ドメイン名（任意・ホスト名の表示用）

許可する IPv4 アドレス / CIDR

1 行に 1 つ（カンマ区切りも可）。DNS 参照を増やしません。

許可する IPv6 アドレス / CIDR

include（メール配信サービス等）

各社の指定値を 1 行に 1 つ。include は DNS 参照を 1 つずつ消費します（RFC 7208 の上限 10）。

a（このドメインの A/AAAA を許可）mx（このドメインの MX を許可）

列挙以外の送信元の扱い（all）

~all（ソフトフェイル・推奨）
拒否はせず「怪しい」と印を付ける。まずはこちら。-all（ハードフェイル）
列挙以外を拒否。全送信元を漏れなく含めてから。?all（ニュートラル）
判定しない。検証用途のみ。

生成された SPF レコード（下書き）

DNS 参照数: 0 / 10

ホスト名（ドメイン名・例: example.co.jp）種別TXT値v=spf1 ~all

SPF レコードは 1 ドメインにつき 1 つだけです。既存の v=spf1 レコードがある場合は、2 つ目を追加せず 1 つに統合してください（複数あると Permerror になります）。

ドメイン名（任意・ホスト名の表示用）

ポリシー（p）

none（監視のみ・推奨スタート）
拒否や隔離をせずレポートだけ集める。まずここから。quarantine（隔離）
認証失敗を迷惑メール扱い。none で観察後に。reject（拒否）
認証失敗を受信拒否。最後の段階。

集約レポート送信先 rua（推奨）

日次の集約レポートを受け取るメールアドレス。ポリシー強化前の観察に必須級です。

詳細オプション（sp / ruf / pct / アラインメント）

サブドメイン用ポリシー sp（任意）

失敗レポート送信先 ruf（任意）

適用率 pct（既定 100）

強化を段階導入したいとき（例: 10）に。100 のときは省略されます。

DKIM アラインメント adkimr（緩和・既定）s（厳格）

SPF アラインメント aspfr（緩和・既定）s（厳格）

生成された DMARC レコード（下書き）

ホスト名_dmarc.（ドメイン名）種別TXT値v=DMARC1; p=none

CAA は証明書を発行できる CA を制限します。 利用中のすべての発行元（ACME / certbot、レンタルサーバーの無料 SSL、CDN（Cloudflare 等））が使う CA を漏れなく許可してください。漏れると次回更新で証明書が発行できず、期限切れでサイトが止まります。

ドメイン名（任意・ホスト名の表示用）

発行を許可する CA（issue）

レンタルサーバーや CDN（Cloudflare 等）の無料 SSL を使う場合は、その事業者が使う CA を許可します。例えば Cloudflare の SSL は Let's Encrypt と Google Trust Services を利用します（最新の利用 CA は各社の案内をご確認ください）。

その他の CA を追加（任意）

上の一覧にない CA のドメインを 1 行に 1 つ（カンマ区切りも可）。

ワイルドカード証明書を禁止する（issuewild ";"）
*.example.com の証明書を使わない場合のみ。使う予定があれば禁止しないでください。

詳細オプション（iodef / critical）

インシデント通報先 iodef（任意）

ポリシー違反の発行要求があったときに CA から通報を受けるメールアドレス。

critical フラグ（128）を立てる
CA がプロパティを理解できないとき発行を拒否させる。通常は不要（0）です。

生成された CAA レコード（下書き）

許可する CA を 1 つ以上選ぶと、ここにレコードが表示されます。

発行を許可する CA が 1 つも指定されていません。CAA で issue を許可しないと、すべての CA が証明書を発行できず、更新時に発行が拒否されて期限切れでサイトが停止します。利用中の CA を必ず 1 つ以上指定してください。
CAA は証明書の発行（申請）時にのみチェックされます（RFC 8659）。設定しても発行済みの証明書は無効になりませんが、更新時に発行できなくなる点に注意してください。

SPF / DMARC / CAA レコード生成ツール

生成された SPF レコード（下書き）

生成された DMARC レコード（下書き）

生成された CAA レコード（下書き）

使う前に知っておきたいこと

なぜブラウザ内処理なのか

関連する解説記事・ツール