SPF を設定して、スプーフィングを防止するSet up SPF to help prevent spoofing

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

この記事では、Office 365 で Sender Policy Framework (SPF) のメール認証をカスタム ドメインと併用できるように、ドメイン ネーム サービス (DNS) レコードを更新する方法について説明します。This article describes how to update an Domain Name Service (DNS) record so that you can use Sender Policy Framework (SPF) email authentication with your custom domain in Office 365.

SPF を使うと、カスタム ドメインから送信される送信電子メールを検証できます。Using SPF helps to validate outbound email sent from your custom domain. 推奨されているメール認証方法のDMARC と DKIM (Office 365 でサポートされている他の 2 つのメール認証方法) を設定する最初の手順です。It's a first step in setting up other recommended email authentication methods DMARC and DKIM (two further email authentication methods supported in Office 365).

前提条件Prerequisites

重要

中小企業のビジネス または IP アドレスまたは DNS の構成に慣れていない場合は、インターネット ドメイン レジストラーに電話してください (例:If you are a small business, or are unfamiliar with IP addresses or DNS configuration, call your Internet domain registrar (ex. GoDaddy、Bluehost、web.com)。SPF の DNS 構成 (および他のメール認証方法) に関するヘルプを求めることができます。GoDaddy, Bluehost, web.com) to ask for help with DNS configuration of SPF (and any other email authentication method). また、ユーザー設定の URL (つまり、ユーザーと顧客が Office 365 にアクセスする URL が onmicrosoft.com で終了の場合) を購入していない場合、またはカスタム URL を使用していない場合は、Office 365 サービスで SPF が設定されています。Also, if you haven't bought, or don't use a custom URL (in other words the URL you and your customers browse to reach Office 365 ends in onmicrosoft.com), SPF has been set up for you in the Office 365 service. その場合は、それ以上の手順は必要ありません。No further steps are required in that case. ご確認ありがとうございます。Thanks for reading.

外部 DNS で Office 365 の SPF TXT レコードを作成または更新する前に、レコード作成に必要な情報を収集する必要があります。Before you create or update the SPF TXT record for Office 365 in external DNS, you need to gather some information needed to make the record. サポートされている SPF 構文の高度な例や詳細については、「Office 365 において SPF がスプーフィングとフィッシングを防ぐしくみ」をご覧ください。For advanced examples and a more detailed discussion about supported SPF syntax, see How SPF works to prevent spoofing and phishing in Office 365.

次の情報を収集します。Gather this information:

  • もしあれば、カスタム ドメインの現在の SPF TXT レコード。The current SPF TXT record for your custom domain, if one exists. 手順に関しては、「Office 365 の DNS レコードの作成に必要な情報を収集する」をご覧ください。For instructions, see Gather the information you need to create Office 365 DNS records.

  • メッセージング サーバーに移動して、(すべてのオンプレミス メッセージング サーバーからの必要な) 外部 IP アドレスを発見します。Go to your messaging server(s) and find out the External IP addresses (needed from all on-premises messaging servers). たとえば、131.107.2.200 などです。For example, 131.107.2.200.

  • SPF TXT レコードに含める必要があるサードパーティ製のすべてのドメインに使用するドメイン名。一部のバルク メール プロバイダーは、顧客用のサブドメインを設定しています。たとえば、会社 MailChimp に servers.mcsv.net を設定するなどです。Domain names to use for all third-party domains that you need to include in your SPF TXT record. Some bulk mail providers have set up subdomains to use for their customers. For example, the company MailChimp has set up servers.mcsv.net.

  • SPF TXT レコードで使う強制ルールを決定します。Figure out what enforcement rule you want to use for your SPF TXT record. -all ルールが推奨されます。The -all rule is recommended. その他の構文オプションについて詳しくは、「Office 365 用の SPF TXT レコードの構文」をご覧ください。For detailed information about other syntax options, see SPF TXT record syntax for Office 365.

重要

カスタム ドメインを使用するには、Office 365 では、Sender Policy Framework (SPF) TXT レコードを DNS レコードに追加してスプーフィングを防止する必要があります。In order to use a custom domain, Office 365 requires that you add a Sender Policy Framework (SPF) TXT record to your DNS record to help prevent spoofing.

SPF TXT レコードを作成または更新するCreate or update your SPF TXT record

  1. 以下の表の SFP 構文について、十分に理解しておいてください。Ensure that you're familiar with the SPF syntax in the following table.

要素Element もし今使っているとしたら...If you're using... お客様に共通のことでは?Common for customers? 追加対象Add this...
11 いずれかの電子メール システム (必須)Any email system (required) 共通。この値で始まるすべての SPF レコードCommon. All SPF TXT records start with this value v=spf1
22 Exchange OnlineExchange Online 共通Common include:spf.protection.outlook.com
33 Exchange Online 専用のみExchange Online dedicated only 共通ではないNot common ip4:23.103.224.0/19
ip4:206.191.224.0/19
ip4:40.103.0.0/16
include:spf.protection.outlook.com
44 Office 365 Germany、Microsoft Cloud Germany のみOffice 365 Germany, Microsoft Cloud Germany only 共通ではないNot common include:spf.protection.outlook.de
55 サード パーティ製の電子メール システムThird-party email system 共通ではないNot common include:<domain_name>

<domain_name> は、サード パーティ製の電子メール システムのドメインです。<domain_name> is the domain of the third party email system.

66 オンプレミスの電子メール システム。たとえば、Exchange Online Protection と別のメール システムOn-premises email system. For example, Exchange Online Protection plus another email system 共通ではないNot common 各追加メール システムで次のいずれかを使用します。Use one of these for each additional mail system:

ip4:<IP_address>
ip6:<IP_address>
include:<domain_name>

<IP_address> と <domain_name> は、ドメインの代理としてメールを送信する他のメールシステムの IP アドレスとドメインです。<IP_address> and <domain_name> are the IP address and domain of the other email system that sends mail on behalf of your domain.

77 いずれかの電子メール システム (必須)Any email system (required) 共通。この値で終わるすべての SPF レコードCommon. All SPF TXT records end with this value <enforcement rule>

これは、いくつかの値のどれか 1 つかもしれません。This can be one of several values. -all をお勧めします。We recommend the value -all.

  1. まだ行っていない場合は、表の構文を使用して SPF TXT レコードを作成します。If you haven't already done so, form your SPF TXT record by using the syntax from the table.

    たとえば、Office 365 で完全にホストされている場合、つまり、オンプレミスのメール サーバーを使っていない場合は、SPF TXT レコードには、次のように 1 行目、2 行目、7 行目が含まれます。For example, if you are fully-hosted in Office 365, that is, you have no on-premises mail servers, your SPF TXT record would include rows 1, 2, and 7 and would look like this:

    v=spf1 include:spf.protection.outlook.com -all
    

    これは、最も一般的な SPF TXT レコードです。This is the most common SPF TXT record. このレコードは、Microsoft データセンターが米国、ヨーロッパ (ドイツを含む)、または他の場所にあっても、ほぼすべてのユーザーに対して機能します。This record works for just about everyone, regardless of whether your Microsoft datacenter is located in the United States, or in Europe (including Germany), or in another location.

    ただし、Microsoft Cloud Germany の一部である Office 365 Germany を購入している場合は、2 行目ではなく 4 行目から include ステートメントを使用してください。たとえば、Office 365 Germany で完全にホストされている場合、つまり、オンプレミスのメール サーバーを使っていない場合は、SPF TXT レコードには、次のように 1 行目、4 行目、7 行目が含まれます。However, if you have purchased Office 365 Germany, part of Microsoft Cloud Germany, you should use the include statement from line 4 instead of line 2. For example, if you are fully-hosted in Office 365 Germany, that is, you have no on-premises mail servers, your SPF TXT record would include rows 1, 4, and 7 and would look like this:

    v=spf1 include:spf.protection.outlook.de -all
    

    Office 365 で既に展開し、カスタム ドメインの SPF TXT レコードをセットアップしている状態で Office 365 Germany に移行する場合は、SPF TXT レコードを更新する必要があります。If you're already deployed in Office 365 and have set up your SPF TXT records for your custom domain, and you're migrating to Office 365 Germany, you need to update your SPF TXT record. これを行うには、include:spf.protection.outlook.cominclude:spf.protection.outlook.deに変更します。To do this, change include:spf.protection.outlook.com to include:spf.protection.outlook.de.

  2. SPF TXT レコードを構成した後、DNS でレコードを更新する必要があります。Once you have formed your SPF TXT record, you need to update the record in DNS. ドメインに配置できる SPF TXT レコードは 1 つのみです。You can only have one SPF TXT record for a domain. SPF TXT レコードが存在する場合、新しいレコードを追加するのではなく、既存のレコードを更新しなければなりません。If an SPF TXT record exists, instead of adding a new record, you need to update the existing record. Office 365 の DNS レコードを作成する」に移動し、DNS ホストのリンクをクリックします。Go to Create DNS records for Office 365, and then click the link for your DNS host.

  3. SPF TXT レコードをテストします。Test your SPF TXT record.

サブドメインの処理方法とは?How to handle subdomains?

サブドメインは、トップ レベル ドメインの SPF レコードを継承しないので、サブドメインごとに、別々のレコードを作成する必要がある ことに注意してください。It is important to note that you need to create a separate record for each subdomain as subdomains don't inherit the SPF record of their top level domain.

存在しないサブドメインからのメールを、攻撃者が送信することを防ぐために、すべてのドメインとサブドメインに対して追加のワイルドカード SPF レコード (*.) が必要です。An additional wildcard SPF record (*.) is required for every domain and subdomain to prevent attackers from sending email claiming to be from non-existent subdomains. 例:For example:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

SPF のトラブルシューティングTroubleshooting SPF

SPF TXT レコードで問題が発生していますか?Having trouble with your SPF TXT record? 「トラブルシューティング: Office 365 における SPF のベスト プラクティス」をお読みください。Read Troubleshooting: Best practices for SPF in Office 365.

SPF メール認証は、実際に何を行いますか?What does SPF email authentication actually do?

SPF は、ユーザーのためにメールを送信できるメール サーバーを識別します。SPF identifies which mail servers are allowed to send mail on your behalf. 基本的には、SPF を DKIM、DMARC、その他の Office 365 でサポートされているテクノロジと併用することによって、スプーフィングとフィッシング詐欺を防止できます。Basically, SPF, along with DKIM, DMARC, and other technologies supported by Office 365, help prevent spoofing and phishing. SPF は TXT レコードとして追加され、DNS はこのレコードを使って、カスタム ドメインの代わりにメールを送信できるメール サーバーを識別します。SPF is added as a TXT record that is used by DNS to identify which mail servers can send mail on behalf of your custom domain. 受信側のメール システムは、この SPF TXT レコードを参照して、カスタム ドメインからのメッセージが、承認されたメッセージング サーバーからのものであるかどうかを判別します。Recipient mail systems refer to the SPF TXT record to determine whether a message from your custom domain comes from an authorized messaging server.

たとえば、カスタム ドメイン contoso.com が Office 365 を使用しているとします。ユーザーのドメインの正当なメール サーバーとして Office 365 メッセージング サーバーを一覧表示する SPF TXT レコードを追加します。受信メッセージング サーバーが joe@contoso.com からのメッセージを取得すると、サーバーによって contoso.com の SPF TXT レコードが検索され、適切なメッセージであるかどうかが検出されます。受信サーバーで、SPF レコードに一覧表示されている Office 365 メッセージング サーバー以外のサーバーからメッセージを取得していることが検出された場合、受信メール サーバーはそのメッセージを迷惑メールとして拒否できます。For example, let's say that your custom domain contoso.com uses Office 365. You add an SPF TXT record that lists the Office 365 messaging servers as legitimate mail servers for your domain. When the receiving messaging server gets a message from joe@contoso.com, the server looks up the SPF TXT record for contoso.com and finds out whether the message is valid. If the receiving server finds out that the message comes from a server other than the Office 365 messaging servers listed in the SPF record, the receiving mail server can choose to reject the message as spam.

また、カスタム ドメインに SPF TXT レコードが含まれていないと、一部の受信サーバーはメッセージを完全に拒否することがあります。これは、受信サーバーが、承認されたメッセージング サーバーからのメッセージであることを検証できないためです。Also, if your custom domain does not have an SPF TXT record, some receiving servers may reject the message outright. This is because the receiving server cannot validate that the message comes from an authorized messaging server.

既に Office 365 のメールを設定している場合、SPF TXT レコードとして Microsoft のメッセージング サーバーが DNS に含まれています。ただし、場合によっては DNS で SPF TXT レコードを更新する必要があります。たとえば、次のような場合です。If you've already set up mail for Office 365, then you have already included Microsoft's messaging servers in DNS as an SPF TXT record. However, there are some cases where you may need to update your SPF TXT record in DNS. For example:

  • 以前は、SharePoint Online を使用している場合、カスタム ドメインに別の SPF TXT レコードを追加する必要がありました。この作業を行う必要はなくなりました。この変更により、SharePoint Online の通知メッセージが [迷惑メール] フォルダーに振り分けられるリスクが軽減されます。参照の制限数である 10 に達し、"参照制限を超えました"、"ホップが多すぎます" などのメッセージを示すエラーが表示される場合は、SPF TXT レコードを更新します。Previously, you had to add a different SPF TXT record to your custom domain if you were using SharePoint Online. This is no longer required. This change should reduce the risk of SharePoint Online notification messages ending up in the Junk Email folder. Update your SPF TXT record if you are hitting the 10 lookup limit and receiving errors that say things like, "exceeded the lookup limit" and "too many hops".

  • Office 365 とオンプレミスの Exchange を使用したハイブリッド環境の場合。If you have a hybrid environment with Office 365 and Exchange on-premises.

  • DKIM と DMARC をセットアップする場合 (推奨)。You intend to set up DKIM and DMARC (recommended).

SPF の詳細情報More information about SPF

サポートされている SPF 構文、スプーフィング、トラブルシューティング、Office 365 が SPF をサポートする方法の高度な例や詳細については、「Office 365 において SPF がスプーフィングとフィッシングを防ぐしくみ」をご覧ください。For advanced examples, a more detailed discussion about supported SPF syntax, spoofing, troubleshooting, and how Office 365 supports SPF, see How SPF works to prevent spoofing and phishing in Office 365.

SPF はスプーフィングの防止に役立ちますが、SPF では保護できないスプーフィング テクニックがあります。SPF is designed to help prevent spoofing, but there are spoofing techniques that SPF can't protect against. それらから保護するには、SPF のセットアップ後に、DKIM と DMARC を Office 365 用に構成する必要があります。To defend against these, once you've set up SPF, you should configure DKIM and DMARC for Office 365.

DKIM メール認証の目標は、メールの内容が改ざんされていないと証明することです。DKIM email authentication's goal is to prove the contents of the mail haven't been tampered with.

DMARC メール認証の目標は、SPF と DKIM の情報が From アドレスと確実に一致していることを確認することです。DMARC email authentication's goal is to make sure that SPF and DKIM information matches the From address.