GmailとGoogle WorkspaceでのSPFレコード設定方法

GmailとGoogle WorkspaceでのSPFレコード設定方法

認証強化で信頼される送信元へ

2024年9月14日
著者: Yunes Tarada
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 Setting up SPF Records for Gmail and Google Workspace の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

数え切れないほどのフィッシングメールや詐欺メールが現在ユーザの受信トレイに入り込んでおり、データが危険にさらされています。
GmailやGmail for Businessを使用している場合、メールのセキュリティを強化するためにSPFレコードを設定することが極めて重要になっています。
2024年、Googleは送信者要件ガイドラインを更新し、すべての送信者にメール認証を義務付けました。

ここで、現在の状況を簡単に振り返ります。

GmailのSPFレコードは、許可されていない個人がGoogle Workspaceドメインからメールを送信することを防ぎます。
このレコードは、あなたのドメインから送信されたメールが顧客の受信箱に届く前のチェックポイントとして機能します。
Google WorkspaceのSPFレコードを正しく実装することで、あなたのドメインからのメールが迷惑メールとしてマークされる可能性が低くなります。

したがって、Google Workspace用のSPFレコードを作成したい場合は、正しい場所に来ています。
この記事では、Google Workspace用のSPFレコードの設定方法と、適切な実装が必要な理由について説明します。

重要なポイント

  1. Google Workspaceにおいて、許可されていないメール送信を防ぐためにSPFレコードを実装することは、メールセキュリティに不可欠です。
  2. Googleは、安全なメール運用を確保するために、すべてのメール送信者にSPFまたはDKIMレコードのいずれかを設定することを義務付けています。
  3. SPFレコードを設定しない場合、メールが迷惑メールとしてマークされる可能性があり、ドメインの評価を損なう恐れがあります。
  4. SPFレコードは、メールサーバを正しく承認するために、ドメインのDNS設定に正確に記述する必要があります。
  5. SPFをDMARCポリシーと組み合わせることで、メールのなりすましやフィッシング攻撃に対する保護が強化されます。

GmailのSPFレコードについて理解する

SPF(Sender Policy Framework)レコードは、あなたのドメインの代わりにメールを送信することが許可されたメールサーバを指定します。
メールが受信されると、受信サーバは「From」アドレスのドメインのSPFレコードを確認し、そのメールが許可されたサーバから送信されているかどうかを検証します。
SPFレコードは、TXTレコードとしてあなたのドメインのDNSに公開されます。

このレコードには、あなたのドメインの代わりにメール送信を許可されたサーバのIPアドレスまたはホスト名の一覧が含まれています。
このレコードには、複数のサーバやサードパーティサービスを含めることができます。
許可されていない送信元からメールが送信された場合、受信サーバはDNS TXTレコードを使用してドメインのSPFレコードを確認します。

GmailのSPFレコードの重要性

Googleの新しい送信者向けメール認証ルールを守っていない場合、問題が発生する可能性があります。
Google WorkspaceのSPFレコードを実装していないと、次のような事態が起こり得ます。

  1. あなたのメールが迷惑メールとしてマークされる可能性があります。
  2. あなたのドメイン/IPアドレスがブロックリストに登録される可能性があります。
  3. メールに対するスパム苦情が増えることで、ドメインの評価が低下する可能性があります。

SPFの仕組み:どのように動作するか

SPFレコードは、複数のタグを含む1行のプレーンテキストです。
タグには対応する値が含まれており、主に許可された送信元のIPアドレスやドメイン名です。

SPFレコードは、TXTレコードとしてドメインプロバイダに追加されます。
255文字以内に収める必要があります。
TXTレコードファイルのサイズは512バイト以下でなければなりません。

メールが送信されると、受信者のメールサーバは送信ドメインのSPFレコードを確認します。
これは、メールを送信したメールサーバのIPアドレスがSPFレコードに記載されているかどうかを検証するために行われます。
このチェックに基づき、受信メールサーバは次のいずれかの結果を割り当てます。

Google Workspace用のSPFレコードを設定する手順

ここでは、Google Workspace用のSPFレコードを設定するために必要な手順を説明します。

1.ドメインアカウントにサインインする
Google WorkspaceのSPFレコードを追加する最初のステップは、DNS管理コンソールにサインインすることです。
ここでドメインのDNS設定にアクセスできるはずです。

Google Workspace用のSPFを追加するためにDNSレコードを更新できます。
この手順はサービスプロバイダによって異なり、DNSプロバイダごとに違いがある場合があります。
DNS管理コンソールでこのオプションが見つからない場合は、DNS設定の場所を確認するためにDNSプロバイダに連絡してください。
2.Google Workspace用のSPF TXTレコードを作成する
DNS管理コンソールにサインインしたら、TXTレコードのセクションに移動し、次の値を使用して新しいTXTレコードを追加します。

  • タイプ:TXT
  • ホスト:@(または、サブドメイン用にSPFレコードを設定する場合は該当するサブドメイン)
  • 値:Google Workspaceからメールを送信するドメインは、SPFレコードとしてv=spf1 include:_spf.google.com ~allを使用する必要があります。
    追加のメール送信者を使用している場合は、他のサードパーティメールサービスを含むすべての送信元をまとめて1つのSPFレコードに統合する必要があります。
    これは複数のinclude:メカニズムを使用することで実現できます。
  • TTL:1時間または3600秒に設定します。
3.サブドメイン用のGoogle Workspace SPFレコードを設定する
ルートドメインにSPFレコードを追加しても、それがサブドメインに適用されるわけではありません。
これは、SPFポリシーがサブドメインに自動的に継承されないためです。
したがって、サブドメインを使用している場合は、各サブドメインごとにGmail用のSPFレコードを個別に設定する必要があります。

ただし、これはドメインプロバイダがサブドメインに対して直接SPF設定を許可している場合にのみ可能です。
前述のとおり、サブドメインでSPFを設定する手順は基本的に同じです。
一部のドメインプロバイダは、サブドメインへのSPFの直接適用をサポートしていません。
その場合は、ルートドメインにGmail SPFレコードを作成し、「@」の代わりにサブドメインを指すようにホスト設定を調整することで対応できます。
4.SPFレコードを保存する
SPFレコードを作成したら、変更を保存します。
レコードは、DNSプロバイダ側で変更が伝播するまでにかかる時間にもよりますが、保存後48時間以内に有効化されるはずです。

Gmail用SPFレコードの検証

GmailのSPFレコードを設定した後は、ドメインがSPFで正しく認証されているかを確認する必要があります。
検証は、次の手順で行うことができます。

PowerDMARCでDMARCとSPFを実装する

最後に、Gmail用のSPFレコードを実装することで、Googleの要件に準拠し、スムーズなメール配信とスパム苦情の軽減を実現できます。
これをDMARC設定と組み合わせることで、送信組織はドメインをなりすまし、フィッシング、BEC(ビジネスメール詐欺)などのメールベースのサイバー攻撃から保護できます。

Google Workspace用SPFレコードの設定は、ドメインを保護するための最初のステップにすぎません。
より高度なドメインセキュリティと可視性を確保するために、PowerDMARCの15日間無料トライアルで今すぐ始めましょう!