GWS スパム防止 GmailのSPFを設定する

Google Workspace の代表的な機能であるGmailではさまざまなスパム防止のための機能を簡単に利用することができます。
ここでは SPFを設定してみます。DKIM同様にこちらもスパム防止の役に立つ設定です。合わせて設定をしておきましょう。

SPFとは

SPFは、「Sender Policy Framework」の略になります。たぶん「エス・ピー・エフ」と読むはずです。

SPF は標準的なメール認証方式であり、組織のドメインをなりすましから保護し、送信メールが受信サーバーによって迷惑メールに分類されるのを防ぐのに役立ちます。SPF を使用して、ドメインに代わってメールを送信できるメールサーバーを指定します。受信側のメールサーバーは SPF を使用して、受信メールの送信元とされるドメインが偽装されたものではなく、承認済みのサーバーから送信されたことを確認します。

SPF を使用してなりすましと迷惑メールを防止する – Google Workspace 管理者 ヘルプ

つまり、このドメイン名のメールを送信して良いのはこのメールサーバだけですよというのを指定することです。この設定をしていると、例えばアプリケーションがメール配信のSaaSであるSendgridからメールを出すことを想像してみます。この場合、 myname@mydomain のドメインのメールが @sendgridのメールサーバから出てきます。この場合受信したユーザは、メールが本当に @mydomain から受信することが正しいのかがわかりません。メールサーバのソフトウェアによってはこのようなメールを「迷惑メール」に分類されてしまうことが多々ありますのでSPFを正しく設定しておくことは重要だと考えています。

GWS上での設定

このSPFは、DNSの技術で出来てるためGWS上での設定は不要です。

DNS上での設定

SPFは、DNS上のレコードとして設定をします。

SPFの制約事項

SPFは、DNSのレコードとして登録しますが代表的な制約事項は以下のようなものがあります。

• レコード文字数が255文字
• DNSのルックアップ数が10件まで

Google Workspaceの概要のリンク

• SPF レコードを定義する: 基本設定 – Google Workspace 管理者 ヘルプ
• Define your SPF record–Advanced setup – Google Workspace Admin Help

SPFが指定されてない場合には、GWSのメール詳細のツールを使うと以下のように警告が出ているのがわかります。

DNSへのレコードの追加

実際には、複数のSPFを登録する必要がありますが今回は最低限のGWSからのGmailのメールを許可するように設定します。

• ホスト名： study
• タイプ : TXT
• TTL：任意
• データ：”v=spf1 include:_spf.google.com ~all”

今回のサブドメインが付与されるのでホスト名は記載します。
うまく動作すると以下のようにSPFのチェックを通過して受信できます。

DNSのSPFタイプとTXTタイプ

RFC 7208 – Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 日本語訳　の 14.1 SPF DNSレコードタイプ と 3.1. DNS Resource Records に記載があります。この中で「SPFレコードは、DNS TXT（タイプ16）としてのみ公開する必要があります」とあります。つまり現在はTYPEにSPFを選択する理由はないです。

Google Domainsなどを見るとTYPEにSPFが選択できるのですが、TXTを必須で入れておく必要があります。GWSとGoogle Domainsを同じアカウントで利用していると連動できるのですが自動生成されたレコードは以下のように2つ登録されていました。

まとめ

メールサーバの設定によっては、DKIM/SPF/DMARCなどの設定ができてない場合にはメールの受信を拒否することや迷惑メールとして扱われることもあります。メールの信頼性を担保するためにもこれらの設定をしておくことをおすすめします。