Defaults.Exposed › 設定 › SPF

Microsoft 365 での SPF 設定方法

SPF レコードを追加し、Microsoft 365 のサーバーが自社ドメインのメールを送信してよいことを世界に示します。

なぜこれがビジネスにとって重要なのか

SPF（Sender Policy Framework）は、自社ドメインで「差出人」として送信してよいメールサーバーを列挙した、DNS 上の短い宣言です。これが無いと、詐欺師があなたのアドレスを偽装し、顧客や取引先に偽の請求書・支払い依頼・見積もりを送りつけられてしまいます。しかも、あなた自身の正規メールまで迷惑メールに振り分けられやすくなります。SPF の設定は無料で、数分で済み、自社の信用を守りメールを確実に届けるための、最も強力で最も安価な対策のひとつです。

重要：実際にこれをどこで行うのか

ここで多くの人が混乱するので、はっきりさせておく価値があります：

• Microsoft 365 はあなたのメールを運用しています（メールボックスは Exchange Online 上にあります）。ですが Microsoft 365 はメールのプラットフォームであって、必ずしも自社ドメインの DNS が置かれている場所ではありません。
• SPF レコードは DNS ホストで追加します — 自社ドメインのネームサーバーを管理している会社です。それは、ドメインを取得したレジストラ（GoDaddy、Namecheap など）かもしれませんし、ウェブホスト、あるいは Cloudflare のようなものかもしれません。
• DNS の管理を Microsoft に任せている場合は、DNS ホスト自体が Microsoft であり、レコードは Microsoft 365 管理センター → 設定 → ドメイン → DNS レコードで編集します。その場合、ドメインを設定したときに Microsoft が正しい SPF レコードを自動で追加してくれることがよくあります。

つまり、Microsoft はレコードに何を入れるべきかを教えてくれますが、追加するのはDNS が置かれている場所です。Microsoft 365 内のメールボックス設定は、Microsoft が DNS も運用している場合を除き、このレコードを保持しません。

まず：どの会社が自社の DNS を運用していますか？

DNS レコードは、自社ドメインのネームサーバーが指す先で追加して初めて効果を持ちます。不明な場合は、レジストラのアカウントでドメインを確認して Nameservers の欄を見るか、ウェブサイトを構築した人に尋ねてください。ネームサーバーが Microsoft 以外を指している場合は、SPF レコードをその会社の DNS 設定で追加してください（DNS / Records / Advanced DNS を探します）。誤った場所に追加しても何も起きません。

追加するもの

Microsoft 365 用の TXT レコードを 1 つです。標準の値は次のとおりです：

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com は Microsoft 365 のメールサーバーがあなたの代わりに送信することを許可します。
• -all は Microsoft が推奨する値で、一覧に無いものは拒否するよう受信側に伝える「ハードフェイル」です。すべての送信元が含まれているとまだ確信できない場合は、より緩い ~all で始め、後から -all に引き締めることもできます。

1 ドメインにつき SPF レコード（v=spf1 で始まる TXT）は 1 つだけにすべきです。 すでに 1 つある場合 — 例えばニュースレターツールや CRM からも送信しているため — は、2 つ目を追加しないでください。既存のものを編集し、その中に Microsoft の部分を追加してください。例：

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

手順

1. DNS ホスト（レジストラ、ウェブホスト、または DNS プロバイダー — Microsoft が DNS を運用している場合は Microsoft 365 管理センター）にサインインします。
2. 自社ドメインの DNS 設定を開きます（DNS / Records / Advanced DNS を探します）。
3. 新しいレコードを追加し、種別として TXT を選びます。
4. Name / Host 欄に @ を入力します（これは「ドメイン自体」を意味します）。ここにフルドメイン名を入れないでください。
5. Value / Data 欄に v=spf1 include:spf.protection.outlook.com -all（他の送信元がある場合はまとめたレコード）を貼り付けます。
6. TTL は既定のまま（1 時間で問題ありません）にします。
7. 保存します。

人がよく間違える落とし穴

• メールボックスの設定ではない。 Microsoft 365 の設定で「SPF」を探しても入力ボックスが見つからないのは、それがメールボックスや Exchange の管理設定ではなく DNS に属するからです。
• SPF レコードは 1 つだけ。 v=spf1 で始まるレコードが 2 つあると SPF が完全に壊れます。追加の include: を使って送信元を 1 つのレコードにまとめてください。
• Name は @、自社ドメインではない。 Name 欄にフルドメインを入れると、レコードが誤った場所に作られることがあります。
• 引用符に注意。 ほとんどの DNS ホストは引用符を自動で付けます — 値はそのまま貼り付けてください。ホスト上で値がすでに "..." で囲まれて表示されている場合は、2 組目を足さないでください。引用符が二重のレコードは壊れています。
• Microsoft は spf.protection.outlook.com を使う。 古いレコードや他から流用したレコードは、別のホスト名を参照していることがあります — include が正確に spf.protection.outlook.com であることを確認してください。
• 変更は即時ではありません。 DNS が各所に反映されるまで、数分から 2 時間ほどかかることがあります。

動作確認

保存したら、Defaults.Exposed の無料チェックでレコードが反映され正しいことを確認してください。ドメインを入力すれば、SPF が正しく設定されているかを平易な言葉で教えてくれます。データは EU 内で処理されます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。