なりすましメールを人が見分ける…
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
執筆・監修者ページ/掲載記事:11件
Googleと米Yahooが先日発表した、メール送信者向けのガイドラインをご存じでしょうか?Googleは2024年2月から、アカウントに対してメールを送信する際の条件(認証)を強化すると発表しました。また、米Yahooも同様にメール送信者向けに2024年第一四半期から条件の変更を発表しました。
この条件変更の流れは、日本国内のビジネスにも影響を与えていく可能性があります。その条件とは一体どんな内容なのかを解説します。
※ Googleでは、なりすましメール対策の一つとして送信ドメイン認証の対応を義務化しています。すべての送信者は、SPFまたはDKIM対応が必要になります(5,000件/日を超えるメールを送信する企業はSPF、DKIM、DMARK 3つへの対応が必要)。 2024年2月に開始され、未対応の場合、Gmailのメールが届かなくなる可能性があります。本記事をご覧いただき対策を推進ください(更新日2024年10月22日)。
細かい条件は後述しますが、要点だけを抜き出すと次のとおりです。
GoogleとYahooに送信する全ての送信者は、
ここで、簡単にSPF・DKIM・DMARCについて説明します(ご存じの方は読み飛ばしてください)。
SPF(Sender Policy Framework)は、IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認します。
具体的には、メール送信時に利用するサーバのIPアドレスなどを、送信者ドメインのDNSに「SPFレコード」として事前に登録。受信側はメール受信時に、送信元サーバのIPアドレスを送信者ドメインのSPFレコードと照合し、なりすましかどうかを判断します。
DKIM(DomainKeys Identified Mail)は、電子署名を利用してメール送信元が詐称されていないかどうかを確認します。送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知します。
SPF、DKIMの認証結果を活用する仕組みとして近年注目されている技術が、「DMARC(Domain-based Message Authentication、Reporting and Conformance)」です。
これは、SPFやDKIMの認証結果を利用してなりすましかどうかを判別します。更に送信側は、受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断できます。
各送信ドメイン認証の図解付きの分かりやすい説明や、送信ドメイン認証の効果的な活用法に関しては「送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説」をご覧ください。
Googleや米Yahooがこれらのセキュリティプロトコルの使用を奨励する理由は、送信者と受信者の双方にとってセキュアなメールコミュニケーションを確立するためだと考えられます。これにより、スパムメール、フィッシング詐欺、なりすましメールなどのセキュリティリスクが低減します。また、信頼性のあるメール送信者にとっては、メールが迷惑メールフォルダーに入るリスクを減らし、受信者に確実に届く可能性を高められます。
今回の発表は米Yahooであり、Yahoo! Japanではないため、日本への影響がより大きいと思われるGoogleの対応強化について注目してみましょう。
(資料DL)送信ドメイン認証(SPF、DKIM、DMARC)に対応した「メールセキュリティガイドブック」を差し上げます。
ダウンロード(無料)
メール送信者は今回発表されたこのガイドラインに沿わないと、Gmailにメールが届かなくなるということです。Googleにメール送信する場合、1日に送信するメールが5,000通以内か以上かで、求められる対応は大きく2つに分けられます。それぞれ主要な条件は次のとおりです。
共通する部分もありますが、5,000通以上の場合の条件は「SPF、及びDKIMに加えてDMARC」の対応が必要になります。
(資料DL)送信ドメイン認証(SPF、DKIM、DMARC)に対応した「メールセキュリティガイドブック」を差し上げます。
ダウンロード(無料)
今回のGoogleの送信者向けのガイドラインの発表は、日本国内にも多大な影響を及ぼす可能性が高いと考えます。Gmailを使っているコンシューマへ、今まで届いていたメールが届かなくなるかもしれないのです。
ガイドラインの適用まで時間も限られているため、送信者に求められている送信ドメイン認証(SPF・DKIM・DMARC)の対応を優先して取り組む必要があります。SPFやDKIMだけでなく、将来的にはDMARCのポリシーもp=quarantine以上が求められる可能性はありますが、まずはp=noneでも良いのでDMARCに対応しましょう。
送信ドメイン認証の対応は、Googleや米Yahooにメールを届けるためだけでなく、取引先やグループ会社などと安全にメールを送受信するためにも必要です。例えば、取引先が送信ドメイン認証を導入しているのに自社の対応が遅れていると、取引先は受信メールの正常性を確認できず、送信したメールが不審なメールとして処理されてしまうかもしれません。
既に多くの企業が送信ドメイン認証を導入しており、国内の大手携帯キャリアもDKIMやDMARCへの対応を発表しています。また、政府がクレジットカード会社にDMARC導入によるなりすましメール対策を要請したり、「政府機関等のサイバーセキュリティ対策のための統一基準群」へのDMARC対応の明記など、対策強化の流れが進んでいます。
送信ドメイン認証への対応は、企業がビジネスを円滑に進める上でも欠かせない取り組みとなっているのです。
SPF・DKIM・DMARCなどの送信ドメイン認証への対応には、メールセキュリティサービスを利用することが一番おすすめです。
一例として、IIJで提供する「IIJセキュアMXサービス」では、SPFやDKIMの認証チェックだけでなく、DKIM署名の付与やDMARCの結果に応じたフィルタリング機能に対応しているため、大きな手間をかけることなく対応できます。更にDMARC可視化機能も付属しているため、DMARCポリシーの段階的強化の手助けにもなります。
また、DNSに設定が必要なSPFレコード例、DMARCポリシー例や設定方法もマニュアル化。専門的な対応が難しい場合も安心してご利用いただけます。
今回のGoogleと米Yahooの発表を機に、送信ドメイン認証の対応をお考えの場合はぜひご検討ください。