”メールが届かない”そのお悩み、実はSPFレコードが原因かもしれません。
「お客様から『メールが届いていない』と言われた」 「自社のメールがなぜか迷惑メール判定されてしまう」もし今、このようなトラブルにお悩みであれば、その原因はSPFレコードの設定不備にある可能性が高いです。
SPF(Sender Policy Framework)とは、送信ドメイン認証技術の一つ。簡単に言えば、あなたのメールが「なりすまし」ではないことを証明する身分証のようなものです。この設定に問題があると、せっかく送ったメールが「怪しいメール」として拒否されてしまうのです。
特に2024年2月から適用されたGoogle(Gmail)の「メール送信者のガイドライン」により、SPFの設定は企業のメール配信において「推奨」から「必須」の要件へと変わりました。もはや、避けては通れない道です。
「IT用語は難しくて…」と敬遠されがちなSPFですが、本記事では非エンジニアの方にも直感的に理解できるよう、その仕組みから具体的な書き方、確認方法までを噛み砕いて解説します。また、より到達率を高めるために併せて知っておきたい「DKIM」についても触れていきます。メールの到達率は、ビジネスの信頼性に直結します。ぜひ最後までご覧いただき、自社の設定を見直してみてください。
目次
SPFレコードとは?
SPFレコードとは、送信ドメイン認証の仕組みの一つです。ドメインの情報が記載されているDNSレコード内に、配信するサーバーの情報を書き込むことで、正しい送信元からの配信である旨を証明することができます。
上の画像をご覧ください。
この画像のように、DNSにSPFレコードを参照することで、送信されてきたメールがDNSに記載があるサーバーからのメールかを判断することができます。メール送信者がメール受信者に「なりすましではないこと」を照明する一連の仕組みのことを、SPF(Sender Policy Framework)と呼びます。
関連記事:なりすましメールの仕組み。見分け方や対策も解説します!
SPFレコードが登録されていないと、メールが届かなくなる可能性も
受信先のメールサーバーがDNSにSPFレコードを問合せをした結果、送信元のサーバーが記述したSPFレコードがなければ、そのメールは送信ドメインの詐称と判断されます。つまりSPFに異常があった場合は、送信したメールが「なりすましメール」として判断される可能性があるのです。
送信したメールがなりすましと判定される回数が増えてしまうと、自身IPアドレスが汚染され、通常であれば問題なく配信されるはずのメールも、迷惑メールに分類されてしまうことがあります。
メール配信サービスを利用している場合は、SPFが正常かチェックを
メール配信サービスなどを利用している場合は、SPFに異常がないか注意が必要です。
大量のメールを配信することに特化したメール配信サービスですが、そのためには大量配信に耐えられるだけのサーバーや、セキュリティによる迷惑メール誤判定を防ぐシステムを用意しなければなりません。それらの用意にかかるコストを削減するために、クラウド型のメール配信サービスを使っている企業も多いでしょう。
クラウド型のメール配信サービスの場合は、仕組み上「送信メールのドメイン」と実際に「送信するサーバーのドメイン」が異なります。結果、送信元のIPアドレスと、実際にメールを配信するサーバーのIPアドレスが異なるため、SPFレコードの登録が必要です。
メール配信サービスなどを利用している場合は、上の図のような状況を改善するために、送信元メールサーバーのDNSに、実際にメールを送信するサーバーが指定するドメインを設定する必要があります。
SPFの設定方法
SPFレコードの設定はメール配信ツール側ではなく、送信元となるメールアドレス(ドメイン)を管理している「DNSサーバー」で行います。
DNSサーバーがどこにあるかはメールアドレスの「@(アットマーク)」以降を確認します。 例えば、「blastmail@rakus.jp」というアドレスであれば、「rakus.jp」というドメインを管理しているサービス(お名前.com、ムームードメイン、Xserver、AWSなど)の管理画面で設定操作を行う必要があります。以下に、ブラストメールを利用する場合の標準的な設定値を記載します。
TYPE: TXT
VALUE(TARGET): v=spf1 include:spf.bmv.jp ~all
既に SPF レコードを設定済みの方は、include:spf.bmv.jpを追記してください。また、上記はあくまでブラストメールのみを利用する場合の例です。他社サービスも併用している場合は、後述の記述ルールに従って調整してください。
SPFレコードの構成要素(書き方の基本)
SPFレコードは呪文のように見えますが、実は3つの要素で構成されています。この意味を理解しておくと、設定ミスを防ぐことができます。
- バージョン宣言 (v=spf1)
- 「これはSPFレコードですよ」と宣言する部分です。必ず先頭に記述します。
- 許可する送信元の指定 (ip4 / include 等)
- どのサーバーからの送信を許可するかを指定します。
- IPアドレスで指定する場合は ip4:xxx.xxx.xxx.xxx
- ドメイン(サービス)で指定する場合は include:spf.bmv.jp
- これらをスペースで区切って並べていきます。
- それ以外の扱いの指定 (~all / -all)
- リストにないサーバーからメールが来た場合どうするかを決めます。
- ~all (Soft Fail):不審なメールとして扱う(推奨される一般的な設定)
- -all (Hard Fail):受信拒否する(セキュリティは高いが、設定ミス時の影響が大きい)
よく使われる記述パターン(include, ip4など)
実際の記述では、自社のメール配信環境に合わせていくつかの「メカニズム」を組み合わせて記述します。よく使用される代表的な記述は以下の通りです。
- ip4(IPv4アドレス指定) 特定のIPアドレスからの送信を許可する場合に使います。 記述例: ip4:192.0.2.1
- include(外部ドメインの参照) Gmail(Google Workspace)やメール配信システムなど、外部サービスを利用してメールを送る場合に、そのサービスのSPFレコードを参照(インクルード)させます。 記述例: include:_spf.google.com
- a(Aレコード参照) ドメインのAレコード(Webサーバーなど)のIPアドレスからの送信を許可します。
- mx(MXレコード参照) ドメインのMXレコード(メール受信サーバー)のIPアドレスからの送信を許可します。
これらを組み合わせた記述例は以下のようになります。 v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all (意味:IPアドレス192.0.2.1と、Googleのメールサーバーからの送信を許可し、それ以外はSoftFailとする)
「~all(SoftFail)」と「-all(HardFail)」の違い
SPFレコードの末尾には、設定した条件に合致しなかったメール(許可していないサーバーからのメール)をどう扱うかを指定する「限定子」と all を記述します。
- ~all(SoftFail) 「適合しないメールは、一応受け取るが疑わしいもの(迷惑メール候補)として扱う」という設定です。設定ミスによる誤判定で正規メールが届かなくなるのを防ぐため、多くの企業ではまずこの設定が使われます。
- -all(HardFail) 「適合しないメールは、絶対になりすましとして拒否する」という厳格な設定です。セキュリティ強度は高いですが、記述漏れがあると正規メールも即座に拒否されるため、運用には慎重な確認が必要です。
【重要】すでに設定済みの場合の注意点(よくある間違い)
最も注意が必要なのが、「すでに別のシステムのSPFレコードが登録されている場合」です。
Google Workspace(Gmail)やMicrosoft 365などを利用している場合、すでにTXTレコードに v=spf1… が存在していることがあります。 この時、2行目のレコードとして新しく追加してしまうのはNGです。SPFレコードは1つのドメインにつき1行だけしか存在してはいけないというルールがあります。
- v=spf1 include:_spf.google.com ~all
- v=spf1 include:spf.bmv.jp ~all
※これではエラーになり、どちらのSPFも無効になってしまいます。
- v=spf1 include:_spf.google.com include:spf.bmv.jp ~all
すでに設定がある場合は、上記のように include:〇〇 の部分をスペースで区切って追記し、前後の v=spf1 と ~all で挟み込む形で1行に統合してください。
SPFだけでは不十分?DKIM・DMARCとの違い
Gmailのガイドライン強化に対応しメールの信頼性を盤石にするためには、SPFだけでは不十分なケースが増えています。SPFはあくまで「送信元のIPアドレス」を検証する仕組みであり、メール認証技術の一部に過ぎないからです。ここでは、セットで語られることが多いDKIM、DMARCとの役割の違いを解説します。
- SPF: IPアドレスを照合して「送信元が正しいか」を保証する
- DKIM: 電子署名を使って「中身が改ざんされていないか」を保証する
- DMARC: 上記の認証に失敗したメールの「扱い(受信拒否など)」を指示する
送信元を検証する「SPF」と、改ざんを検知する「DKIM」
SPFは「封筒の差出人住所(IPアドレス)」が正しいかをチェックする仕組みです。これに対し、DKIM(ディーキム)は「電子署名」を用いてメールの内容が改ざんされていないかを証明する仕組みと言えます。
SPFはメールが転送された場合などにIPアドレスが変わってしまい、認証に失敗することがあるという弱点を持っています。一方、DKIMはメール自体に署名を付与するため、転送されても認証が維持されやすいという特徴があります。この両方を導入することで、なりすまし対策の精度を相互補完的に高めることができます。
関連記事:【図解あり】DKIMの役割を3分で解説!!ドメイン送信技術のDKIMの仕組みを理解しよう認証失敗時の扱いを決める「DMARC」
DMARC(ディーマーク)は、SPFとDKIMの認証結果に基づき、認証に失敗したメールをどう扱うかを受信側に指示するためのポリシー宣言です。
例えば、「認証に失敗したメールは迷惑メールに入れる(quarantine)」や「完全に拒否する(reject)」といった指示を出すことができます。また、自社のドメインがどのように使われているか(なりすまし攻撃を受けていないか)のレポートを受け取る機能も持っています。SPFとDKIMが「認証するための技術」であるのに対し、DMARCはそれらを統括し「運用と防御のルールを決める司令塔」のような役割を果たします。
なぜ今、SPFレコードが重要なのか?(Gmailガイドライン対応)
これまでSPFレコードの設定は、セキュリティ意識の高い企業が行う「推奨事項」という位置付けでしたが、現在は状況が大きく変わっています。特にGoogleが実施したガイドラインの改訂により、ビジネスでメールを利用するすべての企業にとって、SPFの設定は避けて通れない「必須要件」となりました。
2024年2月のGmail送信者ガイドライン強化
2024年2月より、Google(Gmail)は「メール送信者のガイドライン」を大幅に強化しました。この変更により、Gmailアカウント宛てにメールを送信するすべての送信者に対し、SPFまたはDKIMによるメール認証の設定が義務付けられました。
関連記事:https://support.google.com/mail/answer/81126特に、1日に5,000件以上のメールを送信する「大量送信者」に対してはさらに要件が厳しく、SPF、DKIM、DMARCの3つすべての設定が必要とされています。もしこれらの要件を満たしていない場合、正当なビジネスメールであっても、Google側でブロックされたり、迷惑メールフォルダに振り分けられたりする可能性が極めて高くなっています。
SPF未設定で起こる「なりすまし」と「不達」のリスク
SPFレコードが設定されていない場合、受信側のサーバーは「そのメールが本当に正規の送信元から送られたものか」を判断できません。
悪意のある第三者が自社のドメインを騙ってメールを送る「なりすまし」が行われた際、SPFの設定がないと、受信側はそれが偽物であると見抜くことができず、自社のブランドイメージが傷つく恐れがあります。また、なりすまし対策がされていないドメインからのメールは信頼性が低いと見なされるため、正規のメールであっても受信サーバーに拒否され、重要なお知らせや請求書などが相手に届かない「不達」のリスクに直結します。
Gnail送信者ガイドラインに関しては以下の記事で詳しく解説してますので参考にしてください。
メール配信はSPF・DKIMが設定できるメール配信システムを使う
メール配信システムを活用する場合は、メール自体はシステムを保有している会社のサーバーから配信されることとなります。
そのため、メルマガ配信などメールの一斉配信を含めたメール送信を行う際はSPFとDKIMが設定できるメール配信システムを使うことが重要です。
メール配信システムとは
メール配信システムは、複数のメールアドレスに対して同時にメールを送信することが可能です。大規模なメール送信はしばしばスパムと見なされがちで、その結果、メールが迷惑メールフォルダに振り分けられたり、最悪の場合は送信先に届かないこともあります。
これらの問題を克服するために、メール配信システムでは特定の技術が採用されており、これにより多数のメールを安全に配信することが実現されます。このようなシステムは、メルマガ送信や企業内での広報メールの配信などに利用されることが多いです。
シェア1位のメール配信システム「ブラストメール」の活用
ブラストメールは、SPF・DKIMにも対応しており、メルマガ配信や大量配信メールの送信に特化しています。
ブラストメールは15年連続顧客導入数で1位を獲得しており、直感的な操作性と、優れたコストパフォーマンスにあります。幅広い業界や公共機関からの支持を受け、メール配信ツールとしての地位を確立しています。以下のような課題を抱えている場合、ブラストメールの使用を考慮すべきです。
- 配信したメルマガが迷惑メールに振り分けられてしまう
- 大量のメール配信に時間がかかってしまい効率が悪い
- 安くて信頼できるメール配信システムを探している
SPF・DKIMなど、Gmailの送信者ガイドラインに対応しているのはもちろん、ターゲット分けによるセグメント配信、成果測定、HTMLメールの編集など、必要な機能を一通り備えています。最もリーズナブルなプランであれば、月額4,000円未満から利用開始できます。(DKIMはstandardプランから利用できます)
そのシンプルさと低価格から、メール配信ツールの使用が初めての方にも推奨されます。無料トライアルが提供されているため、興味があればぜひ利用を検討してみてください。
公式サイト:シェア1位のメール配信システム「ブラストメール」
API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」の活用
ブラストエンジン(blastengine)は、高速で大量のメール配信を実現するSMTPリレーサービスを提供するとともに、メールサーバーが不要なAPI経由のメール送信機能も提供しています。
ブラストエンジンがサーバーの管理とメンテナンスを担うことで、常に信頼性の高いIPレピュテーションを維持し、メール送信の安全性を保証します。上述したブラストメールはメルマガなどの送信に利用しますが、ブラストエンジンは自動送信メールやトランザクションメールなど、システムとのAPI連携やSMTPリレーでの利用が可能となります。
以下のような課題を抱えている場合、ブラストエンジンの使用を検討しましょう。
- IPアドレスやドメインがブラックリストに登録されメールが送れない
- 国内キャリア宛のメール配信に失敗しどう対処すれば良いか分からない
- メールサーバーの管理や運用を自社で行いたくない
さらに、27,000社以上の導入実績を持ち、15年連続で顧客導入数No.1を誇る姉妹製品blastmailによって構築された配信基盤を活用し、各メールプロバイダーや携帯キャリアドメインに最適化されたメール配信を大規模ネットワークを通じて行い、日本国内へ高速かつ99%以上の高いメール到達率を実現しています。
このサービスは、月額3,000円から利用可能で、SPF・DKIMの設定ができることはもちろん、コストパフォーマンスに優れ、メールサポートだけでなく日本語の電話サポートも提供しています。
メールアドレスを入力するだけで簡単にトライアルを開始できますので、ぜひお試しください。
FAQ
- Q:SPFレコードとは何ですか?
- A:送信ドメイン認証の仕組みの一つで、メールの送信元が詐称されていないかを検証するための技術です。DNSサーバーに配信元のサーバー情報を記述することで、受信側に「正しい送信元からのメールである」と証明できます。
- Q:SPFレコードが設定されていないとどうなりますか?
- A:送信したメールが相手側に「なりすましメール」と判断されるリスクが高まります。その結果、メールが迷惑メールフォルダに入ったり、受信拒否されて届かなくなったりする可能性があります。
- Q:SPFレコードの設定はどのように行いますか?
- A:送信元のメールアドレスを管理しているDNSサーバーに、TXTレコードとして情報を追加します。具体的には「v=spf1 include:(利用するサーバー情報) ~all」のように記述し、許可する送信元サーバーを指定します。
- Q:クラウド型のメール配信サービスを利用する場合も設定は必要ですか?
- A:はい、必要です。クラウド型の場合、送信元のドメインと実際に配信するサーバーが異なるため、なりすましと判定されやすくなります。サービス提供元の指定する情報を自社のDNSに追加し、そのサービスからの送信を許可する設定を行う必要があります。
まとめ
SPFレコードとは送られてきたメールが、なりすましメールでないかを確認するために使われる情報のことです。DNSサーバーを利用してSPFレコードのやりとりを行うドメイン認証をSPFと呼びます。
SPFが正常に働いていない場合は、自身のIPアドレスが汚れてしまい、メール配信時に信頼性のないメールとして分類されてしまう可能性があるので、確認をしておきましょう。
また、SPFととは別にDKIM署名という、第三者による改ざんがなされていないかをチェックするドメイン認証もあります。
多くのお客様に向けてメールを配信する場合は、メールの信頼度を上げ、確実にお客様にメールを配信するためにも、どちらか一方だけでなく両方の認証を整備した方が良いでしょう。
SPFは送信者が設定するしかありませんが、DKIM署名に関してはブラストメールのようにサービス内で用意している場合もあります。SPFの設定はもちろん、メール配信サービスを利用する際はDKIM署名の有無もチェックして利用しましょう。
