Defaults.Exposed › レポート
SPFとは何か、そしてSPFレコードはどう修正すればよいのか?(2026年)
公開日 2026-07-01
2026-06-29時点の数値・方法論v7。 採点対象となった261百万のドメインを横断した集計センサスデータ。SPF(Sender Policy Framework)は、あなたのドメインのメールを送信してよいサーバーを列挙するDNSレコードです。採点方法についてはこちらをご覧ください。
SPFとは、DNS内の1行であり、「これらのサーバーは私としてメールを送信してよい。それ以外はすべて疑わしいものとして扱え」と宣言するものです。 261百万のドメインのうち、**53.21%**がSPFレコードを公開しています。健全に聞こえますが、レコードそれ自体はあなたを保護しません。列挙されていない送信者を拒否するか通過させるかを決めるのは終端修飾子であり、多数のレコードは何も変わらないほど緩く設定されています。ここでは、SPFが実際に何をするのか、私たちが最もよく目にする間違い、そしてあなたのSPFの修正方法を解説します。
SPFレコードとは?
メールサーバーが、あなたのドメインから送られたと称するメッセージを受信すると、あなたのSPFレコードを参照し、送信元サーバーが承認済みリストに含まれているかどうかを確認します。レコードは、リストに含まれないすべてのものに対する指示で終わります。
-all(ハードフェイル)— 列挙されていない送信者を拒否する。これが本気で対策する設定です。~all(ソフトフェイル)— 受け入れるが疑わしいものとして印を付ける。ほとんどのメールは依然として配信されます。?all(ニュートラル)— 何もしない。意見を持たないことと同等です。+all— 誰からのものでも何でも受け入れる。これは積極的に危険であり、決して公開すべきではありません。
SPFを公開している139百万のドメインのうち、厳格な-allを使っているのはわずか**39.3%であり、より緩い~allを使っているのは55.8%です。そして36,014**のドメインが+allを公開しており、これは誰でも自分として送信してよいと世界に告げる、開かれた招待状です。
SPFを密かに壊す間違い
- DNSルックアップが多すぎる。 SPFはルックアップ10回に上限が設けられており(RFC 7208)、これを超えるとレコード全体が「permerror」で失敗し無視されます。**7,958**のドメイン(SPFを持つドメインの0.01%)がこの上限を超えており、その原因は通常、サードパーティ送信者向けの
include:文を数珠つなぎにしすぎることです。 +allを公開している。 まれですが破滅的です。SPFを完全に無効化し、偽装者にお墨付きを与えます。- SPFがなりすましを防ぐと思い込んでいる。 SPFはそれ単独では防ぎません。SPFは技術的な送信経路を確認するものであり、人が目にする「From」アドレスを確認するものではありません。全ドメインの**32.4%**がSPFを公開しているがDMARCを持っておらず、そのため目に見える送信者は依然として偽装され得ます。SPFは配管であり、DMARCの強制が錠前です。DMARCなしのSPFについてはこちらをご覧ください。
SPFレコードはどう修正すればよいのか?
- SPFレコードを1つ公開する —
v=spf1で始まる単一のTXTレコード。決して2つ公開しないでください。それは自動的に失敗になります。 - 正当な送信者をすべて列挙する — メールボックスプロバイダー、マーケティングプラットフォーム、CRM、ヘルプデスクなどを、提供元が文書化している
include:値を使って列挙します。 -allで終える — リストが完全だと確信できたら。安全のための余裕が必要なら~allから始め、その後締めていきます。SPFの修正はこちらをご覧ください。- ルックアップを10回未満に保つ — 上限に近い場合は、includeを平坦化するか統合します。
- その上でDMARCを追加する — SPFとDKIMはDMARCに情報を供給します。DMARCこそが、誰かがあなたのドメインとしてメールを送信することを実際に止める制御です。
よくある質問
SPFレコードはどのようなものですか?
v=spf1 include:_spf.google.com -allのような単一のDNS TXTレコードです。include:エントリーがあなたの承認済み送信者で、末尾の-allがそれ以外のすべてを拒否します。
~allと-allではどちらが良いですか?
-all(ハードフェイル)の方が強力です。列挙されていない送信者を拒否するよう受信側に伝えます。~all(ソフトフェイル)は通常それでもメールを配信します。2026-06-29時点で、SPFレコードの39.3%が-allを使い、55.8%が~allを使っています。
SPFは人々が私のドメインをなりすますことを止めますか? それ単独では止めません。SPFは目に見える「From」アドレスを管理しません。DMARCを強制するよう設定する必要があります。ドメインの32.4%がSPFを持つがDMARCを持たず、なりすまし可能なままです。
私のSPFレコードは正しく見えるのに、なぜ「失敗」するのですか?
最も多いのは、ルックアップ10回の上限を超えてpermerrorを返す場合です。SPFを持つドメインの0.01%がこれに該当します。include:ルックアップの数を減らしてください。
SPFの修正には費用がかかりますか? いいえ、無料のDNS変更です。手間がかかるのは送信者リストを完全かつ正確にすることであって、費用ではありません。
あなたのドメインのSPFを無料でチェック
あなたのSPFレコード、その終端修飾子、そしてそれが完全かどうかを確認できます。プライベートに、そして所有者のみに。
あなたのドメインをチェック → · SPFを修正 → · DMARCを修正 → · 採点方法 → · 集計データのみ。データはEU内で保管・処理されます。