SPF検証エラー:原因と解決策

ブログ

Outlook/Office 365におけるSPF検証エラーと「SPFチェックに失敗しました」の修正方法。原因、10ルックアップ制限、および段階的なSPFレコード修正手順を解説。

byユネス・タラダ

最終更新日:
9 読了時間:約9分
SPF検証エラー:原因と解決策
目次-

主なポイント

  • SPF検証エラーは、受信サーバーがSPF TXTレコードを正しく評価できない場合に発生します。最も多い原因は構文エラー、欠落/誤ったインクルード、または10件のDNSルックアップ制限を超えることです。
  • SPFチェックは通常、temperror、permerror、softfailなどの結果を返します(~all)、fail(-all)などの結果を返します。これらの結果はリスクを伝えますが、各受信システムが配信、隔離、または拒否するかを決定します。
  • 最も頻繁に見られる根本原因は、無効なSPF構文、 同一ドメイン上の複数のSPFレコード、ルックアップを10回以上押し上げるネストされたインクルード、そしてTXTではなく レコード、ルックアップを10回以上行うネストされたインクルード、TXTではなく廃止予定のレコードタイプを使用したSPFの公開です。
  • DMARCレポート、SPFチェッカー/バリデータ(構文+ルックアップ数用)、メールヘッダー検査を組み合わせることで、SPFの問題をより迅速に検出できます(Authentication-Results / Received-SPF)を組み合わせて、実際のSPF結果を確認することで、SPF問題をより迅速に検出できます。
  • 再発防止のため、ドメインごとに1つのSPFレコードを維持し、ルックアップを10以下に抑え、メールベンダー追加時には変更管理を実施し、DNS/プロバイダー移行後や新規送信サービス導入後はSPFを再検証すること。

SPF検証エラーは、ドメインが「メール設定に問題があります」と警告している状態です。SPFレコードの設定が誤っていると、受信プロバイダーは正当な送信者を確認できず、配信率が低下し、なりすましのリスクが高まり、トラブルシューティングに時間を取られることになります。SPFエラーを特定し、迅速に解決する方法をご紹介します。

SPFバリデーションエラーとは何ですか?

SPF検証とは、送信者がドメインに代わってメールを送信する権限(許可)を有しているかどうかを確認するプロセスを指します。SPF情報を含むTXTレコードに構文エラーや設定ミスがある場合、SPF検証エラーが発生する可能性があります。ドメインのSPFレコードは、技術的にはSPFメカニズムおよび修飾子と呼ばれる複数のタグで構成されています。SPFレコードを手動で作成しようとすると、構文エラーが発生しやすく、SPF評価時に検証エラーを引き起こすことがあります。 

SPF検証エラー発生時、ドメイン所有者は 550 SPF check failed といったメッセージを受け取る場合があります: 

「エラー550 - SPFチェックに失敗したため、メッセージが拒否されました。

PowerDMARC SPF バナー

SPFは静かに機能しなくなります。メールが届かなくなってから初めて、そのことに気づくのです。

PowerDMARCは、10,000社以上の顧客に対し、以下の支援を行ってきました:

SPF、DMARC、DKIMを一元管理するダッシュボード
自動監視 — 生データからレポートを掘り起こす必要はありません
設定ミスやポリシーの不備に関する即時アラート
マルチテナントのクライアントドメイン全体にスケールする

最初の15日間 最初の15日間は当社が負担します

無料トライアルに登録する

よくあるSPF検証エラーメッセージとその意味

SPFエラーメッセージを理解することで、設定の問題を迅速に診断し、適切な修正措置を講じることができます。メールプロバイダーによって表現は異なる場合がありますが、以下のメッセージはメール認証チェック中に最も頻繁に見られるSPF関連の結果を反映しています。

エラーメッセージその意味推奨される対応
「SPF検証に失敗しました」受信サーバーはSPFレコードを正常に評価できませんでしたSPFレコードの構文、DNSの可用性、およびルックアップ制限を確認する
警告: SPF検証に失敗しました弱いSPF結果(多くの場合ソフトフェイル)で、配信が許可される可能性がある承認済み送信者を確認し、SPFポリシーを強化する
SPFチェックに失敗しました(モード: 通常)SPF評価は失敗結果を返しましたSPFレコードを修正するか、送信元を認証してください
「SPFチェックに失敗したため、メッセージは拒否されました」送信者が許可されていないため、メッセージは拒否されました送信元IPまたはサービスを含めるようSPFレコードを更新してください

重要: エラーメッセージの正確な表現は標準化されておらず、プロバイダー、メールサーバー、ログシステムによって異なる場合があります。これらの例は、保証されたメッセージではなく、一般的に観察されるパターンを示しています。

メールプラットフォームは、ポリシーやログ形式に応じて、SPF検証の失敗を異なる方法で表示します。以下は典型的な例であり、固定された普遍的な文字列ではありません。

  • Gmail
     バウンス通知または配信通知は、SPFポリシー評価の問題によりメッセージがブロックされたり、不審なものとマークされたりしたことを示している可能性があります。
  • Microsoft 365 / Outlook
     配信レポートでは、一般的に5.7.x SMTPステータスコード(例: 550 5.7.1)を引用します。
  • Yahooメール
     拒否通知には、SPF検証または送信者認証の失敗によりメッセージが受け入れられなかった旨が記載される場合があります。
これらの結果の解釈方法:
SPF自体は、合格、不合格、ソフトフェイル、ニュートラル、テンペラトリーエラー、パーマネントエラーといった標準化された結果を返します。各受信システムは、自身のポリシーと総合的な認証コンテキストに基づいて、メッセージを配信するか、隔離するか、拒否するかを決定します。

SPF検証エラーの種類

SPFチェックは、受信サーバーが評価中に見つけた内容に応じて異なる結果タイプを返すことがあります。SPF検証中に最もよく見られるSPFの結果は以下の通りです: 

  • Temperror: これは、SPF検証手順中に発生したDNSタイムアウトなどの一時的な問題による検証エラーである可能性があります。SPFレコードが無効である、利用できない、またはSPFレコード検証手順に失敗したことを意味するものではありません。特定のメールサーバーからSPFテンペストエラーを受け取った場合のみ、懸念する必要はありません。ただし、このような通知を定期的に受け取るようになった場合は、SPFレコードを再確認する必要があります。 

例: SPFルックアップ中にDNSサーバーが一時的に利用不可となり、タイムアウトが発生しています。

  • Permerror: メールサーバーがSPFレコードを正しく確認できない場合、これらのエラーを発行します SPF パーミッターエラー メッセージを発行します。これらの問題は通常、タイプミスや SPF構文 の問題によって引き起こされます。また、SPFレコードが10回のDNSルックアップ制限を超えた場合にもパーミスが発行されます。  

例: SPFレコードに「v=spf1」ではなく「v=spf2」が含まれている、または制限値が10であるにもかかわらず12のDNSルックアップが含まれている。

  • ソフテイル: 送信者は、そのドメインからメールを送信する権限があるか、ないか。ドメインが明確かつ積極的なポリシーを確立しておらず「失敗」結果をもたらさない場合、ホストは「おそらく承認されていない」状態となる可能性がある。これはSPFレコードに「all」メカニズムを付加することで機能する。どのIPアドレスも評価時に「SPFソフトフェイル結果」を提供する。SPFソフトフェイル結果は、実際には弱い表明である。 

DMARC DMARC は、メールサーバーの設定に応じて、SPFのソフトフェイル結果を「合格」または「不合格」として読み取ります。これはSPFのニュートラル結果と同様です。 

例: SPFレコードが「~all」で終了し、許可されていない送信者がメール送信を試みた結果、ソフト失敗が発生する。

  • 失敗: 「SPF Fail」宣言は、「SPF Softfail」とは対照的に、ホストが当該ドメインの使用を許可されていないことを明示的または決定的に主張するものです。この条件は、SPFレコードにおいて「-all」テクニックを用いて実装されます。 

いずれかのIPアドレスが使用された場合、SPF Fail」結果となります。この状況は、DMARCが実装されているすべてのドメインで同様に扱われ、「失敗」と解釈されます。  

例: SPFレコードが「-all」で終了し、完全に許可されていないIPアドレスからメール送信が試みられた場合、ハードエラーが発生しメールは拒否される。

SPF検証エラーの一般的な原因

SPF検証エラーは通常、ごく一部の設定問題に起因します。これらの根本原因を理解することで、エラーを迅速に修正し、再発を防ぐことができます。

1. 不正 SPF DNSレコードの構文

SPF検証エラーの一般的な原因は、不正なSPF DNSレコードです。余分なスペース、誤ったフォーマット、不正な句読点はSPFの検証エラーを引き起こし、レコードを無効化します。さらに、 DNSの脆弱性、例えば ぶら下がりDNS などのDNS脆弱性

一般的な構文上の問題には以下が含まれます:

  • 無効なバージョンを使用しています(例: v=spf2 ではなく
  • 必須の すべての メカニズム(~all または -all
  • サポートされていない区切り文字の追加または書式設定エラー

無効なSPFレコード問題修正版
v=spf2 include:_spf.google.com ~all無効なSPFバージョンv=spf1 include:_spf.google.com ~all
v=spf1 include:_spf.google.comすべての機構が欠落しているv=spf1 include:_spf.google.com ~all

2. 同一ドメインに対する複数のSPFレコード

ドメインにはSPFレコードを1つだけ持つ必要があります。複数のSPF TXTレコードを公開すると、受信サーバーが適用すべきレコードを特定できなくなるため、SPF評価が失敗します。

これは一般的に以下の場合に発生します:

  • 複数のメールサービスが個別に追加される
  • SPFレコードは異なるチームやベンダーによって作成されます
  • 移行中に古いSPFレコードは削除されません

結果: SPF評価はパーマネントエラーを返す可能性があり、正当なメールが認証に失敗する原因となります。

3) SPF DNSルックアップ制限の超過

SPFは評価中に最大10回のDNSルックアップを許可します。この制限を超過した場合、SPF検証はパーマネントエラーで失敗します。

DNSルックアップは、次のようなメカニズムによってトリガーされます:

  • インクルード
  • a
  • エムオーエス
  • 伝令者
  • ある
  • リダイレクト

実世界のシナリオ: あるSaaS企業は、Google Workspace、Microsoft 365、マーケティングプラットフォーム、トランザクションメールサービスを利用している。それぞれが複数の include ステートメントを追加し、ネストされたインクルードはSPF評価を10ルックアップ制限を超えて黙って押し進め、「見た目は正しい」レコードにもかかわらずメール送信に失敗する原因となる。

4. 非推奨のSPFレコードタイプの使用

SPFレコードタイプ99(SPF)は、RFC 7208のセクション3.1で言及されているように、あまり使用されないために非推奨となった。これはSPFレコードの推奨リソースタイプであるRRタイプTXTと同じフォーマットである。非推奨のレコードタイプを使用すると、SPFエラーが発生する可能性がある。 

重要なポイント: SPF検証エラーの大部分は、構文エラー、複数のSPFレコード、または10回のDNSルックアップ制限超過によって引き起こされ、メールサーバーの停止や受信側の問題によるものではありません。

SPFの検証エラーを見つけるには?

SPF検証エラーを修正する前に、その発生箇所を特定する必要があります:DNSレコード内、SPF評価時(ルックアップ/構文)、または実際の配信試行時です。

段階的なSPFエラー検出チェックリスト

  1. DMARCレポートを確認→ SPF失敗とエラーパターンを探す
  2. SPFレコードの検証 → 構文とDNSルックアップ回数の確認
  3. メールヘッダーを確認する → 受信者が返したSPF結果を確認する
  4. バウンスメッセージを確認 → SPFに関連する拒否コードを特定する
  5. DNS公開の確認 → ドメインに対してSPF TXTレコードが正確に1つ存在することを確認する

1.DMARCレポートの使用

DMARCレポートを監視することで、SPF検証エラーを検出できます。DMARCレポートは、メールトラフィック、送信者、および SPFおよびDKIM 認証結果に関する豊富な情報を提供します。SPFレコードに検証エラーがある場合、おそらく DMARCレポートで強調表示される可能性が高いです。 DMARCレポート解析ツール は、複雑なXMLレポートを読みやすく理解しやすくすることで、このプロセスを支援します。 

2.オンラインSPF検証ツールを使用する

SPF検証ツールのみ SPFチェッカー のみが、検証エラーを簡単かつ瞬時に検出するのに役立ちます。これらのオンラインツールは通常無料で、SPFレコードを迅速に検査して構文エラーや設定ミスをハイライト表示します。一部の高度なツールでは、SPFレコードが10回のDNSルックアップ制限を超過していないかも通知します。 

PowerDMARCの 無料SPFチェッカーツールをお試しください。

3.メールヘッダーをチェックする

最後に、メールヘッダーを手動で調査することで、SPF検証エラーを常に確認できます。メールを開き、「もっと見る」をクリックして「元のメッセージを表示」を選択してください。新しいタブが開き、元のメッセージの概要とメールヘッダーの詳細な生データが表示されます。また、 メールヘッダー解析ツール ツールを使用することも可能です。これにより、メールヘッダー情報に関する詳細な分析結果が、包括的かつ読みやすい形式で提供されます。

ヘッダー解析の手順: SPF検証結果を確認するには、「Received-SPF:」または「Authentication-Results:」で始まる行を探します。一般的な結果には「pass」、「fail」、「softfail」、「neutral」、「temperror」、または「permerror」が含まれます。

SPFの検証エラーを防ぐ方法

SPFの検証エラーを防ぐ: 

  • SPFレコードをダブルチェックし、更新されていることを確認するか、使用されていない場合はドメインの所有者にメールして無効にしてください。 
  • 最近、他のメールプロバイダー(例えばGmail)に乗り換えたり、ドメインネームサーバーが変更されたとします。その場合、Googleが送信者のアドレスを既存のレコードと一致させることができないため、SPFが壊れてしまうことがあります。このような変更を最近行った場合は、ウェブホストまたはメールプロバイダーに連絡して、SPFレコードが更新されていることを確認してください。
  • DNSホスティング・プロバイダーが信頼できること、そして、そのプロバイダーが優れた ウェブホスティングオプション.これにより、SPFレコードが常に利用可能になり、受信サーバーから簡単にアクセスできるようになり、SPF検証エラーの可能性を減らすことができます。
  • 信頼できるDNSホスティングプロバイダーを選び、潜在的な問題を避けるためにSPFレコードが正確で最新であることを定期的にチェックすることが重要です。

MSPおよび企業向け: 複数のドメインやクライアントにまたがる設定のドリフトを防止するため、自動化されたSPF監視を実施し、変更管理プロセスを確立してください。

SPF検証エラーの修正方法

ドメインの所有者は、以下に示すいくつかの簡単な対策を講じることでエラーを修正することができる:

1.SPFレコードの構文をチェックする

SPF構文を検証してください SPF構文 エラーがないことを確認してください。エラーのないSPFレコードは以下のような形式になります: v=spf1 include:spf.domain.com ~all. バージョンタイプ(v)と SPF all メカニズムは必須フィールドであり、レコード構文に含める必要があります。また、SPFでサポートされていない余分なスペース、セミコロン、その他の特殊文字を追加していないことを必ず確認してください。 

SaaS事業者向け: 複数のメールサービス(マーケティングオートメーション、トランザクションメール、サポートシステム)を統合する際は、各サービスのSPF要件を適切に含め、ルックアップ制限を超えないようにしてください。

2.DNSルックアップを制限する

SPF検証エラーや恒久的なエラーを防ぐには、DNSルックアップを制限することが極めて重要です。 SPFのDNSルックアップを を最大10回に制限することが極めて重要です。これを達成する従来のフラット化手法は存在しますが、この問題を解決するより現代的で効果的な方法は SPFマクロを活用することです。マクロはDNSルックアップ数と文字数制限の両方を遵守するのに役立ちます。 

3.SPFレコードの統合

検証エラーの原因となるSPFレコードの複数公開を防止する、 SPFレコードのマージレコードを統合する。SPFの "include "は、以下のように認証ドメインを次々に追加することで、複数のレコードを1つに統合するのに役立ちます:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4.メカニズムの調整を含む

Google、Microsoft Office 365、Zoho Mailなどのサードパーティの送信元やメールベンダーを見落とすと、検証エラーにつながる可能性があります。SPFの "include "メカニズムを調整し、すべてのサードパーティベンダーを認証することで、エラーのないセットアップを保証します。 

詳細はこちら ベンダー・ソース設定.

ドメインセキュリティを掌握する

SPF認証は、電子メールの完全性とスパム防止のために必要です。A 偽メールは、SPFの検証エラーのために容易に受信者のメールボックスに入ることができます。それは、受信者にスパムやフィッシングを行うことで、正当なドメイン所有者の評判を傷つける可能性があります。

SPF認証方式は迷惑メールを防止することを目的としていますが 迷惑メールが受信箱を圧迫するのを防ぐことを目的としていますが 受信箱を圧迫するのを防ぐことを目的としていますが、設定ミスや誤ったSPFレコードが原因で、正当なメールが認証失敗として記録される場合があります。そのため、メール管理者はSPF失敗の原因を理解し、メール配信率を向上させるために何ができるかを把握する必要があります。 

PowerDMARCでは、あらゆる規模の企業にとってメールセキュリティが極めて重要であることを理解しています。成長中のSaaSプラットフォームを保護する場合でも、規制業界のコンプライアンスを管理する場合でも、MSPとして複数のクライアントのメールセキュリティを監督する場合でも、お客様の成功を支援します。

次のステップ

SPF検証エラーを解消し、メールインフラを保護する準備はできていますか?次にできることは以下の通りです:

よくあるご質問

1. SPFの失敗の原因は何ですか?

SPFの失敗は通常、誤ったDNSレコード、構文エラー、10回のDNSルックアップ制限の超過、同一ドメインに対する複数のSPFレコード、または廃止予定のSPFレコードタイプの使用によって引き起こされます。一時的なDNSの問題もSPFテンペラトリーエラーの原因となることがあります。

2. SPF検証エラーを修正するにはどうすればよいですか?

SPF検証エラーを修正するには:1) SPFレコードの構文を確認し修正する2) ドメインごとにSPFレコードが1つだけ存在することを確認する3) DNSルックアップを10以下に制限する4) すべての認可済みメール送信元を含める5) 非推奨のSPFレコード形式ではなくTXTレコード形式を使用する

3. 「SPF検証により拒否されました」とはどういう意味ですか?

「SPF検証により拒否されました」とは、受信メールサーバーが送信元のサーバーがあなたのドメインに代わってメールを送信する権限がないと判断したことを意味します。これによりメールは拒否されるか、スパムとしてマークされます。

4. SPFレコードの変更が反映されるまでどのくらいかかりますか?

SPFレコードの変更は、DNSプロバイダーのTTL(Time To Live)設定に応じて、通常数分から48時間以内に反映されます。ほとんどの変更は、世界中で1~4時間以内に伝播します。

5. サブドメインに対して複数のSPFレコードを設定できますか?

はい、異なるサブドメインごとに個別のSPFレコードを設定できますが、各ドメインまたはサブドメインには1つのSPFレコードのみを記述してください。例えば、example.comには1つのSPFレコードを、mail.example.comには別のSPFレコードを設定できます。

最新記事 by Yunes Tarada(全て見る)
最終更新日:
大学の偽メールを見破る方法大学の偽メールDKIMの脆弱性DKIM脆弱性とは?DKIM l=タグの制限の説明