Special Feature
メールが届かない? 求められる送信ドメイン認証技術への対応
2024/06/06 09:00
週刊BCN 2024年06月03日vol.2016掲載
米Google(グーグル)は2023年10月に「メール送信者のガイドライン」のアップデートを公表し、24年2月から試験的に運用を行い、4月から適用を開始した。ガイドラインでは、送信ドメイン認証技術への準拠や、ワンクリック登録解除の実装などが求められている。対応していない場合は、個人用「Gmail」アカウントの「@gmail.com」「@googlemail.com」にメールが届かなくなるとされていることから、特にECをはじめとしたBtoCビジネスでは、大きな影響が出ると予想される。ガイドラインに対応していくためのポイントを考察する。
(取材・文/岩田晃久)
今回のガイドラインは、Gmailアカウントに対して1日に送信するメールが5000件未満か、5000件以上かで適用される要件が異なる。共通要件としては、▽送信元のドメインまたはIPアドレスに、有効な正引きおよび逆引きDNSレコードがある▽「Postmaster Tools」で報告される迷惑メール率を0.3%以下にする▽メッセージ形式がRFC 5322標準に準拠している▽Gmailのなりすましをしない(Fromアドレスを@gmail.comとしてメール送信しない)▽TLS接続してメール送信する―などが挙げられる。
特に注意したいのが、迷惑メール率に関する要件だ。Postmaster Toolsはグーグルが提供するツールで、メールの配信エラーや、迷惑メールが報告された数などを確認することができる。迷惑メール率を低い状態を維持するために、信頼性の低いサイトのURLを記載しないなど、スパムメールと疑われる内容にしないといった基本的なことや、後述する送信ドメイン認証技術に対応していくことが有効となる。
1日に5000件以上のメールを送信する場合は、上記の要件に加えて、▽SPF(Sender Policy Framework)レコードおよびDKIM(DomainKeys Identified Mail)署名の設定(5000件未満の場合は、SPFまたはDKIM署名が必要)▽DMARC(Domain-based Message Authentication, Reporting and Conformance)を設定する▽マーケティング/配信登録メールをワンクリックで配信停止できるようにする―の各点への対応も求められる。注意したいのは、5000件の中にサブドメインも含まれることだ。
4月からはSPF、DKIM、DMARCに対応していないメールが、6月からはワンクリック配信停止を施していないメールが徐々に届かなくなっているとされる。
NRIセキュア テクノロジーズ 斉藤弘之 グループマネージャー
NRIセキュアテクノロジーズのクラウドセキュリティ事業部の斉藤弘之・グループマネージャーは「SPF、DKIM、DMARCの三つの送信ドメイン認証技術に対応しなければならないことが、ガイドラインの大きなポイントだ」と述べる。ワンクリック配信停止についても「ガイドラインで強く書かれているため、強制力が高くなっていく可能性がある」との見解を示す。
日本プルーフポイント 増田幸美 チーフエバンジェリスト
DKIMは、電子署名を用いた認証技術だ。DNSサーバーに公開鍵を登録し、秘密鍵でつくった電子署名を付加してメ-ルを送信する。受信側はDNSサーバーに公開鍵を問い合わせて取得する仕組みとなる。日本プルーフポイントの増田幸美・チーフエバンジェリストによると「SPFの普及率は90%近くなっており、多くの企業が対応している。しかし、DKIMは対応できていない企業が多い」傾向にあるという。DKIMの普及が進まない要因として、電子署名の管理に不安を抱えるユーザーが多いことや、自社で構築したメール配信システムがDKIMに対応していないことが少なくないといった点を挙げる。
そしてDMARCは、SPFおよびDKIMを用いてメールに表示される送信元アドレス「ヘッダーFrom」のドメインがなりすまされていないか、信頼できるものかどうかを判断する認証技術となる。例えば、SPF、DKIMで認証したドメインと、ヘッダーFromで表示されているドメインが一致していると、DMARC認証に成功したことになる。
送信側のドメイン所有者は、認証に失敗したメールをどう処理すべきかについて、None(何もしない)、Quarantine(迷惑メールフォルダーなどに隔離する)、Reject(配信しない)の三つのポリシーのいずれかを受信側に通知できるので、自社とは無関係の第三者によるなりすましメールで何らかの被害が発生するのを未然に防ぐ効果が期待できる。ただ、なりすましメールをブロックするには、QuarantineかRejectに設定する必要があるが、安易にポリシーを設定すると正規のメールまで届かなくなる可能性もあるため、国内企業の場合、DMARCには登録していてもNoneのままで運用しているケースが大半だという。
DMARCを有効に運用していくには、受信側サーバーが受け取ったメールの認証結果などをドメイン所有者に通知する「DMARCレポート」の結果を解析し、認証に失敗したメ-ルは攻撃者がなりすましたものなのか、送信元のサーバーはどこなのかといったことを把握しなければならない。しかし、DMARCレポートはXML形式で出力されることから、分析が難しいのが課題とされる。プルーフポイントは、メール詐欺防止ソリューション「Proofpoint EFD(Email Fraud Defense)」やコンサルティングサービスを通じて、DMARCレポートの分析や実際の運用など支援。NRIセキュアをはじめとしたパートナーも、Proofpoint EFDを活用したサービスを提供している。
増田チーフエバンジェリストは「大手企業では、取引先条件としてDMARCを入れる動きが出てきている」として、ビジネスを成長させていく上でも、DMARCへの対応は重要としている。
ラクスライトクラウド 黒川和樹氏
ラクスライトクラウドの企画課でイベントマーケティング責任者を務める黒川和樹氏も「ガイドラインで重要となるのが送信ドメイン認証技術だ」と語る。ユーザーの傾向については「SPFとDKIMについては、以前から設定している企業は多かったが、DMARCだけは対応していなかったというパターンが見受けられる」との見方を示す。ブラストメールでは、SPFレコード、DKIM署名、DMARC設定済みの独自ドメインのアドレスを無料で貸し出すことで、ユーザーがガイドラインに対応できるよう支援している。
メール配信システムを利用している場合、SPFレコード、DKIM署名を設定するために、ユーザーがドメイン管理画面上で情報を入力する作業が発生する。加えてDKIM署名では、ドメインキーを入手する必要もある。だが、日常的にドメイン管理画面に入るケースは限られているため、「ドメイン管理画面に入るところで苦労しているユーザーが少なくない」(黒川氏)。
ラクスライトクラウドは、送信ドメイン認証技術に対しての不安を抱えるパートナーに対して勉強会を実施するなどして、スキルアップを図っている。
ブラストメールでは、システム上でワンクリック配信停止設定ができるという。また黒川氏は「ワンクリックで解除できるようにした後も、特定電子メール法の規定により解除フォームは残さなければならない」と注意を促す。
また、米Yahoo!(ヤフー)、米Apple(アップル)などがグーグルと似た内容でメールガイドラインを強化することを発表している。グーグルも、現時点でのガイドラインの対象は個人用としているが、今後はビジネスで利用される「Google Workspace」のアカウントに範囲を広げていく可能性がある。。
1月に神奈川県の公立高校入試のインターネット出願システムで、Gmailへのメールが届かなかったことから大きな混乱が起きるなど、メールが日々の生活で利用される場面は多い。メールを安全に届けるためにも、ガイドラインへの対応は必須だ。
(取材・文/岩田晃久)
送信件数により異なる要件
電子メールにおいては、不正メールや迷惑メールが長年問題視されており、最近はなりすましメールによる被害が拡大傾向にある。グーグルはガイドラインを強化、明確化することで、メールによるセキュリティー被害を防止する狙いだ。今回のガイドラインは、Gmailアカウントに対して1日に送信するメールが5000件未満か、5000件以上かで適用される要件が異なる。共通要件としては、▽送信元のドメインまたはIPアドレスに、有効な正引きおよび逆引きDNSレコードがある▽「Postmaster Tools」で報告される迷惑メール率を0.3%以下にする▽メッセージ形式がRFC 5322標準に準拠している▽Gmailのなりすましをしない(Fromアドレスを@gmail.comとしてメール送信しない)▽TLS接続してメール送信する―などが挙げられる。
特に注意したいのが、迷惑メール率に関する要件だ。Postmaster Toolsはグーグルが提供するツールで、メールの配信エラーや、迷惑メールが報告された数などを確認することができる。迷惑メール率を低い状態を維持するために、信頼性の低いサイトのURLを記載しないなど、スパムメールと疑われる内容にしないといった基本的なことや、後述する送信ドメイン認証技術に対応していくことが有効となる。
1日に5000件以上のメールを送信する場合は、上記の要件に加えて、▽SPF(Sender Policy Framework)レコードおよびDKIM(DomainKeys Identified Mail)署名の設定(5000件未満の場合は、SPFまたはDKIM署名が必要)▽DMARC(Domain-based Message Authentication, Reporting and Conformance)を設定する▽マーケティング/配信登録メールをワンクリックで配信停止できるようにする―の各点への対応も求められる。注意したいのは、5000件の中にサブドメインも含まれることだ。
4月からはSPF、DKIM、DMARCに対応していないメールが、6月からはワンクリック配信停止を施していないメールが徐々に届かなくなっているとされる。
NRIセキュアテクノロジーズのクラウドセキュリティ事業部の斉藤弘之・グループマネージャーは「SPF、DKIM、DMARCの三つの送信ドメイン認証技術に対応しなければならないことが、ガイドラインの大きなポイントだ」と述べる。ワンクリック配信停止についても「ガイドラインで強く書かれているため、強制力が高くなっていく可能性がある」との見解を示す。
複雑なDMARCの運用
では、SPF、DKIM、DMARCがそれぞれどのような内容なのか見ていこう。SPFは、正規のIPアドレスからメールが送信されたかを認証する技術となる。DNSサーバーにメール送信時に使うサーバーのIPアドレスを登録し、受信サーバー側は使用されたIPアドレスが正しいかをDNSサーバーに照会することで、メールの送信元が詐称されていないか確認する。
DKIMは、電子署名を用いた認証技術だ。DNSサーバーに公開鍵を登録し、秘密鍵でつくった電子署名を付加してメ-ルを送信する。受信側はDNSサーバーに公開鍵を問い合わせて取得する仕組みとなる。日本プルーフポイントの増田幸美・チーフエバンジェリストによると「SPFの普及率は90%近くなっており、多くの企業が対応している。しかし、DKIMは対応できていない企業が多い」傾向にあるという。DKIMの普及が進まない要因として、電子署名の管理に不安を抱えるユーザーが多いことや、自社で構築したメール配信システムがDKIMに対応していないことが少なくないといった点を挙げる。
そしてDMARCは、SPFおよびDKIMを用いてメールに表示される送信元アドレス「ヘッダーFrom」のドメインがなりすまされていないか、信頼できるものかどうかを判断する認証技術となる。例えば、SPF、DKIMで認証したドメインと、ヘッダーFromで表示されているドメインが一致していると、DMARC認証に成功したことになる。
送信側のドメイン所有者は、認証に失敗したメールをどう処理すべきかについて、None(何もしない)、Quarantine(迷惑メールフォルダーなどに隔離する)、Reject(配信しない)の三つのポリシーのいずれかを受信側に通知できるので、自社とは無関係の第三者によるなりすましメールで何らかの被害が発生するのを未然に防ぐ効果が期待できる。ただ、なりすましメールをブロックするには、QuarantineかRejectに設定する必要があるが、安易にポリシーを設定すると正規のメールまで届かなくなる可能性もあるため、国内企業の場合、DMARCには登録していてもNoneのままで運用しているケースが大半だという。
DMARCを有効に運用していくには、受信側サーバーが受け取ったメールの認証結果などをドメイン所有者に通知する「DMARCレポート」の結果を解析し、認証に失敗したメ-ルは攻撃者がなりすましたものなのか、送信元のサーバーはどこなのかといったことを把握しなければならない。しかし、DMARCレポートはXML形式で出力されることから、分析が難しいのが課題とされる。プルーフポイントは、メール詐欺防止ソリューション「Proofpoint EFD(Email Fraud Defense)」やコンサルティングサービスを通じて、DMARCレポートの分析や実際の運用など支援。NRIセキュアをはじめとしたパートナーも、Proofpoint EFDを活用したサービスを提供している。
増田チーフエバンジェリストは「大手企業では、取引先条件としてDMARCを入れる動きが出てきている」として、ビジネスを成長させていく上でも、DMARCへの対応は重要としている。
メール配信システムもガイドライン準拠
メール配信サービスを活用して大量のメールを送付する企業は多い。業務効率化クラウドサービスを運営するラクスの傘下のラクスライトクラウドは、クラウド型メール配信システム「ブラストメール」を提供。機能を絞りシンプルで使いやすい設計にしていることや、月額4000円から利用できることが支持され、2万2000社以上に利用されている。グーグルのガイドラインには24年1月から対応した。
ラクスライトクラウドの企画課でイベントマーケティング責任者を務める黒川和樹氏も「ガイドラインで重要となるのが送信ドメイン認証技術だ」と語る。ユーザーの傾向については「SPFとDKIMについては、以前から設定している企業は多かったが、DMARCだけは対応していなかったというパターンが見受けられる」との見方を示す。ブラストメールでは、SPFレコード、DKIM署名、DMARC設定済みの独自ドメインのアドレスを無料で貸し出すことで、ユーザーがガイドラインに対応できるよう支援している。
メール配信システムを利用している場合、SPFレコード、DKIM署名を設定するために、ユーザーがドメイン管理画面上で情報を入力する作業が発生する。加えてDKIM署名では、ドメインキーを入手する必要もある。だが、日常的にドメイン管理画面に入るケースは限られているため、「ドメイン管理画面に入るところで苦労しているユーザーが少なくない」(黒川氏)。
ラクスライトクラウドは、送信ドメイン認証技術に対しての不安を抱えるパートナーに対して勉強会を実施するなどして、スキルアップを図っている。
ワンクリック配信停止の実装が必須に
6月からは、メールのヘッダー部分にワンクリック配信停止の実装が必要となった。現在一般的なWeb上の入力フォームによる配信解除の場合、ユーザーは入力が面倒なことから、企業からのメールマガジンなどを迷惑メールのフォルダーに移動させることがある。これにより、企業からのメールが迷惑メールとして扱われてしまい、迷惑メール率が上がってしまうという課題がある。ワンクリック配信停止を実装すれば、ユーザーの利便性が向上し、企業にとっても迷惑メール率のスコアを下げられるといったメリットが見込める。ブラストメールでは、システム上でワンクリック配信停止設定ができるという。また黒川氏は「ワンクリックで解除できるようにした後も、特定電子メール法の規定により解除フォームは残さなければならない」と注意を促す。
米Yahoo!、米Appleもガイドラインを強化
グーグルがガイドラインを公表して以降、「対応を目指すユーザーの動きが活発になっている」と3社とも口をそろえる。しかし、送信ドメイン認証技術に対応できない古いメール配信システムを利用しているなどの理由から、ガイドラインへの取り組みが遅れている企業も存在する。また、米Yahoo!(ヤフー)、米Apple(アップル)などがグーグルと似た内容でメールガイドラインを強化することを発表している。グーグルも、現時点でのガイドラインの対象は個人用としているが、今後はビジネスで利用される「Google Workspace」のアカウントに範囲を広げていく可能性がある。。
1月に神奈川県の公立高校入試のインターネット出願システムで、Gmailへのメールが届かなかったことから大きな混乱が起きるなど、メールが日々の生活で利用される場面は多い。メールを安全に届けるためにも、ガイドラインへの対応は必須だ。
米Google(グーグル)は2023年10月に「メール送信者のガイドライン」のアップデートを公表し、24年2月から試験的に運用を行い、4月から適用を開始した。ガイドラインでは、送信ドメイン認証技術への準拠や、ワンクリック登録解除の実装などが求められている。対応していない場合は、個人用「Gmail」アカウントの「@gmail.com」「@googlemail.com」にメールが届かなくなるとされていることから、特にECをはじめとしたBtoCビジネスでは、大きな影響が出ると予想される。ガイドラインに対応していくためのポイントを考察する。
(取材・文/岩田晃久)
今回のガイドラインは、Gmailアカウントに対して1日に送信するメールが5000件未満か、5000件以上かで適用される要件が異なる。共通要件としては、▽送信元のドメインまたはIPアドレスに、有効な正引きおよび逆引きDNSレコードがある▽「Postmaster Tools」で報告される迷惑メール率を0.3%以下にする▽メッセージ形式がRFC 5322標準に準拠している▽Gmailのなりすましをしない(Fromアドレスを@gmail.comとしてメール送信しない)▽TLS接続してメール送信する―などが挙げられる。
特に注意したいのが、迷惑メール率に関する要件だ。Postmaster Toolsはグーグルが提供するツールで、メールの配信エラーや、迷惑メールが報告された数などを確認することができる。迷惑メール率を低い状態を維持するために、信頼性の低いサイトのURLを記載しないなど、スパムメールと疑われる内容にしないといった基本的なことや、後述する送信ドメイン認証技術に対応していくことが有効となる。
1日に5000件以上のメールを送信する場合は、上記の要件に加えて、▽SPF(Sender Policy Framework)レコードおよびDKIM(DomainKeys Identified Mail)署名の設定(5000件未満の場合は、SPFまたはDKIM署名が必要)▽DMARC(Domain-based Message Authentication, Reporting and Conformance)を設定する▽マーケティング/配信登録メールをワンクリックで配信停止できるようにする―の各点への対応も求められる。注意したいのは、5000件の中にサブドメインも含まれることだ。
4月からはSPF、DKIM、DMARCに対応していないメールが、6月からはワンクリック配信停止を施していないメールが徐々に届かなくなっているとされる。
NRIセキュア テクノロジーズ 斉藤弘之 グループマネージャー
NRIセキュアテクノロジーズのクラウドセキュリティ事業部の斉藤弘之・グループマネージャーは「SPF、DKIM、DMARCの三つの送信ドメイン認証技術に対応しなければならないことが、ガイドラインの大きなポイントだ」と述べる。ワンクリック配信停止についても「ガイドラインで強く書かれているため、強制力が高くなっていく可能性がある」との見解を示す。
(取材・文/岩田晃久)
送信件数により異なる要件
電子メールにおいては、不正メールや迷惑メールが長年問題視されており、最近はなりすましメールによる被害が拡大傾向にある。グーグルはガイドラインを強化、明確化することで、メールによるセキュリティー被害を防止する狙いだ。今回のガイドラインは、Gmailアカウントに対して1日に送信するメールが5000件未満か、5000件以上かで適用される要件が異なる。共通要件としては、▽送信元のドメインまたはIPアドレスに、有効な正引きおよび逆引きDNSレコードがある▽「Postmaster Tools」で報告される迷惑メール率を0.3%以下にする▽メッセージ形式がRFC 5322標準に準拠している▽Gmailのなりすましをしない(Fromアドレスを@gmail.comとしてメール送信しない)▽TLS接続してメール送信する―などが挙げられる。
特に注意したいのが、迷惑メール率に関する要件だ。Postmaster Toolsはグーグルが提供するツールで、メールの配信エラーや、迷惑メールが報告された数などを確認することができる。迷惑メール率を低い状態を維持するために、信頼性の低いサイトのURLを記載しないなど、スパムメールと疑われる内容にしないといった基本的なことや、後述する送信ドメイン認証技術に対応していくことが有効となる。
1日に5000件以上のメールを送信する場合は、上記の要件に加えて、▽SPF(Sender Policy Framework)レコードおよびDKIM(DomainKeys Identified Mail)署名の設定(5000件未満の場合は、SPFまたはDKIM署名が必要)▽DMARC(Domain-based Message Authentication, Reporting and Conformance)を設定する▽マーケティング/配信登録メールをワンクリックで配信停止できるようにする―の各点への対応も求められる。注意したいのは、5000件の中にサブドメインも含まれることだ。
4月からはSPF、DKIM、DMARCに対応していないメールが、6月からはワンクリック配信停止を施していないメールが徐々に届かなくなっているとされる。
NRIセキュアテクノロジーズのクラウドセキュリティ事業部の斉藤弘之・グループマネージャーは「SPF、DKIM、DMARCの三つの送信ドメイン認証技術に対応しなければならないことが、ガイドラインの大きなポイントだ」と述べる。ワンクリック配信停止についても「ガイドラインで強く書かれているため、強制力が高くなっていく可能性がある」との見解を示す。
この記事の続き >>
- 複雑なDMARCの運用
- メール配信システムもガイドライン準拠
- ワンクリック配信停止の実装が必須に
- 米Yahoo!、米Appleもガイドラインを強化
続きは「週刊BCN+会員」のみ
ご覧になれます。
(登録無料:所要時間1分程度)
新規会員登録はこちら(登録無料) ログイン会員特典
- 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
- メールマガジンを毎日配信(土日祝をのぞく)
- イベント・セミナー情報の告知が可能(登録および更新)
SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。 - 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!…etc…
- 1
