2022年09月12日
メール配信システムでメルマガを配信した後、配信先の方から「迷惑メール扱いになっていたよ」と言われたことはありませんか?メルマガは、まれに配信先の受信サーバ(OutlookやGmailなど)でブロックされたり、端末側の設定により迷惑フォルダに振り分けられることがあります。
迷惑メールと誤認されないようにするためにも、メール配信者側は受信する側に対し「迷惑メールではないこと」を認識してもらう必要があります。
さまざまな方法がありますが、特に押さえておきたいのは、SPFとDKIMという認証技術です。
そこで今回は『メルマガが迷惑メールにならない方法-SPFやDKIM認証とは?』と題して、認証技術だけでなく、迷惑メールにならない方法などについて解説します。
目次
認証技術の解説に移る前に、まずは迷惑メールの種類や、迷惑メール扱いになってしまう仕組みについて解説します。
一言で「迷惑メール」といっても、どういった種類があるかご存知でしょうか?迷惑メールの定義を簡単に説明すると、詐欺まがいの内容やウイルスをメール送信して、受信側に不利益を与える行為を総称します。
ここでは、特に最近急増している迷惑メールのひとつである「なりすましメール」について紹介します。
最近よく、Amazonや楽天、携帯電話の各キャリア(Softbank、docomo、auなど)を装い送られてくる、迷惑メールを目にするかと思います。あたかも大手企業からのメールと思わせて、個人情報を盗んだり架空請求する迷惑メールを「なりすましメール」といいます。
なりすましメールで行われる、迷惑行為については以下のとおりです。
フィッシングメールとは、偽物のアカウント入力フォームのページなどへアクセスさせて、特定のサイトのアカウントやパスワードのほか、クレジットカード番号を盗むために使われる方法です。
架空請求メールとは、見覚えのないサイトから、使用したことのない利用料金を請求してくるものです。
ウイルスメールは言葉どおり、受信側にウイルスを感染させて、端末に不具合を起こしたり、情報収集や遠隔操作などを行うものです。
個人情報、業務データ、認証情報の流出と悪用、他者への感染拡大、端末の破壊するマルウェアのエモテットの脅威についてはこちら
なりすましメールの参考例
例にもれず、当社にも「なりすましメール」が送られてきたことがあります。当社の社名「株式会社コンビーズ」になりすまし、ZIPファイルを添付したメールを送りつけてくるというものです。
なりすましメールの概要は下記のとおりです。
——————————————————-
差出人: x-xxxxxxxxxx@kakavas-klonizaki.com
件名 :支払いの詳細 – 注文番号。
本文 :
平素よりお世話になっております。
株式会社コンビーズのXXXXXXで御座います。
表題の件につきまして、添付ファイルにて
お送りさせて頂きますので、お手数では御座いますが
ZIPファイル解凍用パスワード: (ここに数字の羅列)
料金明細をチェック
(ここにURL)
~以下略~
——————————————————-
当社が使用するメールのドメインは「combz.jp」もしくは「z.combz.jp」のため、偽物であることがわかります。このように「さも本物のようになりすまして」被害を加えてくるのが、手口となります。
メール配信システムを用いて配信したメルマガの内容が、適切なのにも関わらず受信する側で迷惑メール扱いにされてしまうケースがあります。 多くの場合、以下の方法を見直すと迷惑メール扱いを回避できる可能性があります。
正規のメルマガが迷惑メール扱いされた場合、メルマガを構成する各要素問題があるかもしれません。下記の対策をご覧いただき、メルマガの基本要素を見直してみましょう。
件名の長さが長すぎたり、逆に短すぎる場合、テキスト内に好ましくない単語を用いた場合などは、内容が不透明となるため怪しいメールと判断され、開封されなかったり、迷惑フォルダに振り分けられたりする可能性が高まります。
また、迷惑メールの業者が使う単語(アダルトサイトや出会い系サイトに使う言葉、儲け話など)などを使用すると、迷惑メールと判断される場合があるので、使用の際は慎重になることをおすすめします。
セキュリティが低いサイトのURL、短縮したり余りにも長いURLは、結果的に迷惑メールと判断される可能性が高くなります。
アフィリエイトリンクも同様に、貼り付けて送ってしまうと不審なメールと判断される可能性を高めてしまいます。
メルマガに大量の画像を貼り付けたり、容量の大きいファイルを添付すると、迷惑メール扱いになる可能性があります。画像の場合はメルマガの全体の30%に抑え、添付ファイルは極力付けないことをおすすめします。
また、受信側のメーラーによっては、HTMLメールなどの形式が適応せず、迷惑メールとして非表示になる場合があります。
メール配信システムを使って配信したメルマガが迷惑メールにならないよう、メルマガの基本的な部分を見直したあとは、適切なメールアドレスを使っているかや、安全なサーバを利用しているかなどのチェックもしましょう。
メールアドレスが他社と酷似していたり、共用サーバ内に悪質な業者がいると、迷惑メール扱いになる可能性があります。
正規のメルマガが迷惑メールと誤認されることを防ぐ認証技術として、SPF( Sender Policy Framework )があります。また、正当なメール配信者から送信されたものかを証明するものとして、DKIM( DomainKeys Identified Mail )もあります。
この2つの認証を受けていないと、正規のメルマガであっても迷惑メール扱いになる可能性があります。
認証技術に関しては『迷惑メールに振り分けられないための認証技術』で詳しく解説します。
タイプミスのメールアドレスや、そもそも使えないメールアドレスに対し、メルマガを送り続けると、送信先のサーバから不正な動きをしているとみなされ、迷惑メール扱いされる可能性があります。
配信実績の低いメールアドレスからメルマガを一斉配信すると、迷惑メール扱いになる可能性があります。
実績の高い低いなどを判断する方法としては、送信元のIPアドレスをもとに評価されます。これをIPレピュテーションといいます。簡単に言うと、評価が低い状態で一斉配信すると「悪質な業者」と誤解される場合があるということです。
最初は、いきなり多量のメルマガを送るというよりは、少しずつメール配信して実績を積んでいくことが大切といえます。
メルマガを配信するときに用いるメール配信システムのサーバが、共用サーバ(※)である場合も注意が必要です。
※共用サーバとは
メール配信システムは数多くの配信サーバーを保有しており、大量のメールを分散させて配信していますが、メール配信システムの契約アカウント全体で共同利用します。この仕組みを、共用サーバといいます。
セキュリティがしっかりした共用サーバであったとしても、その中に質の悪いメール配信をする業者が居た場合、サーバの評価が落ちてしまう可能性があります。
評価が下がると、いくら自身が問題のないメルマガをメール配信しても、受信する側で迷惑メール扱いとなってしまい、迷惑フォルダに振り分けられる場合があります。
マナーを守って運用しても、予期せぬところで影響を受ける場合もあります。
わずかなリスクも回避し「さらに安定的なメール配信ができる方法」についてはこちら
最近、なりすましメールとして、他社と酷似したメールアドレスを作成し、迷惑メールを送る悪質な業者が増えています。正規のメルマガを送る際は、酷似したメールアドレスがないかなどを、チェックしたうえで使うのをおすすめします。
あまりに他社とメールアドレスが似ている場合、迷惑メール扱いで届かない可能性が高まります。
上記で紹介した、迷惑メール扱いを防止するための方法は、今すぐにでも実行できるものです。また、メール配信システムを運営している企業が、しっかりセキュリティ体制を構築しているのであれば、基本的に迷惑メールの誤認を防止するための作業は、すべて網羅しているはずです。
安心安全なメール配信システムを選ぶ基準の一つとして、SPFとDKIMといった認証技術をしっかり導入しているかを見るのは一つのチェックポイントとなります。この段落では、判断基準となる認証技術SPFとDKIMについて解説します。
上記でも解説したとおり、迷惑メール扱いにならないための対策のひとつとして、「送信ドメイン認証」がメール配信者に推奨されています。「送信ドメイン認証」とは、電子署名やIPアドレス認証の活用で、メール配信者によるメールが正規か非正規のものかを判断するための仕組みです。
これらの仕組みは多数存在していますが、主に注目を集める仕組みとして、先でも紹介したとおりSPFとDKIMがあります。長い時間をかけてメール配信したメルマガが、迷惑メール扱いされないよう、以下で解説する仕組みを活用しましょう。
SPFは、 電子メール配信時に、送信したメールが「迷惑メール」であると誤認されることを防ぐ認証技術です。以下で、SPF認証の流れを紹介していきます。
SPF認証は次の4ステップで進行します。
こちらが、SPF認証の一連の流れです。こちらのステップを通して、受信者側はDNS サーバから「SPFレコード」を取得します。
このような過程で、メール配信元のメールサーバにある「IPアドレス」と一致するかどうかの確認を行うことで、メール配信者によるメールが正規のものか非正規ものかを判断します。
コンビーズメールプラスは、SPF認証に標準対応しています。SPF対応には、別料金は必要ないので、是非、ご活用ください。
DKIMとは、電子署名を用いた認証技術の1つです。こちらのDKIM認証により、受信したメールが「正当な送信者から送信されたメール」であるかどうかを調べることができます。
以下で、DKIM認証の流れを紹介していきます。DKIM認証は、次の4ステップで進行します。
こちらがDKIM認証の一連の流れです。この4ステップを無事通過した時、メールが受信されます。DKIM認証 は、上述したステップをもとに、電子署名をベースとしたなりすまし判定を行います。
そのため、メール転送やゲートウェイサービスのように、途中で異なるMTAを中継された場合においても、判定処理が可能となる利点があります。
さらに、DKIM認証の最大のメリットは、エンベロープFROMが正しいことやヘッダ内が改ざんされていないことを確認できることです。
エンベロープFROMとヘッダFROMが一致するかどうかを検証することで、両方の正当性を確認できます。
当社が提供するメール配信システム・Combz Mail PLUS(コンビーズメールプラス)も、セキュリティ対策として認証技術を導入しています。コンビーズメールプラスの場合は、SPF、DKIM、START TLSを導入しています。
SPFは標準対応しており、DKIMは第三者署名と作成者署名(作成者署名のみオプション機能)を用意しています。また、メール暗号化のSTART TLSも標準対応しているため、メールの内容を盗み見される心配もありません。
さらに、共用サーバでは不安な方には、オプションとして専用サーバ配信もおすすめしています。メルマガのメール配信をご検討の方は、セキュリティ万全のコンビーズメールプラスの導入を、ぜひ、ご検討ください。
今回の記事はいかがでしたでしたでしょうか?
例え悪意なく、有益な情報をメルマガとしてメール配信していても、予期せぬことで迷惑メール扱いになる可能性は十分にあります。
まずは、正しいメルマガのメール配信ができているかのチェック、メールアドレスやサーバに問題がないかなどを調べてから、運用するのをおすすめします。
特にメール配信システムを選ぶ際は、認証技術であるSPFとDKIMが導入されているかをチェックするのは大切です。セキュリティ体制が万全なメール配信システムを選びましょう。
以上、『メルマガが迷惑メールにならない方法-SPFやDKIM認証とは?』でした。
料金プランや運用のご相談まで、あなたの専属コンサルタントがサポートします
コンビーズのサービスをご紹介していただくと、あなたも紹介者さんもおトク
お客様が安心してご利用いただけるようセキュリティ対策もバッチリ。第三者認証であるISMS(ISO27001)を取得済み。