新時代のメールセキュリティ:GmailとYahoo!のDMARCガイドライン変更がもたらす影響

DMARC Yahoo! Gmail 技術情報

はじめに

日本はもちろん、世界中でも利用者の多いメールプロバイダーであるGmailとYahoo!が、それぞれメールセキュリティに関するガイドラインを変更しています。両者にとって共通しているのは、ドメイン認証技術であるDMARC導入です。この動きはGmailとYahoo!に限らず、他のメールプロバイダーについても拡大していくと予想されます。

本記事ではDMARCを中心に、GmailとYahoo!のガイドライン変更がもたらす影響について解説します。また、企業およびインフラ担当者がどのように対応すべきかについても考察します。

新ガイドラインの具体的な内容

まず最初に、GmailとYahoo!の新ガイドラインが具体的にどのような内容を含んでいるのかを紹介します。各社の発表は以下のURLから確認できます。

認証技術の導入

SPFやDKIM、DMARCといった認証技術の導入が求められています。

購読解除プロセスの改善

List-Unsubscribeヘッダーの導入や、購読解除要求の迅速な処理が求められています。Googleでは48時間以内、Yahoo!も2日以内の処理が推奨されています。

迷惑メールの報告を減らし、送信側の評価を守り、メーリング リストを健全な状態に保つために、登録解除のリクエストには 48 時間以内に対応することをおすすめします。これは、メーリング リストから受信者を削除する場合に適切なタイムラインです。

メール送信者のガイドラインに関するよくある質問 - Google Workspace 管理者 ヘルプ

スパム報告率の管理

ユーザーからのスパム報告を0.3%未満に抑えることが求められています。もし0.3%を超える場合、メール配信性能が低下する可能性があります。この計算は毎日行われます。

なお、一旦スパム率が上がってしまった場合、7日間連続で0.3%を下回る必要があります。このデータはPostmaster Toolsにて確認できます。

Yahoo!では、特に明確な基準を設けてはいません。ただし、今後Sender Hubにて閾値の公開を予定しているとのことです。

Email Deliverability and performance feeds | Sender Hub

企業が取るべき対応策

では、ここからは企業が具体的に取るべき対応策について考えていきましょう。

メール認証技術の設定

行うべき設定は以下の3つになります。すべて、DNSレコードの設定が必要です。

  1. SPF
  2. DKIM
  3. DMARC

SPFは送信元IPアドレスを認証する技術、DKIMはメールの改ざんを防ぐ技術になります。そして、DMARCはSPFとDKIMの結果を判断し、メールの受信可否を決定する技術です。

DMARCで設定できるポリシーについては後述します。

購読解除プロセスの最適化

購読を解除する方法は主に2つあります。

  1. メール内のリンクをクリック
  2. メールに返信

メール内のリンクをクリックする方法は、List-Unsubscribeヘッダーを設定して実現できます。List-Unsubscribeヘッダーはメールアドレスにも対応しており、指定されたアドレスにメール送信を行って解除します。

どちらの場合も、システム側での対応が必要です。

スパム報告率の管理

スパム報告率を低下させるためには、以下のポイントに注意する必要があります。

  1. メールの質を向上
  2. メールの頻度を調整
  3. 対象外の人にメールを送信しない

メールを受け取った人がスパム(迷惑)メールだと判断する要因はさまざまです。内容が適切であっても、迷惑メールだと受け取られてしまう可能性もあるでしょう。

ただし、メールの質が悪いものは、スパム報告される可能性が高まります。そのため、メールの内容やデザインを再考し、各受信者にパーソナライズされたメールを送るようにしましょう。

また、メールの送信頻度も重要です。毎日のようにメールが送られてくると、スパムだと思われてしまいます。週に1回程度、または受信者が指定した頻度でメールを送るようにしましょう。

そして、最後のポイントは、対象外の人にメールを送信しないことです。メールアドレスの購読解除リストを定期的に更新し、受信者がメールを受け取りたいと思っているかどうかを確認しましょう。せっかくメールを送ってもスパム判定されてしまうのであれば、それはマイナスの効果しかありません。メール送信数ではなく、受信者の質を重視しましょう。

ガイドラインの最低限の適応では不十分な理由

GmailとYahoo!の提示しているガイドラインは最低限のものになります。これを満たせば大丈夫ではなく、さらによりよいメール環境を提供するために、ガイドライン以上の取り組みが必要です。

DMARCのポリシー

DMARCでは、SPFやDKIMの認証に合格しないメールに対して、どのような処理を行うかを指定できます。DMARCのポリシーには以下の3つがあります。

  1. none
  2. quarantine
  3. reject

none

1のnoneは、不正とおぼしきメールに対して何も処理をしません。DMARC導入直後は、この設定になっているケースが多いです。

quarantine

2のquarantineは、不正とおぼしきメールを迷惑メールフォルダに移動させる設定です。受信者はメールを受け取ることができますが、迷惑メールフォルダに移動されるため、受信者が目にする機会は減ります。

reject

3のrejectはさらに一歩踏み込んだ設定です。不正と判定されたメールを受信者に届けない設定です。この設定にすれば、不正メールを受信者に届くのを防げます。

もちろん、すべての自社メール(正しいメール)が、正しいサーバーから送信されていることを確認してから、rejectに設定しましょう。

「p=none」だけでは不十分な理由

p=none に設定されている場合、不正と思われるメールは受信者のメールボックスに届きます。スパムフィルターの状態によっては、受信箱に届くでしょう。それは自社が送信しているメールに限らず、悪意を持った第三者によるなりすましメールも含まれます。

不正なメールが受信者に届けば、受信者はそのメールを開いてしまう可能性があります。その結果、個人情報が盗まれる可能性があります。それは、結果として企業のブランドイメージを毀損させることになりかねません。

また、さらにメールにブランドを表示させるBIMI(Brand Indicators for Message Identification)は、 p=none では導入できません。

DMARCのポリシー設定の重要性

現在、多くの組織が p=none でDMARCポリシーを設定しています。もちろん、初期設定として p=none からはじめるのは問題ありません。しかし、そのままにしておくのは危険です。自社のドメインから送信されているメールの流れを把握したら、p=quarantinep=reject に設定しましょう。

DMARCでは、指定したアドレス宛にレポートを受け取る機能があります。最初は p=none に設定してレポートを受け取り、メール送信状況を把握するところからはじめましょう。そして、DMARCに準拠していないメールを特定し、改善します。それらの改善が終わった段階で、ポリシーを変更するのがお勧めです。

p=quarantinep=reject への設定は、組織のセキュリティ体制向上にもつながります。社内メールは毎日の業務の中で多数やり取りされますので、その中に不正なメールが紛れ込んでしまうと、フィッシング詐欺や社内情報漏洩リスクが高まります。そのため、セキュリティ対策としても p=quarantinep=reject の設定が望ましいです。もちろん、最終的には p=reject に設定することが望ましいです。

ただし、 p=reject への移行は慎重に行う必要があります。DMARCのレポートを通じて、現在のメール送信環境を正確に把握してください。正当なメールが誤って拒否されないように、段階的なプロセスで p=reject へ移行しましょう。

p=reject へ完全に移行するのは、最大の挑戦とも言えます。しかし、達成できればGmailやYahoo!の新ガイドラインに正しく準拠し、強固なメールセキュリティを築くことができるでしょう。それらは取引先企業や顧客からの信頼を高めることにもつながります。

成功事例と挑戦

新ガイドラインを効果的に適用し、メールセキュリティを強化した企業の事例を紹介します。

実際の適応事例

GmailとYahoo!の最新ガイドラインへの適応という課題に直面した際、ある大手小売業者がどのようにしてメールセキュリティを強化し、その過程で遭遇した挑戦を克服したかについて、より詳細に掘り下げてみましょう。

ある企業は、顧客とのコミュニケーションの主要な手段として電子メールを使用しており、GmailとYahoo!からの新ガイドラインは、メールマーケティング戦略全体に大きな影響を及ぼす可能性がありました。 新ガイドラインの要件には、SPF、DKIM、DMARCの認証プロトコルの実装が含まれており、これらはすべてメールセキュリティの基盤を形成します。 特にDMARCポリシーの「reject」設定は、不正なメール送信を完全にブロックし、顧客を保護する上で最も効果的な手段の一つとされています。 こちらの企業は初めに、自社のメール送信プロセスを徹底的に分析し、現状のセキュリティ体制と新ガイドラインの要件とのギャップを特定。 この分析に基づき、DMARCの導入を段階的に進めることを決定。 最初のステップとしてDMARCポリシーを「none」に設定し、この状態で収集されたDMARCレポートを用いて、認証に失敗するメールの原因を突き止めました。 その後、ポリシーを「quarantine」へと移行し、最終的に「reject」へと切り替えました。この段階的なアプローチにより、正当なメールが誤ってブロックされるリスクを最小限に抑えつつ、不正なメール送信の阻止を実現しました。 購読解除プロセスの最適化においては、ユーザー体験の向上を最優先事項としました。購読解除リンクをメールの顕著な位置に設置することで、ユーザーが不要なメールから簡単にオプトアウトできるようにし、さらに、購読解除要求を迅速に処理するシステムを確立し、購読解除が2日以内に確実に行われるようにしました。 これらの改善により、スパム報告率が顕著に低下し、メールの配信性が向上しました。

遭遇した挑戦とその解決策

ガイドライン適用過程で生じた問題や挑戦、およびそれらをどのように乗り越えたかについての詳細を共有します。

上記で挙げたプロセスには、複数の挑戦を伴いました。 特に、DMARCの「reject」ポリシーを適用する際には、正当なメールが誤って拒否されるリスクがありました。

企業は、この問題に対処するためにDMARCの実装を段階的に行い、初期段階での認証失敗の原因を特定するためにDMARCレポートを詳細に分析。 これにより、誤検知のリスクを最小限に抑えつつ、安全に「reject」ポリシーへの移行を進めることができました。

購読解除プロセスの最適化では、既存のメールリストをクリーンアップし、受信者が本当にコンテンツを望んでいるかどうかを確認することで、購読解除要求の処理が迅速かつ容易になりました。 これらの取り組みにより、メールの配信性能が向上し、スパム報告のリスクが減少しました。

これらの挑戦を克服する過程で、企業は

  • 内部のITチームとの緊密な連携
  • 外部のセキュリティ専門家からのアドバイスの活用
  • 従業員への定期的なトレーニングと教育

上記施策を実施。 これにより、新しいメールセキュリティ基準への理解を深め、組織全体でのセキュリティ意識の向上を図りました。 最終的に、これらの努力は、メールセキュリティの強化という目標の達成に寄与し、顧客との信頼関係を深めることに成功しました。

この事例は、新しいメールセキュリティガイドラインへの適応が、企業にとって単に技術的な課題だけでなく、組織の意識変革とプロセスの見直しを伴う重要な取り組みであることを示しています。 技術的な実装の正確さと従業員の教育が、成功の鍵であり新しいメールセキュリティガイドラインに対応するプロセスは、多大な努力と組織全体の取り組みを必要とします。

こちらの大手小売業者の事例から、SPF、DKIM、DMARCという3つの重要なメール認証プロトコルの統合的な実装を通して学ぶことが多くあります。 これらの技術を活用することで、メール送信の正当性を証明し、不正な送信をブロックすることが可能になります。 特にDMARCの「reject」ポリシーの適用は、企業が直面する大きな挑戦であり、誤検知による正当なメールの拒否を避けるために、慎重な計画と段階的な実施が求められます。

購読解除プロセスの最適化に関しては、顧客の体験を最優先に考えることが重要です。簡易なオプトアウト手段の提供は、スパム報告の減少に直結し、メール配信性能の向上をもたらします。 企業が遭遇した主な挑戦は、新しい技術の導入と従業員の教育であり、これらを克服することで、セキュリティ強化の目標を達成しました。

この事例は、新ガイドラインへの適応が、単なる技術的課題を超えた組織全体の取り組みであることを示しています。 従業員の教育と意識向上、内部チームとの連携、そして顧客体験への配慮が、成功への鍵となります。

企業がこれらのガイドラインに効果的に対応するためには、技術的な実装の正確性と、組織文化におけるセキュリティ意識の統合が不可欠です。 最終的に、これらの取り組みはメールセキュリティの向上だけでなく、顧客との信頼関係の強化にも寄与します。

まとめ

本記事では、GmailとYahoo!の新ガイドラインについて紹介し、どういった施策を求められているかを解説しました。ガイドラインは一時的にはメールマガジンなどの配信に影響を及ぼすかもしれませんが、長期的にはメールセキュリティに関連します。

現在はGmailとYahoo!だけですが、他のメールプロバイダーも同様のガイドラインを提示する可能性があります。もちろん、GmailやYahoo!以上のセキュリティを求められることはほぼないと思われます。今後はメールセキュリティに対する取り組みがますます重要になるでしょう。

持続的なメールセキュリティ戦略を構築・実現するためには、DMARCの導入だけでなく、購読解除プロセスの改善、スパム報告率の管理など、さまざまな取り組みが必要です。これらの施策実行は、企業の信頼性向上につながるでしょう。

DMARC導入を検討ならCustomers Mail Cloudへ

Customers Mail Cloudでは、DMARCの導入から運用までを全面的にサポートするDMARCアドバイザリーサービスの提供を開始しました。本サービスでは、専任エンジニアによるDMARCモニタリングと解析結果の報告を行います。また、DMARC運用におけるお客さま社内でのコミュニケーションをサポートし、円滑な導入を実現します。運用を開始した後はポリシーの引き上げにおけるスケジュール設計など、スムーズな改修を実現します。

DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。

Customers Mail CloudのDMARCのWEBサイトをチェック