2024年03月15日
Gmailは2024年2月にガイドラインの変更を行いました。今回の変更の狙いは、なりすましメール被害拡大防止というセキュリティ向上とされています。
メール配信を業務とする方は、今回のガイドライン変更に合わせて対応しなければいけない作業が発生します。
配信するメールが悪意なく「正当」であることを証明するための認証技術の導入をはじめ、そのほかにも細かい部分で対応しなければいけないことがあります。
そこで今回は『Gmailが2024年2月にガイドライン変更!【メール配信担当者必読!】』と題して、ガイドライン変更の理由や対応すべきことなどについて、詳しく解説します。
目次
Gmailは2024年2月に、1日5,000件以上のGmailアカウントに対しメールを送る配信者を対象に、ガイドライン変更が実施されました。
ガイドラインが変更される理由としては、実在する企業や組織、団体を装い悪意をもって送ってくる「なりすましメール(※)」が増加しており、被害が拡大していることから、Gmailアカウントを利用するユーザーを守るためと考えられます。
※なりすましメール
なりすましメールとは、実際に存在する企業などになりすました悪質なメールです。
主に、本文内にあるURLをクリックさせてフィッシングサイトに移動させ、ユーザーの個人情報を盗む目的で配信されます。
ガイドライン変更にともない、主に以下の3つが義務付けられます。
Gmailのヘルプセンターには「1日5,000件以上のGmailアカウント」へメール配信している方が対象であることが書かれています。
一方で、この条件を満たしていないメール配信者も、対応しなければいけない項目があるため、一概に条件を満たした方のみとはいえません。
Gmailアカウントとは
ここでいうところのGmailアカウントとは、Googleが提供するフリーメールのドメイン(末尾)が「gmail.com」となっているものです。
Google Workspaceで使っているアカウントの場合は、業務上で使用されることが多いため、企業側で取得しているドメインを設定することが多いです。
そのため、Google Workspaceのアカウントに関しては対象外となる場合もあります。
ガイドラインの変更にともない、メール配信者は対応しなければいけない作業が発生します。
先ほど示したおり、Gmailアカウントを利用しているユーザーをなりすましメールの被害から守るために、今回のガイドライン変更が実施されました。「1日5,000件以上のGmailアカウントへメールを送っている」という一定の条件を設け、それを軸にガイドラインは変更していると考えられます。
ただ、条件を満たしていないメール配信者であっても、対応しなければならない項目があるので、この段落では、双方で必要な対応について解説します。
まずは、すべてのメール配信者が対応すべき項目について解説します。
認証技術であるSPFかDKIMの、どちらかを導入する必要があります。SPFとDKIMについては、記事の後半で詳しく解説します。
ドメインに対応するIPアドレスを教えてくれるDNSレコードを設定し、IPアドレスが一致するかをチェックします。
迷惑メールと判定されているかが確認できる、Google提供のPostmaster Toolsによれば、Postmaster Toolsで報告される迷惑メール率を0.1%未満に維持しつつ、迷惑メール率を0.3%以上にならないようにする、といった記載があります。
上記の数字の範囲におさえるためには、不要なメールを多く送ったり、ユーザーが興味を示さないものを配信しないようにする必要があります。
万が一やってしまうと、メールを受信する側で迷惑メール扱いとなってしまい、定められた率内をオーバーしてしまう恐れがあります。
Internet Message Formatとは、配信するメールの基本的なフォーマットを定めたものです。この場合はRFC5322となり、これをメールアドレスの形式およびメールヘッダに関して定めています。標準的なメールサーバを使用していれば、ほとんどの場合RFC5322は対応しています。
ヘッダFromは、メーラー(OutlookやGmailなど)上で表示される、差出人のメールアドレスを指します。
自由に設定できる部分ですが、ヘッダFromに「gmail.com」を使用してしまうと、メール配信に影響をおよぼしてしまい、なりすましメール扱いになるのでNGです。
全メール配信者を対象とした対応すべき項目に加え、Gmailアカウントに1日5,000件以上メール配信を行っている方向けの、対応すべき項目があります。
Gmailアカウントに1日5,000件以上メール配信する場合は、認証技術であるSPFとDKIMの両方を導入する必要があります。
DMARCとは、SPFやDKIMを使用した、なりすましを防止するための認証技術です。今回のGmailのガイドライン変更では、DMARCの対応が必要ですが「none(何もしない)」の設定であっても問題はないです。DMARCについては、記事の後半で詳しく解説します。
ダイレクトメールの場合、ヘッダFromのドメインをSPF、DKIMで設定したドメインと一致させる必要があります。
メールマーケティング(メルマガなど)を目的としたメールや、配信に登録されたメールについては、ワンクリックで登録解除ができるようにする必要があります。
Gmailのガイドライン変更前から、SPFかDKIMの設定は必要だったので、基本的にどちらかの認証技術は取得していることがほとんどです。
ただ、先述したとおり、2024年2月に行われたGmailのガイドライン変更にともない、SPFとDKIMの両方の導入が必要なうえ、DMARCも追加が求められるようになりました。
ここでは、SPF、DKIM、DMARCについて、簡単ながら詳しく解説します。
認証技術だけでなく、迷惑メールにならない方法などについてはこちら
SPFとはメール配信したメールが「迷惑メール」と誤認されるのを防止するための、認証技術です。
SPFは以下の4ステップで進行していきます。
これが、SPFの一連の流れとなっています。
上記のルートをたどって、メール配信元のメールサーバにあるIPアドレスと一致するかをチェックし、メール配信者によって送られてきたメールが、正規か非正規かを判断します。
DKIMとは、電子署名を使った認証技術です。DKIMにより受信したメールが「正当な配信者から送られてきたもの」かどうかを確認することができます。
DKIMは以下の4ステップで進行していきます。
これがDKIMの一連の流れとなっています。
この流れを無事通過すると、メールが受信されます。
DMARCとは、配信したメールのSPFやDKIMの認証が失敗した際に、どのように対処するかの技術となっています。DMARCを設定する場合、認証に失敗したメールを受信サイドで、どのように対処するかは3つの指定で対応します。
DMARCは以下のステップで進行していきます。
独自ドメインを使って配信するメールの送信元情報、認証結果に関しては、DMARCレポート(統計情報)として取得できます。
認証を強化するSPFとDKIMの欠点を補うDMARCについてはこちら
迷惑メール扱いにならないためにも、認証技術であるSPF、DKIM、DMARCの導入は大切です。この段落では、各認証技術の設定方法、設定後の確認方法について解説します。
まずは、認証技術であるSPF、DKIM、DMARCの設定方法について解説します。
利用しているメール配信システムを提供する企業に「SPF設定のためのレコード情報」を教えてもらいます。あとは独自ドメインを管理しているレンタルサーバなどの管理画面に入り、取得したSPFレコードを記載すれば完了です。
利用しているメール配信システムを提供する企業に「DKIMの情報」を教えてもらうと、「ドメインキー」というものを取得できます。あとは独自ドメインを管理しているレンタルサーバなどの管理画面に入り、ドメインキーを記載すれば完了です。
DMARCの場合は、独自ドメインを管理しているレンタルサーバなどの管理画面に入り、DMARCを入力します。
手順は以下のようになります。
実際に設定したSPF、DKIM、DMARCの確認方法としては、自身宛にメールを配信後、受信されたメールからチェックが可能です。
Gmailで解説すると、画面右にある「点3つ」をクリックし、「< >メッセージのソースを表示」に移動すると導入状況を見ることができます。
以下のような項目が現れ、簡単に導入状況を確認することができます。
Gmailのガイドライン変更は、2024年2月に実施されました。
どこまでのメール配信者が対象かなど、迷う部分はたくさんあるかと思います。
定される結論としては、Gmailアカウントへメール配信する件数や、メールマーケティングを目的としているかどうかなど判断材料はありますが、条件の差は気にせずにすべてのメール配信者は対応したほうがベストかもしれません。
SPF、DKIM、DMARCといった認証技術を導入していないと、そもそも迷惑メール扱いとなりやすく、受信サイドへメールを届けることができません。
なるべく、必要なものは早めに導入し、守るべきルールは遵守したほうがよいでしょう。
当社が提供するメール配信システム・Combz Mail PLUS(コンビーズメールプラス)の認証技術についてですが、SPFは標準対応しており、DKIMも導入済みです。
SPFに関しては標準対応のため、利用者側で設定する必要はありません。確認することも可能で、以下のヘルプページをご参照ください。
DKIMに関しては2種類用意しており「第三者署名」と「作成者署名(オプション機能)」があります。
第三者署名の場合は当社のコンビーズドメインの署名を用いて証明します。メール配信者自身のドメインは確認できないですが、コンビーズメールプラスが持つメールサーバから送られてきたことは確認可能です。
作成者署名の場合はメール配信者と同じドメインの署名を用いて証明します。ヘッダFromに表示されているメールアドレスと同様のドメインで署名するため、整合性が取れて信用度は高いものとなっています。
どちらのDKIMも正当なメール配信者から送られた、改ざんされていないメールであることを証明してくれるため、どこに「信頼」をおくかで選ぶとよいでしょう。
今回の記事はいかがでしたでしょうか?
Gmailでは、なりすましメールによる被害拡大防止というセキュリティの観点から、2024年2月にガイドライン変更が実施されました。
悪意がなく「正当なメール配信」であることを証明し、迷惑メール扱いを防ぐためにも、SPF、DKIM、DMARCといった認証技術の導入、そのほかに変更されたガイドラインを遵守する必要があります。
Gmailアカウントへ1日5,000件以上メール配信するかしないかで、対応すべきガイドラインに一部差はありますが、配信数の条件を問わずメール配信を行う方は、すべて対応しておいたほうが良いかもしれません。
配信する側、受信する側の両方が快適にメールのやり取りができるよう、今回のGmailのガイドライン変更にともなう作業は怠らないようにしましょう。
以上、『Gmailが2024年2月にガイドライン変更!【メール配信担当者必読!】』でした。
料金プランや運用のご相談まで、あなたの専属コンサルタントがサポートします
コンビーズのサービスをご紹介していただくと、あなたも紹介者さんもおトク
お客様が安心してご利用いただけるようセキュリティ対策もバッチリ。第三者認証であるISMS(ISO27001)を取得済み。