Defaults.Exposed

Defaults.Exposed › レポート

ドメインにSPFレコードを2つ設定できるのか?いいえ——100万のドメインが自らSPFを無効化しました(2026年)

公開日 2026-07-03

数値は 2026-06-29 時点 · methodology v7。 261 百万件の採点済みドメインを対象とした集計センサス。すべての数値は集計値であり、個々の企業のレコードを示すものではありません。採点方法はこちらをご覧ください。

いいえ——ドメインが公開できるSPFレコードはちょうど1つだけであり、これを間違えるとSPFは完全に無効になります。現在 1,013,416 件のドメインが2つ以上を公開しており、RFC 7208 の下ではドメインのSPFレコードがすべて無効になります。 最新のものでも最古のものでもなく——すべてが無効です。複数の v=spf1 レコードを見つけた受信者は恒久的なエラーを返さなければならず、これはSPF保護がまったく存在しないことを意味します。にもかかわらず、そのドメインは所有者から見ると保護が2倍になっているように見えるのです。

なぜSPFレコードが2つあるとゼロになるのか?

標準は明快です。ドメインのSPFポリシーは v=spf1 で始まる単一のTXTレコードでなければなりません(RFC 7208 §3.2。エラー結果は §4.5 に規定されています)。ルックアップで複数見つかった場合、受信者はどれが正当なのか判断できません——そのため標準は推測を禁じています。標準に準拠した受信者は必ず PermError を返さなければならず、評価は恒久的に失敗します。

そしてPermErrorは中立ではありません。DMARCはこれをSPF側の失敗として扱います——つまり、レコードを重複させたドメインは、自らの保護を無効にしたうえに、自分自身の正当なメールの認証にも支障をきたしているのです。これは、保護を追加することで保護が失われる、ごくわずかなDNSミスの1つです(DMARCレコードを2つ公開すると、DMARCに対して同じことが起こります)。

SPFを試みているドメインのおよそ 138 件に1件 が、自らこれをやってしまっています。

どうして起こるのか?導入時のコピペ

意図して2つ目のSPFレコードを書く人はほとんどいません。それはメールツールを追加した日に起こります。

  1. あなたのドメインには、メールボックスプロバイダーから設定された v=spf1 include:spf.protection.outlook.com -all がすでにあります。
  2. ニュースレタープラットフォーム、CRM、または請求書作成ツールに登録します。
  3. そのセットアップガイドにはこう書いてあります。「このTXTレコードをDNSに追加してください: v=spf1 include:newtool.example.com ~all
  4. あなたは書いてある通りに実行します——古いものの隣に、それを追加します。

これで2つのレコードが存在することになり、両方とも無効です。ガイドは「追加」と言いましたが、追加こそ標準が許さない唯一の行為です。正しい対応——新しい include: を既存のレコードに統合すること——は、ほとんどの導入フローでは言及されていません。

この不具合はDNSパネルからは見えません。両方のレコードは個別には整った形式に見え、受信者が他のシグナルにフォールバックするため、メールはほとんどの場合まだ届きます。なりすましが届くか、到達率が下がるまで、何も警告してくれません。

確認して修正する方法——2分、無料

  1. あなたのドメインのTXTレコードを調べます(dig TXT yourdomain.com、または無料チェックをご利用ください)。
  2. v=spf1 で始まるレコードの数を数えます。安全な数は 1 だけです。
  3. 複数ある場合は統合します——すべての include:ip4:/ip6: メカニズムを、1つの終端修飾子を持つ単一のレコードにまとめ(~all-all の違いを参照)——残りは削除します。
Before:  v=spf1 include:spf.protection.outlook.com -all
         v=spf1 include:servers.mcsv.net ~all

After:   v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

統合する際は、10ルックアップの上限に注意してください——include: メカニズムが多すぎると、また別の形でSPFが壊れます。

よくある質問

複数のSPFレコードは許可されていますか? いいえ。RFC 7208 はドメインごとにちょうど1つの v=spf1 レコードのみを許可します。2つ以上あると恒久的なエラーが発生し、SPFが完全に無効になります。2026-06-29 時点で 1,013,416 件のドメインがこの状態にあります。

2つ目のSPFレコードが1つ目を上書きしますか? どちらも勝ちません。複数のレコードを見つけた受信者は、どちらかを選ぶのではなく評価を失敗させなければなりません——そのため、すべてが同時に機能しなくなります。

2つのSPFレコードを1つにまとめるにはどうすればいいですか? v=spf1 で始まり、すべてのレコードのあらゆる include: とIPメカニズムを含み、単一の -all または ~all で終わる1つのレコードにします。余分なものを削除したうえで、ルックアップ数を検証し、統合後も上限内に収まっているか確認してください。

SPFレコードが2つあるのに、なぜメールはまだ届くのですか? エラーに遭遇した受信者は通常、SPFなしで処理を進めるため、あなたのメールはレピュテーションとDKIMに乗って届きます。あなたが失ったのは保護です——なりすましを拒否するものが何もなくなり——DMARC評価はSPF側を失います。メールが機能することと、SPFが機能することは別物です。

あなたのドメインが100万件の1つかどうか確認する

30秒の確認で、問題なしと判明するか、2分の統合作業が手渡されるかのどちらかです。

あなたのドメインをチェックする → · SPFを修正する → · SPF PermError レポート → · SPF成熟度モデル → · 集計データのみ。データはEU内で保存・処理されます。