メルマガが迷惑メールにならない方法－SPFやDKIM認証とは？

迷惑メールについて理解を深める

認証技術の解説に移る前に、まずは迷惑メールの種類や、迷惑メール扱いになってしまう仕組みについて解説します。

迷惑メールの種類とは

一言で「迷惑メール」といっても、どういった種類があるかご存知でしょうか？迷惑メールの定義を簡単に説明すると、詐欺まがいの内容やウイルスをメール送信して、受信側に不利益を与える行為を総称します。

ここでは、特に最近急増している迷惑メールのひとつである「なりすましメール」について紹介します。

急増するなりすましメール

最近よく、Amazonや楽天、携帯電話の各キャリア（Softbank、docomo、auなど）を装い送られてくる、迷惑メールを目にするかと思います。あたかも大手企業からのメールと思わせて、個人情報を盗んだり架空請求する迷惑メールを「なりすましメール」といいます。

なりすましメールで行われる、迷惑行為については以下のとおりです。

フィッシングメール

フィッシングメールとは、偽物のアカウント入力フォームのページなどへアクセスさせて、特定のサイトのアカウントやパスワードのほか、クレジットカード番号を盗むために使われる方法です。

架空請求メール

架空請求メールとは、見覚えのないサイトから、使用したことのない利用料金を請求してくるものです。

ウイルスメール

ウイルスメールは言葉どおり、受信側にウイルスを感染させて、端末に不具合を起こしたり、情報収集や遠隔操作などを行うものです。

個人情報、業務データ、認証情報の流出と悪用、他者への感染拡大、端末の破壊するマルウェアのエモテットの脅威についてはこちら

関連記事マルウェアEmotet（エモテット）に注意！感染防止を

なりすましメールの参考例

例にもれず、当社にも「なりすましメール」が送られてきたことがあります。当社の社名「株式会社コンビーズ」になりすまし、ZIPファイルを添付したメールを送りつけてくるというものです。

なりすましメールの概要は下記のとおりです。

当社が使用するメールのドメインは「combz.jp」もしくは「z.combz.jp」のため、偽物であることがわかります。このように「さも本物のようになりすまして」被害を加えてくるのが、手口となります。

迷惑メールになる理由

メール配信システムを用いて配信したメルマガの内容が、適切なのにも関わらず受信する側で迷惑メール扱いにされてしまうケースがあります。 多くの場合、以下の方法を見直すと迷惑メール扱いを回避できる可能性があります。

メルマガの基本要素を見直す

正規のメルマガが迷惑メール扱いされた場合、メルマガを構成する各要素問題があるかもしれません。下記の対策をご覧いただき、メルマガの基本要素を見直してみましょう。

件名やテキスト

件名の長さが長すぎたり、逆に短すぎる場合、テキスト内に好ましくない単語を用いた場合などは、内容が不透明となるため怪しいメールと判断され、開封されなかったり、迷惑フォルダに振り分けられたりする可能性が高まります。

また、迷惑メールの業者が使う単語（アダルトサイトや出会い系サイトに使う言葉、儲け話など）などを使用すると、迷惑メールと判断される場合があるので、使用の際は慎重になることをおすすめします。

適切なURLを使う

セキュリティが低いサイトのURL、短縮したり余りにも長いURLは、結果的に迷惑メールと判断される可能性が高くなります。

アフィリエイトリンクも同様に、貼り付けて送ってしまうと不審なメールと判断される可能性を高めてしまいます。

画像、添付ファイル、形式など

メルマガに大量の画像を貼り付けたり、容量の大きいファイルを添付すると、迷惑メール扱いになる可能性があります。画像の場合はメルマガの全体の30％に抑え、添付ファイルは極力付けないことをおすすめします。

また、受信側のメーラーによっては、HTMLメールなどの形式が適応せず、迷惑メールとして非表示になる場合があります。

応用的な部分を見直す

メール配信システムを使って配信したメルマガが迷惑メールにならないよう、メルマガの基本的な部分を見直したあとは、適切なメールアドレスを使っているかや、安全なサーバを利用しているかなどのチェックもしましょう。

メールアドレスが他社と酷似していたり、共用サーバ内に悪質な業者がいると、迷惑メール扱いになる可能性があります。

認証を受けていない

正規のメルマガが迷惑メールと誤認されることを防ぐ認証技術として、SPF（ Sender Policy Framework ）があります。また、正当なメール配信者から送信されたものかを証明するものとして、DKIM（ DomainKeys Identified Mail ）もあります。

この2つの認証を受けていないと、正規のメルマガであっても迷惑メール扱いになる可能性があります。

認証技術に関しては『迷惑メールに振り分けられないための認証技術』で詳しく解説します。

無効な受信者へ送り続けている

タイプミスのメールアドレスや、そもそも使えないメールアドレスに対し、メルマガを送り続けると、送信先のサーバから不正な動きをしているとみなされ、迷惑メール扱いされる可能性があります。

配信実績が低い段階での一斉配信

配信実績の低いメールアドレスからメルマガを一斉配信すると、迷惑メール扱いになる可能性があります。

実績の高い低いなどを判断する方法としては、送信元のIPアドレスをもとに評価されます。これをIPレピュテーションといいます。簡単に言うと、評価が低い状態で一斉配信すると「悪質な業者」と誤解される場合があるということです。

最初は、いきなり多量のメルマガを送るというよりは、少しずつメール配信して実績を積んでいくことが大切といえます。

サーバ内に悪質な業者がいる

メルマガを配信するときに用いるメール配信システムのサーバが、共用サーバ（※）である場合も注意が必要です。

セキュリティがしっかりした共用サーバであったとしても、その中に質の悪いメール配信をする業者が居た場合、サーバの評価が落ちてしまう可能性があります。

評価が下がると、いくら自身が問題のないメルマガをメール配信しても、受信する側で迷惑メール扱いとなってしまい、迷惑フォルダに振り分けられる場合があります。

マナーを守って運用しても、予期せぬところで影響を受ける場合もあります。

わずかなリスクも回避し「さらに安定的なメール配信ができる方法」についてはこちら

関連記事安定したメール配信は専用サーバーがおすすめ

他社とアドレスが酷似

最近、なりすましメールとして、他社と酷似したメールアドレスを作成し、迷惑メールを送る悪質な業者が増えています。正規のメルマガを送る際は、酷似したメールアドレスがないかなどを、チェックしたうえで使うのをおすすめします。

あまりに他社とメールアドレスが似ている場合、迷惑メール扱いで届かない可能性が高まります。

迷惑メールに振り分けられないための認証技術

上記で紹介した、迷惑メール扱いを防止するための方法は、今すぐにでも実行できるものです。また、メール配信システムを運営している企業が、しっかりセキュリティ体制を構築しているのであれば、基本的に迷惑メールの誤認を防止するための作業は、すべて網羅しているはずです。

安心安全なメール配信システムを選ぶ基準の一つとして、SPFとDKIMといった認証技術をしっかり導入しているかを見るのは一つのチェックポイントとなります。この段落では、判断基準となる認証技術SPFとDKIMについて解説します。

SPF と DKIM を導入すれば安心

上記でも解説したとおり、迷惑メール扱いにならないための対策のひとつとして、「送信ドメイン認証」がメール配信者に推奨されています。「送信ドメイン認証」とは、電子署名やIPアドレス認証の活用で、メール配信者によるメールが正規か非正規のものかを判断するための仕組みです。

これらの仕組みは多数存在していますが、主に注目を集める仕組みとして、先でも紹介したとおりSPFとDKIMがあります。長い時間をかけてメール配信したメルマガが、迷惑メール扱いされないよう、以下で解説する仕組みを活用しましょう。

SPF とは

SPFは、 電子メール配信時に、送信したメールが「迷惑メール」であると誤認されることを防ぐ認証技術です。以下で、SPF認証の流れを紹介していきます。

SPF認証は次の4ステップで進行します。

1. メール配信者が、自身のIPアドレスをDNSサーバに送る。
2. DNSサーバに、配信したメールが「SPFレコード」という形式で登録される。
3. メール受信者が、DNSサーバに「SPFレコード」を要求する。
4. レコードとメール配信者側の「IPアドレス」を照合する。

こちらが、SPF認証の一連の流れです。こちらのステップを通して、受信者側はDNS サーバから「SPFレコード」を取得します。

このような過程で、メール配信元のメールサーバにある「IPアドレス」と一致するかどうかの確認を行うことで、メール配信者によるメールが正規のものか非正規ものかを判断します。

コンビーズメールプラスは、SPF認証に標準対応しています。SPF対応には、別料金は必要ないので、是非、ご活用ください。

DKIM とは

DKIMとは、電子署名を用いた認証技術の1つです。こちらのDKIM認証により、受信したメールが「正当な送信者から送信されたメール」であるかどうかを調べることができます。

以下で、DKIM認証の流れを紹介していきます。DKIM認証は、次の4ステップで進行します。

1. メール配信者が、自身のIPアドレスを「公開鍵情報」をDNSサーバに登録する。
2. メール配信者が、電子署名を付したメールを送信する。
3. メール受信者が、「公開鍵情報」をDNSサーバに要求する。
4. メールに添付された電子署名を検証する。

こちらがDKIM認証の一連の流れです。この4ステップを無事通過した時、メールが受信されます。DKIM認証 は、上述したステップをもとに、電子署名をベースとしたなりすまし判定を行います。

そのため、メール転送やゲートウェイサービスのように、途中で異なるMTAを中継された場合においても、判定処理が可能となる利点があります。

さらに、DKIM認証の最大のメリットは、エンベロープFROMが正しいことやヘッダ内が改ざんされていないことを確認できることです。

エンベロープFROMとヘッダFROMが一致するかどうかを検証することで、両方の正当性を確認できます。

コンビーズメールプラスについて

当社が提供するメール配信システム・Combz Mail PLUS（コンビーズメールプラス）も、セキュリティ対策として認証技術を導入しています。コンビーズメールプラスの場合は、SPF、DKIM、START TLSを導入しています。

SPFは標準対応しており、DKIMは第三者署名と作成者署名（作成者署名のみオプション機能）を用意しています。また、メール暗号化のSTART TLSも標準対応しているため、メールの内容を盗み見される心配もありません。

さらに、共用サーバでは不安な方には、オプションとして専用サーバ配信もおすすめしています。メルマガのメール配信をご検討の方は、セキュリティ万全のコンビーズメールプラスの導入を、ぜひ、ご検討ください。

まとめ

今回の記事はいかがでしたでしたでしょうか？

例え悪意なく、有益な情報をメルマガとしてメール配信していても、予期せぬことで迷惑メール扱いになる可能性は十分にあります。

まずは、正しいメルマガのメール配信ができているかのチェック、メールアドレスやサーバに問題がないかなどを調べてから、運用するのをおすすめします。

特にメール配信システムを選ぶ際は、認証技術であるSPFとDKIMが導入されているかをチェックするのは大切です。セキュリティ体制が万全なメール配信システムを選びましょう。

以上、『メルマガが迷惑メールにならない方法－SPFやDKIM認証とは？』でした。