SPF（メール認証）とは何ですか？

送信元メールサーバーのIPアドレスをDNSレコードで検証し、なりすましメールを防ぐ認証技術。DKIM・DMARCと組み合わせてメールセキュリティの基盤を構成する。

SPF（メール認証）のポイントは？

送信ドメインのDNSにSPFレコード（TXTレコード）を設定し、正規の送信元IPアドレスを宣言する。受信側メールサーバーがSPFレコードを照合し、許可されていないIPからのメールを検出する。SPF単体では転送メールに弱いため、DKIMやDMARCと併用するのが標準的な運用。Gmailの送信者ガイドライン強化により、SPF設定は事実上の必須要件になっている

【えすぴーえふ】

SPF（メール認証）とは？

💡 差出人の住所が本物か郵便局に確認するしくみ

📌 このページのポイント

送信ドメインのDNSにSPFレコード（TXTレコード）を設定し、正規の送信元IPアドレスを宣言する
受信側メールサーバーがSPFレコードを照合し、許可されていないIPからのメールを検出する
SPF単体では転送メールに弱いため、DKIMやDMARCと併用するのが標準的な運用
Gmailの送信者ガイドライン強化により、SPF設定は事実上の必須要件になっている

SPFによるメール送信元の検証フロー

ひよこ

SPFってメールの何を守ってくれるの？

ペンギン先生

メールの送信元が本物かどうかを確認するしくみだよ。たとえば「example.com」からのメールが届いたとき、本当にexample.comが許可したサーバーから送られたかDNSで確認するんだ

ひよこ

どうやって確認するの？

ペンギン先生

手紙にたとえると分かりやすいよ。ドメインの持ち主が「うちの手紙を出していいのはこの郵便局だけです」とDNSに登録しておく。受け取り側は差出人の住所を見て、本当にその郵便局から来たか確認する。違ったら怪しいメールだと判断できるんだ

ひよこ

SPFだけで完璧に防げるの？

ペンギン先生

実はSPFだけだと転送メールで誤判定が起きやすいんだ。だからメール本文の改ざんを検知するDKIMと、SPF・DKIMの結果に基づいてポリシーを決めるDMARCを組み合わせるのが今の標準だよ

ひよこ

設定しないとどうなるの？

ペンギン先生

2024年からGmailが送信者ガイドラインを厳しくして、SPF未設定のドメインからのメールは迷惑メール扱いされやすくなったよ。ビジネスメールを送るなら、SPF・DKIM・DMARCの3点セットはもう必須と思っていいね

まとめ：ざっくりこれだけ覚えればOK！

SPFって出てきたら「メールの送信元IPが本物かDNSで確認するしくみ」と思えればだいたいOK！

📖 おまけ：英語の意味

「Sender Policy Framework」＝送信者ポリシーフレームワーク

💬 2003年ごろに提案されて2014年にRFC 7208として標準化されたよ。メールのFromアドレスを詐称する「なりすまし」を防ぐために生まれた技術だね

← 用語集にもどる

SPF（メール認証） とは？

SPF（メール認証）とは？