Defaults.Exposed › 修正 › 逆引きDNS（PTR）

逆引きDNS（PTR）の直し方

逆引きDNSは、あなたの会社のメールを送るサーバーの身分証です。GmailやMicrosoft 365のような受信プロバイダーが、送信アドレスの背後にいるのが誰かを調べて、整合性の取れた名前が返ってくると、あなたのメールは正規に見えます。身分証がない、あるいは名前と番号が食い違っていると、まったく本物の請求書や見積書が疑わしいものとして扱われ、静かに迷惑メール化されたり拒否されたりします。

あなたのビジネスにとっての結論： 請求書・見積書・顧客への返信が、あなたが気づくようなエラーも出さずに、静かに迷惑メールへ落ちるか、まったく届きません。その結果、商談は止まり、支払いは遅れ、顧客は無視されたと思い込みます。

これで失いかねないもの

有望な見込み客に見積もりを送ったのに、相手の迷惑メールに落ち、『ちゃんと返事をくれた』競合に決められてしまう—しかもメールが届かなかったことすら知らないまま。
顧客への請求書が迷惑メールに消え、支払いが何週間も遅れ、誰もメールを見ていなかったせいで資金繰りに打撃を受けます。
顧客が返事をくれなかったと苦情を言う—でもあなたは返した。あなたの送信サーバーが自分の身元を証明できなかったせいで、相手のメールプロバイダーが静かに返信を捨てたのです。
あなたのドメインは新規顧客のセキュリティ審査を他のすべてで通過したのに、メールサーバーにきちんとした身元がないせいで指摘され、注意散漫に見える小さな一点でつまずきます。
ニュースレターや請求書の送信を、安価なVPSや新しいアプリに移した途端、配信率が落ちる—その新しい送信サーバーに逆引きDNSの身分証がなく、大手プロバイダーがもはや信頼しないからです。

なぜ重要か。 主要なメールプロバイダーはすべて、あなたのメールを送るサーバーの身元を、しかも一通ごとに確認します。そのサーバーが自分の身元を証明できない、あるいは名前と番号が矛盾していると、あなたの本物の業務メールは迷惑メールかもしれないものとして扱われます。返信・支払い・信頼を失い、何も跳ね返らないため、たいてい理由がわからないままです。

要点

あなたの会社がメールを送るとき、それはメールサーバーから出ていきます。インターネット上のすべてのサーバーには数値のアドレス（IP）があります。逆引きDNS（『PTR』レコード）は、そのサーバーの名札です。番号を見た者が、その背後にあるきちんとした名前（例えばmail.yourcompany.com）を調べられるようにします。

主要な受信プロバイダー（Gmail、Microsoft 365、Yahoo）は、あなたが送るすべてのメッセージでその名札を確認します。自分の名前を名乗れて、名前と番号が互いに整合するサーバーは、正規のメールサーバーに見えます。名札のないサーバー、あるいは一致しない名札のサーバーは、スパマーが使う匿名の使い捨てマシンとそっくりに見えます。だから、あなたの本物の請求書や見積書は、すべての会話を疑いの目から始めることになり、その多くが負けます。

もどかしいのは、それが起きていることを何も知らせてくれない点です。バウンスもエラーもありません。あなたのメールがただ静かに力を発揮できなくなるのです。

これが招きうる損失

逆引きDNSレコードがない・一致しないことが、信頼とお金が流出する形に変わる、ありふれたパターンです。当社は実在の企業名を挙げることはありません。これらはデータ全体に見られる傾向です。

届かなかった見積もり。 その朝に求められた詳細な見積もりを見込み客にメールで送ります。相手のプロバイダーがあなたの送信サーバーを検証できず、メッセージを迷惑メールに落とします。相手は迷惑メールをかき分けません。午後には『ちゃんと届いた』競合の見積もりを取っています。あなたは反応の鈍い見込みだったと片づけますが、実際にはメールが見られなかっただけです。
虚空に消えた請求書。 優良顧客に請求します。相手の迷惑メールフォルダに落ちます。30日後、相手に非がないのに延滞した支払いを催促することになり、気まずい会話、緊張した関係、そして完全に避けられたはずの資金繰りの穴が生まれます。
『返事をくれなかった』。 質問を無視されたと顧客が怒っています。あなたは無視していません。同じ日に返信しました。あなたの送信サーバーが信頼できなく見えたせいで、相手のメールプロバイダーが静かに返信を捨てたのです。実際には正しく行ったことで、あなたが不誠実に見えます。
すべてを静かに毒した自作の送信サーバー。 節約のため、メール（あるいはニュースレターや自動請求書だけ）を安価なVPSや新しい送信アプリから出し始めました。そのサーバーは逆引きDNSの名札を取得しませんでした。一夜にして配信率が全面的に低下し、エラーメッセージがないため、原因を疑うまで数か月かかりました。
セキュリティ審査の指摘。 大口顧客のITチームが導入時にあなたのドメインを定例チェックします。他はすべて問題ないのに、メールサーバーにきちんとした身元がありません。技術的には些細な点ですが、注意散漫と映り、締切に追われて修正するか、言い訳することになります—競合のドメインはちょうど難なく通過したばかりなのに。

これらすべてに共通する筋書きは、コストはあなたに降りかかり、起きている間は見えず、修正は無料だということです。

逆引きDNSの実体

通常のDNSは名前を番号に変えます。yourcompany.comと入力すると、DNSが接続先のIPアドレスを返します。逆引きDNSは逆です。番号を名前に戻します。IP 203.0.113.10を与えると、逆引き（『PTRレコード』）がmail.yourcompany.comと答えます。

受信側が気にする理由：あなたのメールサーバーがGmailに接続してメッセージを配達するとき、Gmailは接続元のIPを見ます。本格的なメールフィルターが最初にすることは、そのIPを逆引きして*『このマシンは誰か？』*と尋ねることです。本物の業務メールサーバーには答え（mail.yourcompany.com）があります。使い捨てのスパムマシンにはたいてい答えがないか、host-203-0-113-10.someisp.netのような一般的なプロバイダー割り当ての名前があります。ですから名札の有無と質は、あなたのメールに適用される最初の信頼シグナルのひとつであり、SPF・DKIM・本文が見られる前に判断されます。

ウェブサイトではなくメールサーバーを検査します。 ここを勘違いする人がいます。あなたのウェブサイトのアドレスはCDNやプロキシ（Cloudflareなど）の背後にあることが多く、一致する名札を決して持ちません。それで構いません。メールの逆引きDNSはMXメールサーバーのIP、つまりまったく別のマシンの話だからです。この検査は、あなたのドメインの主メールサーバー（最も優先度の低いMXレコード）を正しく調べ、そのIPを解決し、そのIPの名札を確認します。

多くの設定が間違える半分：双方向で一致しなければならない。 名前があるだけでは不十分です。Gmailや他の大手フィルターは、**forward-confirmed reverse DNS（FCrDNS）**と呼ばれる、より厳格なことを行います：

IPを調べる → 名前を得る（例：mail.yourcompany.com）。
今度はその名前を逆に調べる → 出発点と同じIPに解決しなければならない。

両方向が一致すれば、サーバーは確認済みで完全に信頼されます。名前はあるが別の場所を指す（あるいはどこも指さない）と、サーバーは半分しか信頼されません。二度見に耐えない名札は、期待より弱く扱われます。攻撃者が管理するホスト名を指し、戻ってこないPTRは、ある意味PTRがないより悪いこともあります。

この検査はまさにそのように採点します：

forward-confirmed（FCrDNS）： IPがホストを名指しし、そのホストが同じIPを指し返す。満点。これが正しい設定で、受信側が信頼するものです。
名札は存在するが確認できない： PTRレコードはあるが、名前がメールサーバーのIPに戻らない。部分点のみ。設定済みに見えても、大手フィルターは完全には信頼しません。
名札がまったくない： メールサーバーのIPにPTRレコードがない。点なし。配信のコストは現実です。

比重についての注記： 方法論上、これは評点付きのメールセキュリティ検査です（25点、P2優先度の項目）。最も重いメール検査ではありません—それは完全ななりすましを止めるSPFとDMARCです—が、あなたのメールの立ち位置の正真正銘の評点部分であり、あなた自身ではなくプロバイダーが何かを正しく行うかに依存する数少ないもののひとつです。Google WorkspaceやMicrosoft 365だけで送るなら、ほぼ確実にすでに合格しています。不合格になるのは、自前または第三者のサーバーから送る企業です。

『良い』状態とは： 主メールサーバーのIPに、あなたが所有する実在のホスト名を指すPTRレコードがあり、そのホスト名が同じIPにまっすぐ戻る。両方向が一致している（FCrDNS確認済み）状態です。

修正方法（誰かの時間で無料・約10分）

メールサーバーのIPアドレスを所有する相手—通常はメールやホスティングのプロバイダー、自前のマシンならデータセンター—にこの項を渡してください。修正は無料です。これは通常のDNSパネルでほぼ確実に自分では変更できない唯一のメール設定です。逆引きDNSはドメインの所有者ではなくIPの所有者が制御するからです。当社が料金をいただくのは、それが正しい状態を保ち続けているかを監視する場合のみで、変更そのものには決してかかりません。

ステップ1 — 送信メールサーバーのIPを見つける。 ドメインの主MXホスト（優先度の数字が最も小さいメールサーバー）を特定し、そのIPアドレスに解決します：

dig MX yourcompany.com        # 主（最優先＝最小優先度）MXホストを探す
dig A mail.yourcompany.com    # そのホストをIPに解決する

そのIPが名札を必要とするものです。ウェブサイトのIPは使わないこと。別のマシンで、多くはCDNの背後にあり、決して一致しません。

ステップ2 — IPの所有者にPTRレコードの設定を依頼する。 逆引きDNSはIPブロックを制御する相手に属するので、依頼先は：

Google Workspace / Gmail： Google自身のメールサーバー用に自動管理されます。Googleだけを通して送るドメインがなぜか不合格と出る場合は、Googleサポートに問い合わせを（実際には合格します）。
Microsoft 365： 同様にMicrosoftのサーバー用に自動管理されます。
自前またはVPSのメールサーバー： ホスティングプロバイダーやデータセンターにチケットを開き、あなたのIPのPTR（逆引きDNS）をメールのホスト名に設定するよう依頼します。多くのプロバイダーがコントロールパネルの『Reverse DNS』『rDNS』『PTR』に項目を用意しています。大手クラウドでは1項目の設定です（例えばAWSはElastic IPでrDNSを有効化するのに短い申請フォームが必要、多くのVPSホストは即時設定できます）。
第三者の送信アプリ（ニュースレター／請求書／CRMツール）： 自社の共用サーバーから送る場合、逆引きDNSはプロバイダーが扱うので設定するものはなく、そのトラフィックについては無視できます。あなたが購入した専用IPから送る場合は、そのPTRの設定を依頼してください。

希望するレコードを伝えます。例：203.0.113.10 → mail.yourcompany.com。

ステップ3 — 双方向で確認できるようにする（多くの人が見落とすステップ）。 PTRのホスト名は、あなたが自分のDNSで管理する通常のAレコードを通じて、同じIPに戻るようにも解決しなければなりません。つまり：

PTRは 203.0.113.10 → mail.yourcompany.com（プロバイダーが設定）。
Aレコードは mail.yourcompany.com → 203.0.113.10（あなたが自分のDNSで設定。例：Cloudflare → DNS → Aレコードを追加、Name mail、content 203.0.113.10）。

両方向が互いを指す必要があります。そのときだけ forward-confirmed となり、完全に信頼されます。

ステップ4 — ドメインを再チェックする。 メールサーバーが forward-confirmed reverse DNS を示し、検査が合格することを確認します。DNSの変更は数分から数時間で反映されます。

よくある間違い

メールサーバーではなくウェブサイトのIPに名札を設定する。 メールの逆引きDNSはMXサーバーの話です。ウェブ／CDNのアドレスにPTRを付けても配信には何の意味もなく、間違ったマシンに名札が付きます。
『PTRが存在する』で止める。 名前だけでは部分的な信頼しか得られません。同じIPに戻らなければ、厳格なフィルター（Gmail、M365、Yahoo）は完全には信頼しません。必ず双方向の確認（ステップ3）を完了させてください。
プロバイダーがPTRを設定した後、Aレコードを忘れる。 プロバイダーは逆引きの半分を設定します。あなたは自分のDNSで順引きの半分を設定しなければなりません。片方だけやって完了したと思い込む人がいます。
依頼先を間違える。 IPの所有者ではなくドメインレジストラやDNSホストに依頼すると『それはできません』と返ってきます。本当にできないからです。IPを所有する相手に持っていく必要があります。
一般的なプロバイダーのホスト名。 host-203-0-113-10.someisp.netのようなPTRは技術的には存在しますが、ブランドにも信頼にも何の役にも立ちません。双方向で確認できる、自分のドメインの実在のホスト名を使いましょう。

どこに位置づくか

逆引きDNSはサーバーの身元、SPF・DKIM・DMARCはドメインの認可となりすまし対策の層です。それぞれ別の問いに答え、大手プロバイダーはすべてを確認します。SPFはどのサービスがあなたを名乗って送ってよいかを列挙し、DKIMはメッセージを暗号署名して改ざんを防ぎ、DMARCは両者を結びつけ、検査に失敗したメールを受信側がどう扱うべきかを指示し、顧客が実際に目にする『差出人』名を守ります。逆引きDNSはそのすべての土台に位置し、そもそも送信しているマシンが実在する名前付きのメールサーバーであることを保証します。最強のなりすまし防御にはSPF・DKIM・DMARCを正しくし、新しい・自前の送信サーバーが他が出番を迎える前に静かに不信を買わないように逆引きDNSを正しくしましょう。これらの修正はどれも無料です。

よくある質問

技術に詳しくありません。自分で対応できますか？

たいていは無理ですが、それで構いません。ほとんどのメール設定と違い、これは自分のドメインのDNSではなく、メールサーバーのインターネットアドレス（IP）を所有する相手、つまりあなたのメールやホスティングのプロバイダーが設定します。あなたの仕事は『修正方法』の項を転送するだけ。相手側の手早い変更で、無料です。

Google WorkspaceやMicrosoft 365を使っていれば、すでに守られていますか？

ほぼ確実にそうです。どちらも自社のメールサーバーの逆引きDNSを自動で管理するので、それだけを通して送るドメインは何もせず合格します。それでも当社の検査が指摘する場合、ほぼ必ず、一部のメールが別のサーバー（自前のマシン、安価なVPS、第三者の送信アプリ）から出ていて、そのサーバーに身分証がないことを意味します。修正の項に誰に連絡すべきか書いてあります。

これを修正するとメールが壊れる恐れはありますか？

いいえ。これは送信サーバーの身元レコードを追加・修正するだけで、メールの行き先も、送ってよい相手も、受信トレイの設定も変わりません。すでに送っているメールが、より信頼され配信されやすくなるだけです。

これとSPF・DKIM・DMARCの違いは？

その3つは『このドメインはこのメッセージを送ってよいか？』に答えます。逆引きDNSは別の、より手前の問いに答えます。『送信しているマシンは、実在する識別可能なメールサーバーか、それとも匿名のマシンか？』大手プロバイダーは両方を確認します。すべて正しくしたいところですが、逆引きDNSはSPFやDKIMが出番を迎える前に、新しい・自前の送信サーバーを捕まえるものです。

逆引きDNSレコードはあるのに、検査が完全には合格しません。なぜ？

名前があるだけでは不十分で、名前が双方向で整合する必要があるからです。身分証はサーバーが例えばmail.yourcompany.comと名乗ると言いますが、Gmailはその名前を調べ、まったく同じIPに戻ってくることを期待します。そうでなければ（あるいは別の場所を指していれば）、プロバイダーは未確認とみなし、半分しか信頼しません。この双方向の一致を forward-confirmed reverse DNS と呼び、多くの設定が見落とす部分です。

修正は本当に無料ですか、それとも有料への誘導ですか？

修正は常に無料です。プロバイダーが行う小さな設定変更であって、買う製品ではありません。逆引きDNSの設定に有料プランが必要だと言う人がいたら、それは間違いです。当社が料金をいただくのは、それが正しい状態を保ち続けているかを監視する場合のみで、変更そのものには決してかかりません。

逆引きDNS（PTR） の直し方