Gmailでは、メール送信者に対して新たに下記3つのガイドラインを提唱しました。
Gmail では 2024 年 2 月以降、Gmail アカウントに 1 日あたり 5,000 件以上のメールを送信する送信者に対し、1. 送信メールを認証すること、2. 未承諾のメールまたは迷惑メールを送信しないようにすること、3. 受信者がメールの配信登録を容易に解除できるようにすること、の 3 つが義務付けられます。
※Gmail「メール送信者のガイドライン」引用
本記事では追加された要件に関して解説します。どういった対応をしたら良いか分からない。という方はぜひ本記事をご覧ください。
メール配信システムをご検討中の方は、メール配信サービスはクライゼルをご利用ください。
対象者と影響範囲
対象者:1日に5,000通以上のメールを配信する者
1日に5,000通以上のメールを配信する個人や企業はGmailの新しいガイドラインに準拠する必要があります。
- メルマガを配信することがある
- お客様に一斉にメールを送信することがある
- 会報をメールで送信している
等のケースに当てはまる場合は、要チェックです。
影響範囲:Gmail個人アカウント
個人用 Gmail アカウントとは、末尾が @gmail.com または @googlemail.com のアカウントを指します。
Googleのガイドラインに準拠しない場合、上記ドメインのメール到達率が下がったり、スパム扱いされる可能性があります。
1. 送信元の認証
メールの送信元を明示して、なりすましメールやスパムメールではない事を証明するための設定が必要です。送信元について、送信ドメイン認証(SPF、DKIM、DMARC)と、メール送信時のTLS接続が求められています。
これらの送信ドメイン認証は、受信者がスパムを受信しないというメリットだけではなく、悪意のある第三者が、あなたのドメインまたは組織を偽装して、なりすましメールやフィッシングメールを送信することを防ぎます。
SPF、DKIM、DMARCの認証が設定されているか確認する方法
Gmailを開き、メールヘッダーを確認します。メールヘッダーの確認の仕方は、下記の記事でご説明しています。
メールヘッダーの中にSPF、DKIM、DMARCの項目が「PASS」となっていれば設定が完了しています。
SPF、DKIM、DMARCの項目が「Fail」もしくは、項目自体が出てこない場合、設定が完了していません。設定を進めることをお勧めします。
SPF(エスピーエフ)
SPF(Sender Policy Framework)レコードは、電子メールでのなりすましを防ぐための仕組みです。ドメインの所有者が「このドメインから送られる正当なメールは、これらのIPアドレスからのみ送信されます」という情報をDNSレコードに公開することで実現できます。
受信メールサーバーはこの情報を利用して、送信元のIPアドレスがそのドメインから送信されるメールのために許可されているかどうかをチェックすることができ、結果に基づいてスパムとして扱うか決めることができます。これにより、ドメインの評価(レピュテーション)を傷つけたり、受信者をだます可能性のある不正なメール送信を減らすことができます。
SPF設定の方法
DNS(Domain Name System)サーバーにて設定が必要です。下記2ステップで設定は完了します。
- メールサーバーのIPアドレス
- 利用中のDNSサーバーにてSPFレコードを設定
SPFレコードはメールサーバーのIPを元に作成できます。メール配信サービスをご利用の方は、メール配信サービス先にメールサーバーのIPアドレスとSPFレコードについて確認しましょう。
また、DNSサーバーにより手順が異なりますので、ご利用中のDNSサーバーのヘルプページ等を確認すると良いでしょう。
DKIM(ディーキム)
DKIM(DomainKeys Identified Mail)は、メールの送信者がそのメールが送信されたドメインの正当な所有者であることを証明するための認証方法です。これは、電子メールにデジタル署名を付けることで、メールが改ざんされていないことを保証し、受信側でメールの真正性を検証する仕組みです。
具体的には、メールが送信される際に、送信ドメインのサーバーがメッセージにデジタル署名を加えます。この署名は、メールヘッダーにDKIM-Signatureという形で含まれます。メールを受け取った側のサーバーは、その署名をDNSに公開されている公開鍵を用いて検証し、メールが途中で改ざんされていないことを確認します。
DKIMによって、送信者の身元とメールの内容が保証されるため、フィッシングやメールによる詐欺を防ぐ助けとなります。
DKIM設定の方法
DNS(Domain Name System)サーバーにて設定が必要です。下記2ステップで設定は完了します。
- DKIM公開鍵を発行する
- DKIMレコードをDNSサーバーに登録する
DKIMレコードはDKIM公開鍵を元に作成できます。メール配信サービスをご利用の方は、メール配信サービス先にDKIM公開鍵、DKIMレコードについて確認しましょう。
DNSサーバーによっても手順が異なります。ご利用中のDNSサーバーのヘルプページ等を確認すると良いでしょう。
DMARC(ディーマーク)
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、SPFとDKIMの両方を活用してメール認証を強化する技術です。送信ドメインの所有者がDMARCポリシーをDNSに記録し、受信サーバーがそのポリシーに従ってメールの検証を行い、正しい処理を実施する仕組みです。
DMARCのポリシーでは、メールがSPFやDKIMの認証に失敗した場合の取り扱い方針(例えば、メールを隔離する、拒否する、または通常どおり配信する)を指定でき、また、認証結果に関するレポートを送信ドメインの所有者に送ることができます。
これにより、ドメインオーナーは自身のドメイン名を使用した不正なメール活動を追跡し、自ドメインの信頼性を高めると同時に、フィッシング攻撃やスプーフィング(なりすまし)をより効果的に防ぐことができます。
DMARC設定の方法
DMARCの認証設定には、前提条件としてSPFとDKIMの認証設定が完了していることが必要です。その上で、DNS(Domain Name System)サーバーにて設定が必要です。下記2ステップで設定は完了します。
- SPF、DKIMの設定を完了する
- DMARCの設定をDNSにて行う
DMARCの認証設定については、ご利用中のDNSサーバーのヘルプページ等を確認すると良いでしょう。
2. 望ましいメールの送信
簡単に言うと、スパムメール(迷惑メール)を送信しないでください。ということです。
日本では「特定電子メール法」という法律がありますので、すでに準拠しているメール配信者も多いのではないでしょうか。特定電子メール法については、下記記事にて詳しく記載しておりますので、合わせてご覧ください。
さらに、Gmailでは「迷惑メール率を 0.10% 未満に維持し、迷惑メール率が決して 0.30% 以上にならないようにします。」との記述があります。「迷惑メール率」は、Googleが提供するツール Postmaster Tools にて数値の確認が可能です。
スパムメールを送信しないことはもちろんの事、正常なメールがスパムと判断されないように、SPF、DKIM、DMARCの認証を取得したり、IPレピュテーションを高く保つことや、DNSを正しく設定するなどの対応が必要です。
3. ワンクリックで登録解除
ワンクリックでメール配信の登録解除が出来ると望ましいと記載があります。
日本では「特定電子メール法」という法律がありますので、すでに登録解除の導線をメールに示している場合も多いですが、Gmailがガイドラインで発表している登録解除の方法に準拠しているか、今一度確認しましょう。
ワンクリック登録解除の方法・確認方法
メールヘッダーに以下の情報を差し込む事が必要になります。
- List-Unsubscribe-Post:
List-Unsubscribe=One-Click - List-Unsubscribe:
<https://solarmora.com/unsubscribe/example>
この2つの情報が正しく送信されていると、Gmailにてメールを開いた際に「メーリングリストの登録解除」というテキストリンクが表示されるようになります。
メール配信停止の情報が正しくヘッダーに記載されている場合の表示
「メーリングリストの登録解除」が表示されていない場合は、対応されていないため、各システムの担当者や、メール配信サービス提供先に確認しましょう。
次に、「メーリングリストの登録解除」を押すと下記のポップアップが表示されます。
メーリングリスト登録解除のポップアップ
メール受信者が「登録解除」をすると、次のPOSTリクエストが送信されます。
POST /unsubscribe/example HTTP/1.1
Host: solarmora.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 26
List-Unsubscribe=One-ClickこのPOSTリクエストを受信した際、登録解除の処理を行う必要があります。
4.メールの送信時にTLS接続を使用する
TLS(Transport Layer Security)接続は、インターネット上でデータを暗号化して安全に送受信するためのプロトコルです。TLSは、ウェブサイトへのアクセス、電子メールの送受信、オンラインバンキングなど、様々なオンライン通信で広く利用されています。TLS接続により、インターネット接続を介して送受信されるメールへの不正アクセスを防ぐため、データの盗聴や改ざんから保護し、セキュアな通信が実現します。
例えば、ウェブブラウザとサーバー間でTLS接続が確立されると、アドレスバーに「https://」と表示され、鍵や錠前のアイコンが見えることがあります。これは、そのウェブサイトとの間に暗号化された接続があることを示しています。TLSによって保護された接続を通じて送受信されるデータは、第三者による読み取りや改ざんが困難となります。
このTLS接続の要件は、2023年12月に追加発表されたため、見逃さないように注意が必要です。
本記事の参考元
New Gmail protections for a safer, less spammy inbox
https://blog.google/products/gmail/gmail-security-authentication-spam-protection/
メール送信者のガイドライン
https://support.google.com/a/answer/81126?sjid=13167684671558216996-AP
メール配信システム
なりすましメール対策(SPF、DKIM、DMARC)は、「メールを届きやすくする」ためだけではなく、「メール送信をする会社のドメインを悪意のある第三者から保護する」という役割も果たしています。ぜひ、設定するようにしましょう。
CRMプラットフォーム「クライゼル」は、SPF・DKIM・DMARCはもちろん、「BIMI」「S/MIME」などといったなりすましメール対策も行うことが出来ますので、メール配信システムをご検討中の方は、ぜひクライゼルのメール配信サービスをご利用ください。
