Defaults.Exposed › レポート
SPF +all: インターネット全体に自らを名乗ってメール送信を許可しているドメイン(2026年)
公開日 2026-07-03
数値は 2026-06-29 時点 · 手法バージョン v7。 261 百万件の採点済みドメインを横断した集計センサスです。すべての数値は集計値であり、個々の事業者のレコードを示すものではありません。採点方法はこちらをご覧ください。
36,014 件のドメインが、SPFレコードを +all で終えています。これは、インターネット上のすべてのサーバーが自らを名乗ってメールを送信する権限を持つ、という公開された機械可読の宣言です。 これは最も稀なSPFの設定ミス(公開者の 0.03%)であり、そして最も自滅的なものです。レコードが存在しない場合、受信側は自らのヒューリスティックに委ねられますが、+all は偽装者が正当であると積極的に受信側へ伝えてしまうのです。
SPFレコードにおける +all とは何か?
最後の all メカニズムには修飾子が付きます。これはあなたのリストに載っていない送信者に対する判定です。-all は拒否し、~all は疑い、そして +all は承認します。偽装されたメッセージを +all レコードと照合した受信側は、きれいなSPF pass(合格)を返します。一文で言えばこれが害です。あなたの保護策が偽装者を保証してしまうのです。しかも、SPFの合格はDMARCのSPF要件を満たしうるため、この合格は、なりすましを止めるために作られたまさにそのシステムをすり抜けさせる手助けとなり得ます。
地図:歓迎マットはどこに集中しているか
+all はどこにでも、薄く存在しています。しかしその割合は末尾によって大きく異なります。件数はセンサスによるもので、割合 = そのTLDのSPF公開者10,000件あたりの +all レコード数です。
| TLD | +all ドメイン数 | 10,000件あたりの割合 |
|---|---|---|
| .be | 1,399 | 22.5 |
| .nl | 1,965 | 8.8 |
| .eu | 672 | 6.6 |
| .fr | 1,147 | 6.2 |
| .net | 1,640 | 3.6 |
| .org | 1,392 | 2.8 |
| .com | 16,636 | 2.4 |
| .de | 732 | 1.3 |
ベネルクス・フランス圏のクラスターが際立っています。.be のSPF公開者は、.com の公開者に比べて +all を持つ可能性がおよそ 9 倍高いのです(10,000件あたり 22.5 対 2.4)。これほど集中したパターンが、何千もの独立した間違いを意味することは稀です。最も妥当な説明は共通の出所です。すなわち、+all を出荷し何年にもわたってコピーされてきた地域のホスティングパネル、レジストラのテンプレート、あるいは手順解説記事です。同じ指紋は、深刻度の階段を一段下がったところにも現れます。.za のSPFレコードの 22.6% が中立の ?all で終わっており、これは同じ方向を指す国レベルの外れ値です。
どうして +all になってしまうのか?
3つの経路があり、いずれも悪意のないものです。
- 終わらなかったデバッグ作業。
+allはあらゆるSPFの問題を消し去ります。メールは流れ、エラーは止まります。誰かがローンチのブロックを解除するために設定し、そのレコードが障害対応より長く生き残ったのです。 - 構文の読み違い。 修飾子の表を見たことがなければ、
+は「自分のリストを許可する」という意味に見えます。意図は-allでしたが、その文字が意味を反転させてしまったのです。 - 受け継いだテンプレート。 地図が示すように、一部のレコードはパネルやガイドからあらかじめ壊れた状態で届きます。
1文字の修正
+all を -all に変えるか、強制的なDMARCを背後に置いた上で ~all にしてください。1つのTXTレコードの中の1文字、無料で、DNSが更新されるとすぐに、通常は1時間以内に効果が現れます。ドメインに施せるこれより速いセキュリティ改善はありません。
よくある質問
SPFレコードにおける +all とは何ですか? インターネット上のすべてのサーバーが、あなたのドメインを名乗ってメールを送信することを認めるものです。SPFの目的とは正反対です。2026-06-29 時点で 36,014 件のドメインがこれを公開しています。
+all はSPFレコードが無い状態よりも悪いのですか?
重要な一点においては、そうです。レコードが無ければ受信側は推測するしかありませんが、+all は偽装をきれいなSPF合格へと変えてしまう可能性があります。しかもその合格はDMARCまですり抜ける手助けとなり得ます。一部のフィルターは +all そのものをスパムのシグナルとして扱うため、あなたの正当なメールにも害を及ぼしかねません。
自分のドメインに +all があるかどうか、どう確認すればよいですか?
TXTレコードを読む(dig TXT yourdomain.com)か、無料チェックを実行してください。許可的な修飾子は即座にフラグ付けされます。
なぜテンプレートが +all をデフォルトにすることがあるのですか? 最も妥当な理由は、それがサポートチケットを一切生まないからです。不正なものも含めて、すべての配信が「機能する」のです。私たちのデータに見られる地域的な集中は、何千もの個別の選択というよりは、テンプレートのデフォルトと整合します。もっとも、センサスが見るのはレコードであって、その作成者ではありません。
あなたの末尾を確認しましょう
歓迎マットを出している所有者のほとんどは、それがそこにあることに気づいていません。自分の玄関マットを読むのに30秒、書き換えるのに1文字のコストしかかかりません。
あなたのドメインを確認する → · SPFを修正する → · ~all 対 -all → · 設定ミスの殿堂 → · 集計データのみ。データはEU域内で保存・処理されています。