておくことで、メールが正規の送信元から届いたものであり、なりすましでないことを受信者に確認してもらうことができます。

G Suite のお申し込み時にドメインを Google パートナー(GoDaddy.com、eNom.com、DomainDiscount24.com)から購入されたお客様は、SPF レコードの設定が不要な場合があります。詳しくは、ドメインホストによって管理される設定をご覧ください。

ドメインホストに SPF TXT レコードを追加する

ドメインホストには、ウェブ トラフィックをドメインに対応付けるテキスト情報(DNS レコード)が登録されています。SPF TXT レコードにはドメインからのメール送信が許可されているメールサーバーが登録されており、そこに含まれていないサーバーから届いたメールは、受信サーバー側で迷惑メールとみなされる可能性があります。

メモ: ドメインに設定できる SPF レコードは 1 つだけですが、そのレコードに複数のサーバーを登録できます。詳しくは、SPF レコードに複数のサーバーを登録するをご覧ください。

  1. (Google 管理コンソールではなく)ドメインホストでドメイン アカウントにログインします。
  2. ドメインの DNS レコードの更新を行うページに移動します。
    「DNS 管理」、「ネームサーバー管理」、「詳細設定」といったページを探してください。
  3. TXT レコードを探し、ドメインに SPF レコードが設定されているかどうかを確認します。
    SPF レコードは「v=spf1」で始まります。
  4. ドメインに SPF レコードが設定されている場合は削除します。設定されていない場合は、手順 5 に進みます。
  5. 次の値を入力し、TXT レコードを作成します。
    • 名前 / ホスト / エイリアス - 「@」と入力するか、空白のままにします。
      ドメインに設定されている他の DNS レコードを参考に入力してください。
    • 有効期間(TTL) - 「3600」と入力するか、デフォルトのままにします。
    • 値 / 応答 / 参照先 - 「v=spf1 include:_spf.google.com ~all」と入力します。
  6. レコードを保存します。

ここで設定した SPF レコードが 48 時間以内に有効になります。

SPF レコードを管理する

すべて開く  |  すべて閉じる

SPF レコードを確認する
Check MX アプリを使用して SPF レコードを確認します。このアプリは G Suite ツールボックスに含まれています。
  1. G Suite ツールボックスを開きます。
  2. ドメイン名を入力します。
  3. [チェックを実行] をクリックします。
  4. テストが終了したら、[有効な SPF アドレスの範囲] をクリックします。
  5. SPF の結果を確認します。
    次の情報が表示されます。
    • _spf.google.com
    • _netblocks.google.com に続いていくつかの IP アドレス
    • _netblocks2.google.com に続いていくつかの IP アドレス
    • _netblocks3.google.com に続いていくつかの IP アドレス
SPF レコードに複数のサーバーを登録する
ドメインに設定できる SPF レコードは 1 つだけですが、レコードを編集して、使用しているメールサーバーをすべてそこに登録することができます。たとえば、送信メールのゲートウェイを設定している場合、SPF レコードには Gmail サーバー アドレスと送信ゲートウェイの SMTP サーバー アドレスが記述されます。
既存の SPF レコードにメールサーバーを追加するには、~all 引数の前にそのサーバーの IP アドレスを入力します。次の例のように、ip4:[アドレス] または ip6:[アドレス] の形式で指定してください。
v=spf1 ip4:172.16.254.1 include_spf.google.com ~all
メールサーバーのドメインを追加するには、次のように各ドメインについて include ステートメントを記述します。
v=spf1 include:serverdomain.com include:_spf.google.com ~all

関連トピック

機構と限定子を管理する
ドメインに代わってメール送信が許可されているサーバーは、SPF レコードの機構で定義されています。各機構は、SPF レコードの左から右に解釈されます。
SPF レコードの例:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
次の機構により、ドメインからのメールを送信できる IP アドレスが特定されます。
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

サーバーが SPF レコード内のどの機構にも一致しない場合、メールが SPF チェックを通過できるかどうかは all 機構で判断されます。

メールの SPF チェック通過の条件を指定するには、SPF レコードで機構に限定子を追加します。
限定子 内容
Pass(+) + の限定子が付いた機構(または限定子のない機構)に一致するサーバーからのメールは、SPF チェックを通過します。このメールは受信者に送信されます。
Fail(-) - の限定子が付いた機構に一致するサーバーからのメールは、SPF チェックを通過しません。このメールは受信者に送信されません。
Softfail(~) ~ の限定子が付いた機構に一致するサーバーからのメールは、SPF チェックは通過しますが不審なメールとして扱われます。
Neutral(?) ? の限定子が付いた機構は、メールが SPF チェックを通過するかどうかに影響しません。
DNS ルックアップの上限回数と SPF チェック
SPF でサポートされる DNS ルックアップは最大 10 回で、ネストされたルックアップもカウントされます。SPF レコードのルックアップ回数が 10 回を超える場合、機構は無効になり、SPF チェックを通過しません。
SPF レコードのルックアップ回数は、Check MX アプリで確認できます。

SPF レコードの機構と限定子

SPF レコードで指定している機構と限定子により、DNS ルックアップの上限回数(10 回)に到達しないようにすることができます。
ルックアップ上限にカウントされる ルックアップ上限にカウントされない
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

SPF レコードでのルックアップ回数を減らすには、次のような方法があります。

  • 不要な include ステートメントを記述しない。
  • 可能であれば、include の代わりに ip4 または ip6 機構を使用する。
  • ptr 機構を使用しない(多くの DNS ルックアップが生成されてしまうため)。
  • 重複する機構、または同じドメインに解決される機構を削除する。
  • アクティブに送信しているドメインのみを参照する。
  • ドメインからのメールを送信しなくなったパートナーの SPF レコードへの include ステートメントを削除する。

関連トピック

DKIM、DMARC と SPF の併用
SPF に加えて、DKIM(DomainKeys Identified Mail)と DMARC(Domain-based Message Authentication, Reporting & Conformance)も設定することをおすすめします。
  • SPF: ドメインのメールを送信できるサーバーを登録する。
  • DKIM: メール コンテンツが本物であり、変更されていないことを検証する。
  • DMARC: 不審な受信メールをドメインでどのように処理するかを指定する。

関連トピック

 関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。