SPFメールレコードとは？機能、構文、エラー

39秒ごとに a サイバー攻撃39秒に1回の割合で、世界のどこかでサイバー攻撃が行われていることをご存知ですか？その結果は壊滅的なものになりかねません。企業は顧客の信頼を失い、ブランドの評判が回復しないかもしれないリスクを負うことになります。このような攻撃の背後にある最も一般的なトリックの1つは、犯罪者が受信者を欺くために信頼できるドメインになりすますドメインスプーフィングです。

SPFメールレコードは、Sender Policy Framework（送信者ポリシーフレームワーク）としても知られています。このガイドでは、SPFメールレコードとは何か、なぜ重要なのか、そしてどのようにあなたのドメインをなりすましから守ることができるのかについて説明します。

SPFメールレコードとは何ですか？

SPFポリシーは DNSレコードで定義され、あなたのドメインに代わってメッセージを送信することを許可されたメールサーバーをリストします。より具体的には、SPF（Sender Policy Framework）は、あなたのドメインのゲストリストのように動作する電子メール認証プロトコルです。招待されたゲストだけが入場できる排他的なイベントを主催することを想像してみてください。これと同じように、SPFは、あなたのドメインの代わりにメールを送信することを公式に許可されたサーバーのリストを作成することができます。

SPFの主な目的は、不正な送信者によるなりすましを防止し、なりすましメールをブロックすることです。また、SPFを導入することで、メールの到達率を向上させ、送信者のレピュテーションを強化することができます。

技術的な観点から言うと、SPFはドメインのDNS（ドメインネームシステム）で公開するTXTレコードの一種です。このレコードは、信頼できる送信元について受信メールサーバーに通知し、ドメインの身元が簡単に偽造できないようにします。

SPFメールチェックの実際の効果は？

SPFは、ドメイン所有者が、そのドメインに代わって送信する可能性のあるメールサーバーをIPまたはホスト名でリストしたDNS TXTレコードを公開することを可能にします。これは承認済み送信者リストと考えてください。 

SPFがどのように機能するか、順を追って説明しよう：

1.DNSでSPFレコードを発行する。

SPFの基盤は、ドメインネームシステム（DNS）から始まる。DNSは、example.comのような人間が読めるドメイン名を、コンピュータやサーバーが通信に使用するIPアドレスにマッピングするインフラストラクチャです。DNSは、電子メールが送信されたときに、受信サーバーがその電子メールが送信されたと主張するドメインを特定し、確認できることを保証します。

SPFが機能するためには、ドメイン所有者はドメインのDNS内にSPFレコードを公開する必要があります。このレコードはTXTレコードの形式をとり、IPアドレスまたはホスト名で識別されるどのメールサーバーがドメインの代理としてメールを送信する権限を持つかを指定します。

SPFレコードの公開は必須の第一歩である。これがなければ、受信メールサーバーの参照ポイントが存在しないので、SPFチェックはまったく実行できないことになります。

2.ドメインからメールを送信する

SPFの検証プロセスは、メールが送信された瞬間から始まります。各送信メッセージには送信者のドメインに関する情報が含まれており、最も重要なのはReturn-Pathアドレス（エンベロープ送信者またはMAIL FROMアドレスとも呼ばれる）です。このアドレスは、バウンスメールや未配達メールの返送先を指示するだけでなく、SPFレコードと照合されるドメインを特定します。

このステップは、SPF検証ワークフロー全体のトリガーイベントとなる。送信行為とReturn-Pathでのドメイン宣言がなければ、受信サーバーが検証するものは何もない。この時点から、受信者のメールサーバは、送信サーバが公開されたSPFレコードに従って認可されているかどうかをチェックするプロセスを開始する。

3.メールヘッダから送信者のドメインを特定する。

電子メールが受信者のメールサーバーに到達すると、次のステップはどのドメインをチェックすべきかを決定することである。これを行うために、サーバーはReturn-Pathアドレス（封筒の差出人またはMAIL FROMアドレスとしても知られている）を調べます。このフィールドは、バウンスまたは未配信のメッセージがどこに返されるべきかを指定するため、重要です。

SPFチェックは、ユーザーの受信トレイに表示される「From」アドレスではなく、技術的なReturn-Pathアドレスに基づいて行われることに注意することが重要です。攻撃者はしばしば、受信者を欺くために表示される「From」フィールドを偽造することによって、この違いを利用しようとします。

4.ドメインのSPFメールレコードを調べる

送信者のドメインが特定されると、受信サーバーはどのサーバーがそのドメインのメール送信を許可されているかを確認する必要があります。これを行うには、DNSでドメインのSPFレコードを検索します。DNS（ドメインネームシステム）は、インターネットの公開アドレス帳のようなもので、ドメイン名をサーバーが読み取れる情報に変換します。

サーバーは特に、承認された送信サーバーのリストを含むv=spf1で始まるTXTレコードを検索します。このレコードは、そのメールが承認された送信元から送られたものであるかどうかをサーバーに知らせ、SPF検証プロセスの重要なステップとなります。

5.送信者のIPアドレスをレコードと比較する。

SPFレコードには、ドメインのメール送信を許可するサーバーを定義するポリシーが含まれています。受信者の電子メールサーバーは、電子メールを送信したサーバーのIPアドレスをSPFレコードで指定された許可されたサーバーのリストと比較します。リターンパスのメールアドレスは、受信者側でクロスチェックされ、送信IPアドレスがSPFレコードに記載されているかどうかが確認されます。

6.SPF 認証結果を決定する。

SPFレコードをチェックした後、受信サーバーは認証結果を決定する。

考えられる結果は以下の通り：

• パス： 送信IPアドレスは、認可された送信者としてリストされている。
• 失敗：送信IPアドレスは認証されていないため、メールは拒否されます。
• SoftFail： 送信IPが不正である可能性が高いが、メールは注意深く受け入れられる。
• 中立： 送信IPアドレスについて特定の主張はしない。
• なし： ドメインにSPFレコードが存在しないので、検証はできない。

7.結果に基づいて行動を起こす

受信者のメールサーバーは、SPFチェックの結果とドメインのDMARCポリシー（存在する場合）に基づいた処理を行います。メールを受け入れるか、スパムとしてマークするか、完全に拒否するかです。承認が肯定的であれば、メールは通常受信トレイに送られます。そうでない場合は、SPFが失敗する可能性があります。

PowerDMARCでSPFを設定する！

SPFメールレコードを有効にして使用する方法

SPFを利用する前に、SPFの機能を理解し、ドメインとメールサービスプロバイダーの両方がSPFをサポートしていることを確認することが重要です。SPFは、それ自体では送信サーバーを認証しますが、送信者の実際の身元やメッセージの内容を検証するものではありません。このため、SPFは、DKIMやDMARC、さらにはBIMIなどの追加プロトコルと組み合わせることで、より強力で完全な電子メール認証フレームワークを構築することができます。

SPFを実装する準備ができたら、ドメインのDNSにSPFレコードを作成して公開します。このレコードは、あなたのドメイン名を使用してメールを送信する権限を持つサーバーを明確に定義し、受信メールサーバーが不正なメッセージやなりすましのメッセージをフィルタリングするのに役立ちます。

メールのSPFを有効にするには、以下が必要です：

許可されたメールサーバーを決定する

お客様のドメインを代表してメールを送信する権限を持つすべてのメールサーバーのIPアドレスまたはホスト名を特定します。これには、お客様の組織のメールサーバー、サードパーティのメールサービスプロバイダ（Google Workspace、Microsoft 365、SendGrid、Mailchimpなど）、お客様のドメイン名を使用してメールを送信するその他のサービスが含まれます。これらのIPアドレスと送信ドメインの包括的なリストを収集します。

SPFポリシーの定義

SPFのポリシーを決定する。これは、SPFメカニズムを使ってドメイン宛のメールを送信することを許可するサーバーを指定することです。また、受信サーバーがどの程度厳格にポリシーを適用するかを、修飾子を使って決定する必要があります（例えば、Failの場合は`-all`、SoftFailの場合は`~all`）。

SPFフォーマットの作成

SPFレコードは、ドメインのDNSでTXTレコードとして公開されます。レコードは特定の形式で、`v=spf1`で始まり、メカニズム、修飾子、そして修飾子付きの最後の`all`メカニズムが続きます。

SPFレコードの公開

まず、SPFレコードを作成します。無料のSPF生成ツールを使用するか、許可された送信者とポリシーに基づいて手動でレコードを作成します。次に、通常ドメインレジストラまたはホスティングプロバイダが提供するドメインのDNS管理システムにアクセスします。ドメインのDNS設定を探し、新しいTXTレコードを追加します。ホスト名（ルートドメインの場合は通常「@」または空白）を指定し、SPFレコードの完全な文字列を値/データフィールドに貼り付けます。

SPFレコードの構文

SPFレコードは、受信メールサーバーが認可された送信者を確認するために使う特定の構造を持っている。

SPFレコードの主な部分は以下の通りである：

• v=spf1： 使用するSPFバージョンを指定する。
• メカニズム ドメインのメール送信を許可するサーバーを定義します。一般的なメカニズムには `a`、`mx`、`ip4`、`ip6`、`include`、`exists`、`all` があります。
• 修飾語： そのメカニズムがどの程度厳密に実施されるべきかを示す。例としては、`+` (合格)、`-` (不合格)、`~` (ソフト不合格)、`?
• 修飾子： redirect`や`exp`など、ルールに対する追加の指示や例外を示す。

これらの各構成要素については、包括的なSPF構文ガイドで詳しく説明されており、有効なSPFレコードの例や、さまざまなシナリオに応じた構成方法も含まれている。

SPFメールレコードの確認方法

SPFレコードを設定した後、DNSの変更がインターネット全体に伝搬されるまでに時間がかかる場合があります（最大48時間、多くの場合はもっと短い）。弊社の SPFレコードチェックツールを使用して、レコードを検証およびテストしてください。これにより、構文が正しいことを確認し、DNSサーバーに認識されていることを確認できます。

SPFレコードは、メールインフラ固有の要件によって複雑になる可能性があることに注意することが重要です。構文がよくわからない場合や、より高度な設定が必要な場合は、システム管理者、ITサポート、またはメール認証の専門家に相談し、SPFレコードを正しく作成できるようサポートしてもらうことをお勧めします。

よくあるSPFメールの間違いを避けよう

設定を誤ると、SPFポリシーの効果がなくなったり、正当なメールがブロックされたりします。

よくある落とし穴を避けよう：

• 複数のSPFレコードを使用する： 検証エラーを防ぐために、すべての送信サービスを1つのレコードにまとめる。
• 構文が正しくない：レコードの無効化を避けるため、適切な構文とメカニズムを使用すること。
• すべての許可された送信者は含まれません： ドメインのメールを送信するすべてのサーバーとサードパーティサービスをリストアップします。
• 10回のDNSルックアップ制限を超える： SPFが正しく機能するように、ルックアップの制限を守ってください。
• 文字数制限の超過：文字列あたり255文字以内、およびDNS全体のサイズ制限を守ってください。
• 誤ったレコードタイプを使用している：非推奨のSPFタイプではなく、常にTXTレコードとしてSPFを発行してください。
• 更新の失敗 メールサービスやサーバーを追加または削除するたびに、SPFレコードを更新してください。

PowerDMARCでSPFメールポリシーをより強力に

SPFメールレコードの実装は、なりすまし、フィッシング、スパムメールからドメインを保護するための重要なステップです。SPFレコードを正しく設定し、維持することで、許可されたサーバーだけがお客様の代わりにメールを送信できるようになり、ブランドの評判を守ることができます。

SPFの構文を理解し、よくある設定ミスを避け、SPFとDKIMやDMARCを組み合わせることで、メール認証戦略を強化し、不正メールが受信者に届くリスクを低減します。

メールのセキュリティをさらに高めたい場合、SPF をより深く調査し、信頼できるツールを使用することで、大きな違いが生まれます。PowerDMARCは、SPFレコードを監視、管理、最適化するための使いやすいソリューションを提供し、ドメインの安全性とメールの信頼性を保つお手伝いをします。

よくあるご質問

SPFメールレコードの制限事項にはどのようなものがありますか？

SPFが検証できるのは送信サーバーだけで、送信者の身元やメールの内容は検証できない。また、10件のDNSルックアップ制限と厳格な構文要件がある。

SPFはDKIMと同じですか？

SPFは送信サーバーを検証し、DKIMは暗号署名を使用してメッセージの内容が変更されていないことを検証します。

なぜSPFでメールが失敗するのか？

メールが不正なサーバーから送信された場合、SPFレコードに構文エラーがある場合、DNSルックアップの制限を超えた場合などに失敗することがあります。

• について
• 最新記事

マイサム・アル・ラワティ

サイバーセキュリティ専門家PowerDMARC

マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。

最新記事 by Maitham Al Lawati(全て見る)

• DMARCとは？その仕組み、ポリシーと設定のヒント- 2025年11月28日
• DMARCポリシーとは？なし、隔離、拒否- 2025年11月27日
• DMARCの設定方法：ステップ・バイ・ステップ設定ガイド- 2025年11月25日