Defaults.Exposed › 設定 › SPF

Cloudflare での SPF 設定方法

Cloudflare DNS に SPF レコードを追加し、メールプロバイダーがあなたの本物のメールと偽装を見分けられるようにします。

なぜこれがビジネスにとって重要なのか

SPF（Sender Policy Framework）は、あなたの名前でメールを送信してよいメールサーバーを列挙した、DNS 上の短い宣言です。あなたを名乗るメッセージを受け取ると、相手のメールプロバイダーはその一覧を照合します。送信元サーバーが一覧に無ければ、そのメッセージは怪しく見え、迷惑メールに振り分けられるか、ブロックされます。

平たく言えば、SPF は自社をメールで詐称することを難しくし、正規メールを迷惑メールフォルダではなく受信トレイに届けやすくします。レコードは 1 つ、無料で、数分で済みます。

始める前に：本当に Cloudflare が自社の DNS を運用していますか？

多くの人がつまずくのがこの段階です。DNS レコードは、Cloudflare が自社ドメインの DNS 問い合わせに応答している場合にのみ機能します。

Cloudflare は DNS ホストであって、メールボックスのプロバイダーではありません — DNS には応答しますが、受信トレイは運用しません。Cloudflare の DNS が有効になるには、自社ドメインのネームサーバー（ドメインを登録した場所で設定）が、Cloudflare ダッシュボードに表示される 2 つの Cloudflare ネームサーバーを指している必要があります。Cloudflare でドメインを開き、Overview ページを確認してください。そのドメインで Cloudflare が有効かどうかが表示されます。ネームサーバーがまだレジストラや別のホストを指している場合、Cloudflare で追加したものは何も効きません — 代わりに DNS が実際に置かれている場所で SPF レコードを追加してください。

まず 1 つの事実を確認：誰があなたのメールを送信していますか？

SPF には、自社ドメインのメールを送信するすべてのサービスを記載しなければなりません。よくある例は Google Workspace、Microsoft 365、あるいはメールボックスをホストしているプロバイダーです。各社は SPF レコードに入れる値を公開しています（Google なら include:_spf.google.com、Microsoft 365 なら include:spf.protection.outlook.com のような形が多い）。正確な値はメールプロバイダー自身のヘルプページで確認してください — そこが正しく書かなければならない部分です。

メールの転送に Cloudflare Email Routing を使っている場合、それは転送用に独自の DNS レコードを追加しますが、あなたとして外向きにメールを送信するわけではありません — SPF には、実際に送信元となるサービスを引き続き記載する必要があります。

Cloudflare での手順

1. Cloudflare にサインインし、ダッシュボードからドメインを選択します。
2. 左側のメニューで DNS 設定へ進みます（DNS / Records を探します）。
3. Add record をクリックします。
4. Type を TXT に設定します。
5. Name 欄に @ を入力します — @ は「ドメイン自体」を意味します。ここにフルドメイン名を入力しないでください。
6. Content 欄に SPF テキストを入力します。一般的なレコードはこうなります： v=spf1 include:_spf.google.com ~all include: の部分は、実際のメールプロバイダーが指定する値に置き換えてください。
7. TTL は Auto のままにします。
8. Save をクリックします。

Cloudflare で人がよく間違える落とし穴

• 1 ドメインにつき SPF レコードは 1 つ。 v=spf1 の TXT レコードを 2 つ持つことはできません — メールプロバイダーはそれを壊れていると見なします。すでに 1 つある場合は、2 つ目を作らず、新しいサービスを既存のものに編集で追加してください。
• 引用符で囲まない。 Cloudflare が引用符を処理します。v=spf1 で始まるプレーンなテキストをそのまま貼り付けてください。自分で " を足すと、不正なレコードになることがあります。
• Name は @、自社ドメインではない。 フルドメイン名を入力しても Cloudflare は通常ルートに畳み込みますが、@ が明確で確実な選択です。
• プロキシ（オレンジの雲）は関係ない。 SPF は TXT レコードに置かれ、TXT レコードは決してプロキシされません — TXT レコードでオレンジ/グレーの雲のトグルを気にする必要はありません。
• ~all と -all。 ~all（ソフトフェイル）は「一覧に無いものは怪しい」、-all（ハードフェイル）は「一覧に無いものは拒否する」を意味します。すべて正しく送信できることを確認するまでは ~all で始め、一覧が完全だと確信できたら -all に引き締めてください。
• 変更は即時ではありません。 DNS の更新は、各所に広がるまで数分から 2 時間ほどかかることがあります。

動作確認

レコードを保存し、反映まで少し時間を置いたら、このサイトの無料チェックで確認してください。SPF レコードが存在し正しく構成されているかを、平易な言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。