日本経済新聞によると、アメリカのGoogleが2024年2月以降、迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン(Email sender guidelines)」を適用すると発表し、メールに携わるIT(情報技術)業界関係者に衝撃が走っているようです。
メールの送信者がこのガイドラインの要件を満たしていない場合、世界最大規模のメールサービス「Gmail」にメールを送れなくなる恐れがあるためです。
具体的には、送信したメールが拒否されたり、受信者の迷惑メールフォルダーに配信されたりする可能性があります。
メール配信事業者や企業のメールサーバー管理者などは、2024年2月の適用開始までに対策を施す必要があります。
なお、通信事業者やインターネット接続事業者(ISP)のほとんどは対応済みなので、それらが割り当てたメールアドレスのユーザーは影響を受けません。
Googleが2023年10月3日(米国時間、以下同)に発表したガイドラインによると、対象になる宛先アドレスは、個人向けのGmailアカウントです。
末尾が@gmail.comまたは@googlemail.comのメールアドレスです。
ガイドライン公開当初は、法人向けクラウドサービスGoogle WorkspaceのGmailアカウントも対象になるとしていました。
しかしながら、2023年12月初めに実施したガイドラインアップデートで対象から外しました。
また、その後、メールの送信にTLSを使用するという要件も加えました(要件については後述)。
TLSは通信を暗号化するプロトコル(通信規約)です。
Googleは今後もガイドラインを適宜アップデートする可能性があります。
このため関係する企業は最新の情報を絶えずチェックする必要があるのです(ガイドラインのURLはhttps://support.google.com/mail/answer/81126)。
今回のガイドラインはすべてのメール送信者が影響を受けます。
しかしながら、特に深刻なのは、Gmailアカウント宛てに大量のメールを送信しているメール配信事業者や企業です。
ガイドラインに記された要件は、Gmailアカウントに1日当たり5,000件以上のメールを送っているかどうかで異なるからです。
一番の違いは、対応すべき送信ドメイン認証の種類です。
送信ドメイン認証とは、送信元メールサーバーのIPアドレスや送信元が施した電子署名を利用して、メールがなりすまされていないかどうかを判断する仕組みです。
1日当たり5,000件未満の送信元は、送信ドメイン認証の「SPF」と「DKIM」のどちらか一方に対応する必要があります。
一方、5,000件以上の送信元はSPFとDKIMの両方に対応した上で「DMARC(ディーマーク)」にも対応しなければならないのです。
1日当たり5,000件未満と5,000件以上で共通の要件もあります。
具体的には「送信元のドメインまたはIPアドレスに有効な正引き及び逆引きDNSレコードを設定する」「メールの送信にTLSを使用する」「受信者から報告される迷惑メールの割合を0.1%未満に保ち、0.3%を超えないようにする」「Internet Message Format標準に準拠する」などです。
国内最大のメールセキュリティー団体「JPAAWG」の会長を務める、インターネットイニシアティブ(IIJ)技術研究所技術連携室の櫻庭秀次シニアリサーチエンジニアによると、これら共通の要件については「配信事業者や企業の多くは既に対応済み」だそうです。
1日当たり5,000件以上の送信元だけの要件もいくつかあります。
その1つがDMARCをパスすることです。
これはメールソフトやウェブブラウザーなどに表示される送信者アドレス(ヘッダーFrom)がなりすまされていないことを意味します。
マーケティング目的のメールや配信登録されたメールの場合には、ワンクリックで登録を解除できるようにするとともに、そのリンクをメールの本文中に分かりやすく表示する必要があります。
前述のように、Gmailアカウントにメールを送信するには送信ドメイン認証に対応する必要があります。
送信ドメイン認証にはSPF、DKIM、DMARCがあります。
SPFとDKIMは、それぞれIPアドレス及び電子署名を利用して、メールの送信元ドメインがなりすまされていないかを確認する仕組みです。
SPFあるいはDKIMを利用すれば送信元ドメインの詐称は見抜けます。
しかしながら、メールソフトやウェブブラウザーなどに表示される送信者アドレスは偽装できてしまいます。
近年の迷惑メールの多くは送信者アドレスを偽装します。
そこで開発されたのがDMARCです。
DMARCは送信ドメイン認証の1つとされるが、厳密には送信元のドメインは検証しません。
SPFやDKIMとの併用を前提としています。
DMARCは、SPFやDKIMの検証をパスした送信元ドメインとメールの送信者アドレスのドメインを照合し、これらが一致したメールのみパス(合格)とするのです。
つまり、DMARCを導入すれば、送信者アドレスのなりすましを見抜けます。
Googleの新しいガイドラインの主な目的は、大量のメールを送信する事業者/企業にDMARCを導入させることだといえるでしょう。
3種類の送信ドメイン認証のうち、国内普及率が最も高いのはSPFです。
総務省の情報通信白書(2023年版)によれば、2022年12月時点でのJPドメインにおけるSPFの普及率は77.2%だそうです。
導入が容易な上に「NTTドコモによる対応が普及を後押しした」(櫻庭シニアリサーチエンジニア)。
NTTドコモは2007年11月、携帯電話の迷惑メール対策の一環として、SPFによる検証機能を用意しました。
ユーザーがなりすましメールを拒否する設定にした場合、SPFに対応していないドメインからのメールは届かなくなりました。
このため企業やISPなどはSPFに対応し、普及率が向上したのです。
前出の情報通信白書によれば、2022年12月時点でDMARCの普及率はわずか2.7%です。
ところが、2023年以降、導入の機運は高まっています。
総務省と警察庁および経済産業省は2023年2月、「クレジットカード会社等に対するフィッシング対策強化の要請」を発表しました。
その中でクレジット会社に対してDMARCの導入を要請しています。
また、内閣サイバーセキュリティセンター(NISC)が2023年7月に公開した「政府機関等の対策基準策定のためのガイドライン(2023年度版)」でも、基本対策事項の1つとしてDMARCの導入を挙げています。
今回のGoogleのガイドラインが、さらに導入を後押しする可能性は高いでしょう。
「SPFのときと同じような普及率の向上が期待できる」(櫻庭シニアリサーチエンジニア)。
ただし、ガイドラインの要件を満たす最低限のハードルは、DMARCよりもDKIMのほうが高いです。
SPFとDMARCについては、DNSサーバーに特定の設定情報(TXTレコード)を追加すればガイドラインをクリアできます。
一方、DKIMはそれだけでは済みません。
送信するメールに電子署名を付与する仕組みが必要です。
自社でメールサーバーを運用している場合にはDKIM用のサーバーを用意します。
オープンソースソフトウエア(OSS)のサーバーソフトとしてはOpenDKIMが有名です。
クラウドメールサービスを利用している場合には、設定変更などが必要になります。
今回のガイドラインでは送信ドメイン認証が注目されますが、メールマガジンなどを配信している事業者や企業は、ワンクリック登録解除への対応も必須です。
メール中の目立つ場所にリンクを用意し、それをクリックするだけでメール配信の登録を解除できるようにする必要があります。
登録解除の申請ページに誘導するリンクや、登録解除のメールを送るようなリンクでは不十分です。
櫻庭シニアリサーチエンジニアによると、ワンクリック登録解除を用意していないメールマガジンは「とても多い」。
2024年2月1日以降、そういったメールマガジンはGmailユーザーに届かなくなる可能性が高いです。
ガイドラインにはワンクリック登録解除の実装方法が記されているため、該当する事業者や企業は参考にしましょう。
メールマガジンなどの送信をメール配信事業者に委託している企業は、その事業者の対応状況を確認する必要があります。
さもないと2024年2月1日以降、Gmailユーザーから「メールマガジンが届かない」といった苦情が押し寄せることになります。
世界中のメールユーザーに大きな影響を与えるであろう今回のガイドラインですが、特にメール配信事業者からの反発は必至です。
Googleとしても当然予想していたでしょう。
迷惑メール撲滅に注力するGoogleの覚悟のほどがうかがえます。
今回のガイドラインを機に、メールを利用している企業は送信量にかかわらず迷惑メールの対策状況、特に送信ドメイン認証の対応状況を確認すべきです。
今後、Googleに続けとばかりに、迷惑メール対策を強化するメールサービスが増える可能性が高いでしょう。
実際、アメリカのYahooはGoogleと同様の対策をすると公表しています。
送信ドメイン認証、特にDMARCに対応していないとメールを受け取ってもらえなくなる時代がすぐそこまで来ているのです。
僕もメルマガを配信したり、受信したりしていますが、対応しないといけないですね。
確かに、毎日、数え切れないほどの迷惑メールが送信されてきますので、Googleの対応を機に、迷惑メールが減れば良いなぁと思います。
Googleが迷惑メール対策を大幅強化しGmailに送れなくなる恐れがあることについて、あなたはどう思われましたか?
