![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
なりすましメールを人が見分ける…
新潮流になるか?GoogleとYahooが発表した「今後は受信しないメール」の条件
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
執筆・監修者ページ/掲載記事:11件
Googleと米Yahooが先日発表した、メール送信者向けのガイドラインをご存じでしょうか?Googleは2024年2月から、アカウントに対してメールを送信する際の条件(認証)を強化すると発表しました。また、米Yahooも同様にメール送信者向けに2024年第一四半期から条件の変更を発表しました。
この条件変更の流れは、日本国内のビジネスにも影響を与えていく可能性があります。その条件とは一体どんな内容なのかを解説します。
※ 本記事内容は執筆時点のガイドライン情報に基づいて記載されています(2023年12月11日一部更新)。現時点の内容と異なる場合がありますのでご注意ください。
送信ドメイン認証(SPF、DKIM、DMARC)に対応
メールセキュリティサービス ガイドブック ダウンロードする(無料)
メールセキュリティサービス ガイドブック ダウンロードする(無料)
今後はSPF・DKIM・DMARCへの対応が必須に
細かい条件は後述しますが、要点だけを抜き出すと次のとおりです。
GoogleとYahooに送信する全ての送信者は、
- 送信ドメイン認証(SPF、DKIM、DMARC)に対応すること
- メールマガジンなどのバルクメールは、ワンクリックで登録解除ができるリンクを記載すること
ここで、簡単にSPF・DKIM・DMARCについて説明します(ご存じの方は読み飛ばしてください)。
SPF:送信元メールサーバのIPアドレスで判別
SPF(Sender Policy Framework)は、IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認します。
具体的には、メール送信時に利用するサーバのIPアドレスなどを、送信者ドメインのDNSに「SPFレコード」として事前に登録。受信側はメール受信時に、送信元サーバのIPアドレスを送信者ドメインのSPFレコードと照合し、なりすましかどうかを判断します。
DKIM:電子署名を付与してなりすましを検知
DKIM(DomainKeys Identified Mail)は、電子署名を利用してメール送信元が詐称されていないかどうかを確認します。送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知します。
DMARC:認証失敗時の対応策を定義し“守り”を固める
SPF、DKIMの認証結果を活用する仕組みとして近年注目されている技術が、「DMARC(Domain-based Message Authentication、Reporting and Conformance)」です。
これは、SPFやDKIMの認証結果を利用してなりすましかどうかを判別します。更に送信側は、受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断できます。
各送信ドメイン認証の図解付きの分かりやすい説明や、送信ドメイン認証の効果的な活用法に関しては「送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説」をご覧ください。
Googleや米Yahooがこれらのセキュリティプロトコルの使用を奨励する理由は、送信者と受信者の双方にとってセキュアなメールコミュニケーションを確立するためだと考えられます。これにより、スパムメール、フィッシング詐欺、なりすましメールなどのセキュリティリスクが低減します。また、信頼性のあるメール送信者にとっては、メールが迷惑メールフォルダーに入るリスクを減らし、受信者に確実に届く可能性を高められます。
今回の発表は米Yahooであり、Yahoo! Japanではないため、日本への影響がより大きいと思われるGoogleの対応強化について注目してみましょう。
(資料DL)送信ドメイン認証(SPF、DKIM、DMARC)に対応した「メールセキュリティガイドブック」を差し上げます。
ダウンロード(無料)
Googleの具体的なメール送信者の条件
メール送信者は今回発表されたこのガイドラインに沿わないと、Gmailにメールが届かなくなるということです。Googleにメール送信する場合、1日に送信するメールが5,000通以内か以上かで、求められる対応は大きく2つに分けられます。それぞれ主要な条件は次のとおりです。
1日5,000通以内の場合
- SPFまたはDKIM対応が必要
- 有効な正引き、及び逆引きDNSの設定が必要
- 送信時にTLS接続すること(STARTTLS)
- Postmaster Toolの迷惑メール率が0.1%未満であること
- FromヘッダにGmailのなりすましがないこと(Gmailは自身のDMARCレコードに隔離ポリシーを設定)
1日5,000通以上の場合
- SPFとDKIMの対応が必要
- 有効な正引き、及び逆引きDNSの設定が必要
- 送信時にTLS接続すること(STARTTLS)
- Postmaster Toolの迷惑メール率が0.1%未満であること
- DMARC対応、及びポリシー導入が必要(まだこの時点ではp=noneでも良い)
- DMARCのアラインメントをパスすること(ヘッダFromとエンベロープFromが同じ、またはDKIMの署名ドメインとヘッダFromが同じ)
-
バルクメールは、登録解除がワンクリックで可能な必要がある
- ワンクリックで配信停止できるリンクの記載が必要
- 購読解除は配信停止リクエストから2日以内に行われる必要がある
共通する部分もありますが、5,000通以上の場合の条件は「SPF、及びDKIMに加えてDMARC」の対応が必要になります。
(資料DL)送信ドメイン認証(SPF、DKIM、DMARC)に対応した「メールセキュリティガイドブック」を差し上げます。
ダウンロード(無料)
常識になる可能性と未対応リスク
今回のGoogleの送信者向けのガイドラインの発表は、日本国内にも多大な影響を及ぼす可能性が高いと考えます。Gmailを使っているコンシューマへ、今まで届いていたメールが届かなくなるかもしれないのです。
ガイドラインの適用まで時間も限られているため、送信者に求められている送信ドメイン認証(SPF・DKIM・DMARC)の対応を優先して取り組む必要があります。SPFやDKIMだけでなく、将来的にはDMARCのポリシーもp=quarantine以上が求められる可能性はありますが、まずはp=noneでも良いのでDMARCに対応しましょう。
送信ドメイン認証の対応は、Googleや米Yahooにメールを届けるためだけでなく、取引先やグループ会社などと安全にメールを送受信するためにも必要です。例えば、取引先が送信ドメイン認証を導入しているのに自社の対応が遅れていると、取引先は受信メールの正常性を確認できず、送信したメールが不審なメールとして処理されてしまうかもしれません。
既に多くの企業が送信ドメイン認証を導入しており、国内の大手携帯キャリアもDKIMやDMARCへの対応を発表しています。また、政府がクレジットカード会社にDMARC導入によるなりすましメール対策を要請したり、「政府機関等のサイバーセキュリティ対策のための統一基準群」へのDMARC対応の明記など、対策強化の流れが進んでいます。
送信ドメイン認証への対応は、企業がビジネスを円滑に進める上でも欠かせない取り組みとなっているのです。
送信ドメイン認証の対応にはサービス利用がおすすめ
SPF・DKIM・DMARCなどの送信ドメイン認証への対応には、メールセキュリティサービスを利用することが一番おすすめです。
一例として、IIJで提供する「IIJセキュアMXサービス」では、SPFやDKIMの認証チェックだけでなく、DKIM署名の付与やDMARCの結果に応じたフィルタリング機能に対応しているため、大きな手間をかけることなく対応できます。更にDMARC可視化機能も付属しているため、DMARCポリシーの段階的強化の手助けにもなります。
また、DNSに設定が必要なSPFレコード例、DMARCポリシー例や設定方法もマニュアル化。専門的な対応が難しい場合も安心してご利用いただけます。
今回のGoogleと米Yahooの発表を機に、送信ドメイン認証の対応をお考えの場合はぜひご検討ください。
送信ドメイン認証(SPF、DKIM、DMARC)に対応
メールセキュリティ ガイドブックを差し上げます
- メールセキュリティサービスガイドブック
(PDF:32ページ) - メールセキュリティの比較ポイント、サービスの特長や詳細な機能など、導入へのヒントを掲載!
