2024年10月より、NTTドコモ(以下ドコモ)もDMARC(Domain-based Message Authentication, Reporting & Conformance)の実装が必須になります。GmailやYahooなどではすでに取り組みがはじまっていますが、この動きはメールのセキュリティ強化に加え、フィッシング詐欺やスパムメールの被害を減少させるのにつながります。
本記事ではドコモのDMARC必須化の概要に加えて、すでにDMARC必須化が実施されている各社のガイドラインについて解説します。また、これらの動きを受けて、企業が取るべき対策についても考察します。
DMARCとは?
ここでは、まずDMARCがどのようなものかについて解説します。
DMARCの基本概念
DMARCは、Domain-based Message Authentication, Reporting & Conformanceの略称になります。送信ドメインの認証技術であり、送信者のドメイン認証を行うことで、なりすましメールやフィッシング詐欺メールを防ぐための技術です。DMARCの導入により、メールの送信元を確認することができます。
DMARCを導入するには、まずSPFとDKIMの導入が必要になります。SPF(Sender Policy Framework)は、送信元ドメインがメール送信に利用するIPアドレスを認証する技術であり、DKIM(DomainKeys Identified Mail)は、メールの署名を行う技術です。これらの技術を用いた上で、DMARCではDKIMとSPFの両方の認証に失敗したメールを受信した際に、どのように対応するかを設定します。
DMARCでは、以下の3つのポリシーを設定することができます。
- none:何もしない、ただしメールの送信元に関する情報は収集する。
- quarantine:スパムフォルダに振り分ける。
- reject:メールの受取を拒否する。
最初はnoneから始め、送信元の確認ができるようになったら、quarantineやrejectに切り替えることが推奨されています。
ドコモのDMARC必須化
2024年10月からの開始
ドコモのDMARC必須化に関する内容は、以下のPDFにて確認できます。
ドコモメールにフィッシング詐欺対策を目的とした「なりすましメールの警告表示機能」を導入
この変更によって、DMARCが導入されていないメールに対して、受信者向けに「なりすましメールの警告表示」が行われるようになります。本物のメール送信者になりすましているメールを警告することで、フィッシング詐欺やスパムメールの被害を減少させることが目的です。
警告画面の表示
ドコモメールでは以下の条件のいずれかを満たす場合、なりすましメールである可能性があるメールとして取り扱い、警告を表示します。
- 送信ドメイン認証「DMARC」によって認証されていないメール(認証失敗、または未導入)
ここで注意が必要なのは、DMARCが未導入であるのは当然として、認証失敗した場合も表示されるということです。つまり、正しく設定されていないと、警告が表示される可能性があります。また、フィッシング詐欺を行うメールに似たメールも警告表示の対象になります。
ブランドロゴの表示(BIMI)
ドコモメールでは、DMARCの導入とともにBIMI表示にも対応します。元々、2021年から「ドコモメール公式アカウント」に申し込んでいた企業・団体では公式アカウントマークを表示するサービスを提供していました。今回、BIMIの導入によってドコモメール公式アカウント未導入のメールでも、ブランドロゴが行えるようになります。
企業への影響と対応策
企業・団体においてはドコモメール受信者に対して確実にメールを届けるためには、2024年9月までのDMARC導入が必須になります。また、BIMIまたはドコモメール公式アカウントの申請を行うことで、ブランドロゴの表示も行えます。こちらは必須ではありませんが、より信頼性の高いメールを送信するためには導入検討したい内容でしょう。
主要メールサービスの動向
今回のドコモに限らず、メールプロバイダーではDMARC必須化が進んでいます。特にGmailやYahoo!メールなどは既にセキュリティガイドラインを強化しており、他のメールサービスプロバイダも追従する可能性が高いです。
Gmailのガイドライン変更
Gmailでは、すべてのメール送信者に対してSPFまたはDKIMの設定を必須としています。また、1日5,000通以上Gmailアカウントに対してメール送信する場合には、DMARCの設定も必須となっています。
さらに、マーケティング目的で配信されるメールに対してはワンクリックで登録解除できるList-Unsubscribeヘッダーの設定も必須となっています。
Microsoft Exchange Onlineの動向
Microsoft Exchange Onlineでは、2024年4月に新しいガイドラインが発表されています。具体的には、以下のようになっています。
- ERR(External Recipient Rate。外部受信者レート)を24時間あたり2,000受信者までに制限
- 2025年1月1日より新規契約者向けに適用
- 2025年7月より、既存契約者にも適用
つまり、24時間あたり2,000宛先までしか送信できません。それ以上の送信する際には、Azure Communication Services for Emailの利用を推奨しています。
Yahoo!メールや他のプロバイダの対応
Yahoo! メールでは、デフォルトでDMARCによる迷惑メールフィルター機能が有効になっています。
ドメイン認証技術「DMARC」について - Yahoo!メール
この他、Appleの提供するiCloudではSPFおよびDKIMの導入が必須となっています。また、メール配信対象者が受信を確実に許可していること、配信失敗した受信者をリストから削除することが推奨されています。
iCloud メールの postmaster 情報 - Apple サポート (日本)
企業が取るべき対策
こうしたメールプロバイダーの動きを受けて、企業が取るべき対策は以下の通りです。
DMARCの実装と運用
メールシステム側で行うべき対策として、DMARCの実装と運用が挙げられます。DMARCの実装には、SPFもしくはDKIMの導入が必要です。また、DMARCの設定によって、メールの送信元を確認することができます。
SPF/DKIM/DMARC/BIMIの位置付けは、以下の通りです。
- SPF
メールの送信元のIPアドレスを認証する技術 - DKIM
メールに対して秘密鍵を用いて署名を行う技術。受信側でDNSにある公開鍵を用いて検証する。 - DMARC
メールが不正な場合の挙動を指定する技術。SPFとDKIMの設定が必要。 - BIMI
DMARCの設定が必須、且つ厳格なポリシー運用が必要。メールの送信元ブランドロゴを表示する技術。
Customers Mail CloudによるDMARCポリシーの強化
DMARCのポリシーは最初、 p=none
(何もしない)からはじまります。しかし、そのままにせず p=qurantine
(隔離) や p=reject
(拒否) への移行が重要です。これにより、メール詐欺からビジネスを守り、受信者からの信頼を得ることができます。
ポリシーを隔離や拒否に移行することで、不正なメールが受信箱に届くのを防げるようになります。この設定によって、受信者はそもそもメールを目にすることがなくなり、安心して確実な正規メールだけを受け取れるようになります。
メールは中長期的なやり取りによってレピュテーション(信頼性)が高まります。DMARCのポリシーを強化することで、メールの信頼性が向上し、ISPにおける送信者の評価が向上します。これにより、メール受信の状況が改善されることが期待されます。
Customers Mail CloudではDMARCポリシーを公開するためのDMARCレコードを生成する機能、DMARC サマリーレポート を提供しています。これにより、DMARCの導入をスムーズに行うことができます。
教育と啓発
システムでできる部分はもちろん、従業員への教育や啓発も重要です。メールのセキュリティに関する知識を共有し、フィッシング詐欺やスパムメールに対する警戒心を高めることが大切です。
また、配信先リストを不用意に購入したり、リストの定期的な見直しを怠ったりしないように注意喚起するのも大切です。必要としていない方にメールを配信することがないよう、メール配信のルールを制定・運用することも重要です。
まとめ
本記事ではドコモのDMARC必須化について解説しました。2024年10月からの開始となり、企業や団体にはいち早い対応が望まれます。また、他の主要メールサービスでもDMARC必須化が進んでおり、企業が取るべき対策についても考察しました。
SPF/DKIM/DMARCの導入は待ったなしの状況です。また、DMARCについてはただ導入するだけでなく、運用状況の確認やポリシーの強化が重要です。メールを不正に利用されることがないよう、対策と運用をしっかり行いましょう。
DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。