Defaults.Exposed

Defaults.Exposed › レポート

SPF設定ミスレポート:ほとんどのSPFレコードは設定が甘すぎる(2026年)

公開日 2026-06-29

数値は 2026-06-29 時点 · 方法論 v7。 SPF レコードを公開している 138,927,207 ドメインに関する集計センサスデータ。評価済みの 261 百万ドメインから抽出。評価方法はこちら

SPF を持っていることと、それを正しく設定していることは同じではありません。そして SPF を公開しているドメインの大半は、設定が弱すぎてほとんど役に立っていません。 SPF レコードを持つ 139 百万 ドメインのうち、55.8%~all(softfail)で終わっています。これは受信側に「これは偽装かもしれないが、とにかく配信せよ」と告げる寛容な設定です。厳格な -all を使っているのはわずか 39.3% です。SPF は広く採用されていますが、たいていの場合、牙を抜かれています。

「all」メカニズム:SPF の成否が決まる場所

すべての SPF レコードは「all」メカニズムで終わり、あなたのリストに載っていないサーバーからのメールをどう扱うかを指定します。これこそ SPF の核心であり、最も弱められやすい箇所です。

末尾意味SPF を持つドメイン
-all(hardfail)リストにない送信者を拒否——厳格な、本来意図された設定39.3%
~all(softfail)「おそらく偽装だが、とにかく受け入れる」55.8%
?all(中立)意見なし——実質的に保護なし3.0%
+allインターネット全体にあなたとして送信する権限を与える36,014 ドメイン
その他 / なしredirect/include-only、または末尾の all なし1.8%

見出しとなるのは、softfail(~all)が 55.8% で最も一般的な設定であること——hardfail より多いのです。softfail はそれ単体では弱い保護しか提供しません。受信側にリストにないメールを信用しないよう求めはしますが、拒否するようには求めません。

危険なエッジケース

softfail は本当に問題なのか?

DMARC で裏打ちされているなら問題ありません。現代のベストプラクティスは ~all quarantine または reject の DMARC ポリシーを加えることです——この組み合わせなら、転送メールを壊さずに厳格な強制が得られます。問題は、~all でありながら背後に強制力のある DMARC がないドメインの大きな割合です——DMARC を強制しているのは全ドメインのわずか 10.59%——そのため softfail はほとんど何もしていません。~all に設定された SPF は目的のための手段です。DMARC がなければ、それは単なる提案にすぎません。

よくある質問

SPF における ~all と -all の違いは何ですか? -all(hardfail)は、あなたのリストにないサーバーからのメールを拒否するよう受信側に伝えます。~all(softfail)は、それでも受け入れるが疑わしいものとして印を付けるよう伝えます。SPF を持つドメインの 55.8% が ~all を、39.3% が -all を使っています。

~all(softfail)を使うのは安全ですか? はい——ただし強制力のある DMARC ポリシー(quarantine または reject)と組み合わせた場合に限ります。softfail はそれ単体では弱い保護しか提供しません。

+all は何をしますか? +all は、インターネット上のすべてのサーバーにあなたのドメインとしてメールを送る権限を与えます——SPF が無いよりも悪い状態です。36,014 ドメインがこれを持っており、ほぼ常に誤りによるものです。

SPF の「ルックアップが多すぎる」エラーとは何ですか? SPF はネストした DNS ルックアップを最大 10 回まで許可します。それを超えるとレコードは「permerror」として失敗し、無視されます。7,958 ドメインに影響します。

あなたの SPF が正しく設定されているか確認しましょう

SPF を公開するのは作業の半分にすぎません。厳格に設定し DMARC で裏打ちすることが残りの半分です。あなたのドメインをプライベートかつ無料で確認しましょう。

あなたのドメインを確認 → · SPF を修正 → · DMARC を修正 → · メールが迷惑メールに入る理由 → · 集計データのみ。データは EU 内で保存・処理されます。