https://techblog.wasutech.dev/tags/%E3%83%A1%E3%83%BC%E3%83%AB/ Recent content in メール on 怠惰技術ブログ Hugo -- 0.147.7 ja Tue, 14 Apr 2026 22:00:00 +0900 https://techblog.wasutech.dev/posts/cloudflare-dns-setup/ Tue, 14 Apr 2026 22:00:00 +0900 https://techblog.wasutech.dev/posts/cloudflare-dns-setup/ <p>wasutech.dev を公開したはいいが、メール周りを何もしていなかった。放置するとなりすましに悪用される可能性があるので、Cloudflare Email Routing・SPF・DMARCを設定した。</p> <h2 id="cloudflare-email-routing">Cloudflare Email Routing</h2> <p>自前のメールサーバーを建てるのはコストがかかる。Cloudflareには <strong>Email Routing</strong> という機能があり、<code>@wasutech.dev</code> 宛のメールを既存のGmailなどに転送できる。無料。</p> <p>仕組みとしては、Cloudflareが自動でMXレコードを追加し、受信したメールを指定のアドレスへ転送する。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>dig MX wasutech.dev </span></span><span style="display:flex;"><span><span style="color:#75715e"># → isaac.mx.cloudflare.net 等が返ってくる</span> </span></span></code></pre></div><p>MXレコードはドメインレベルの情報なので、転送先のメールアドレスは外部に公開されない。<code>dig</code> で見えるのはCloudflareのサーバーだけで、「どこに転送しているか」は誰にもわからない。</p> <p>設定はCloudflareのダッシュボードから数クリックで完了する。</p> <p>転送先のアクションは3種類から選べる。</p> <table> <thead> <tr> <th>アクション</th> <th>動作</th> </tr> </thead> <tbody> <tr> <td>Forward to email</td> <td>指定のメールアドレスへ転送</td> </tr> <tr> <td>Drop</td> <td>受信して即破棄。転送しない</td> </tr> <tr> <td>Send to Worker</td> <td>Cloudflare Workersで独自処理</td> </tr> </tbody> </table> <p>今回はメールを受け取る必要がないため <strong>Drop</strong> に設定した。スパム対策にもなるし、転送先アドレスを管理する必要もない。Workers連携は受信メールをSlackに流したり、自動返信を実装したりする場合に使う。</p> <h2 id="spf---送信元を証明するレコード">SPF - 送信元を証明するレコード</h2> <h3 id="spfとは">SPFとは</h3> <p><strong>SPF（Sender Policy Framework）</strong> は、「このドメインからメールを送信していいサーバーはどこか」を定義するDNSレコード。</p> <p>なぜ必要か。メールのプロトコル（SMTP）は設計上、送信元アドレスを自由に詐称できる。つまり誰でも <code>admin@wasutech.dev</code> を名乗ってメールを送れる。SPFはこれを受信側が検証できるようにする仕組み。</p> <p>受信側のメールサーバーは、届いたメールの送信元IPアドレスを確認し、そのドメインのSPFレコードに記載されたIPと照合する。一致しなければ怪しいメールとして処理できる。</p> <h3 id="設定したレコード">設定したレコード</h3> <pre tabindex="0"><code>v=spf1 include:_spf.mx.cloudflare.net ~all </code></pre><p>各要素の意味：</p> <table> <thead> <tr> <th>要素</th> <th>意味</th> </tr> </thead> <tbody> <tr> <td><code>v=spf1</code></td> <td>SPFバージョン1</td> </tr> <tr> <td><code>include:_spf.mx.cloudflare.net</code></td> <td>CloudflareのメールサーバーからのSMTPを許可</td> </tr> <tr> <td><code>~all</code></td> <td>上記以外は「疑わしい」扱い（ソフトフェイル）</td> </tr> </tbody> </table> <p><code>~all</code> は疑わしいメールを迷惑メール扱いにする。<code>-all</code> にすると完全拒否になるが、DMARCと組み合わせて制御するのが一般的。</p> <p>確認：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>dig TXT wasutech.dev </span></span><span style="display:flex;"><span><span style="color:#75715e"># v=spf1 include:_spf.mx.cloudflare.net ~all</span> </span></span></code></pre></div><h2 id="dmarc---spfの結果を使って何をするか決めるレコード">DMARC - SPFの結果を使って何をするか決めるレコード</h2> <h3 id="dmarcとは">DMARCとは</h3> <p><strong>DMARC（Domain-based Message Authentication, Reporting, and Conformance）</strong> は、SPF（やDKIM）の検証結果に基づいて、受信側が「そのメールをどう扱うか」を指示するレコード。</p>