カテゴリー
ブログ

2024年2月にGmail送信者ガイドライン変更!メール配信者が対応すべきことは?

Gmail送信者ガイドラインが2024年2月に変更されます。近年なりすましメールの被害が拡大しているため、それらを防止することが理由とされています。Gmail送信者ガイドラインの変更によって、メール配信を運用されている方は、対応しないといけない作業が発生しています。

配信するメールが正当なものであり、悪意があるものではないと証明するための認証技術の設定をはじめ、さまざまな対応が求められています。

そこで今回は『2024年2月にGmail送信者ガイドライン変更!メール配信者が対応すべきことは?』と題して、ガイドラインが変更された理由、対応すべきことなどについて紹介します。

Gmail送信者ガイドラインはなぜ変更されるのか?

Googleは2024年2月に、1日5,000件以上のGmailアカウント(※1)へメールを送る配信者を対象に、Gmail送信者ガイドライン変更を行います。

Gmail送信者ガイドラインが変更される経緯としては、実際に存在する企業や団体を装い悪質なメールを送る「なりすましメール(※2)」が増えており、被害が大きくなっていることから、Gmailアカウントを利用するユーザーを脅威から守るためといわれています。

Gmail送信者ガイドラインが変更されるのをきっかけに、以下の3つが義務付けられます。

  1. 送信メールを認証すること
  2. 未承諾のメールまたは迷惑メールを送信しないようにすること
  3. 受信者がメールの配信登録を容易に解除できるようにすること

引用元:「メール送信者のガイドライン」(Gmail ヘルプ)

Gmailのヘルプセンターには「1日5,000件以上のGmailアカウントにメール配信している方」が対象と記されています。

ただ、1日5,000件以上という条件を満たしていない配信者も、対応しないといけない項目があるため、条件を満たした方以外も熟読することをおすすめします。

※1
ここでいうGmailアカウントとは、Google提供のフリーメールのドメイン(末尾)がgmail.comとなっているものです。Google Workspaceで使用するアカウントの場合は、業務上で使われることが多いので、企業側で取得しているドメインに設定していることが多いです。そのため、Google Workspaceのアカウントの場合は対象外となる可能性もあります。

※2
なりすましメールとは、実在する企業や団体になりすました悪質なメールを意味します。主に、テキスト内にあるURLを押させてフィッシングサイトへ誘導したり、ユーザーの個人情報を盗むことを目的としています。

Gmail送信者ガイドライン変更でやるべきこと

Gmail送信者ガイドラインの変更に合わせて、メール配信者は対応すべき作業が発生します。

先述どおり、1日5,000件以上のGmailアカウントへメールを送る方を軸に、ガイドラインは変更されていますが、条件を満たしていない配信者も対応しないといけない作業があります。

ここでは、両方の対応すべきことについて紹介します。

すべての配信者が対応する必要がある項目

まずは、すべての配信者が対応しないといけない項目について紹介します。

メールのドメインにSPFもしくはDKIMを設定する

認証技術のSPFやDKIMの、どちらかを設定する必要があります。SFPとDKIMについては、後述の『導入が必要な認証技術のSPF・DKIM・DMARCとは』で詳しく説明します。

配信元のドメイン・IPに有効なDNSレコードがあるか確認

ドメインに対応するIPアドレスを教えてくれるDNSレコードを設定して、IPアドレスが一致するかを確認する必要があります。

Postmaster Tools内での迷惑メール率を0.3%以下におさえる

迷惑メール扱いになっているかをチェックできるPostmaster Tools(Google提供)によると、Postmaster Toolsで報告される迷惑メール率0.1%未満を維持しつつ、迷惑メール率を0.3%以下におさえる、といった説明があります。

指示どおりの数値の範囲内にするためには、不要なメールをたくさん配信したり、ユーザーが興味を示さないものを送らないようにしないといけません。

仮に行ってしまうと、メールを受信する側で迷惑メール扱いとなり、定められた数値を超える恐れがあります。

Internet Message Formatに準じた書式でメールを作る

Internet Message Formatとは、配信するメールの基本的な書式を定めたものです。

この場合RFC5322となり、これをメールアドレスの形式、メールヘッダに関して定めています。標準的なメールサーバを使っているのであれば、ほとんどの場合RFC5322に対応しています。

ヘッダFromでのなりすましはNG

ヘッダFromは、メーラー(OutlookやGmailなど)上で表示されている差出人のメールアドレスを意味します。

自由に設定できる箇所になっていますが、ヘッダFromに「gmail.com」を使ってしまうと、メール配信に影響をおよぼし、なりすましメールとして扱われます。

Gmailアカウントへのメール配信が1日5,000件を超える方が対応すべき項目

すべてのメール配信者が対応しないといけない項目に加え、Gmailアカウントへ1日5,000件以上メール配信をしている方向けの、対応しなければいけない項目があります。

メールのドメインにSPFとDKIMの両方を設定する

Gmailアカウントへ1日5,000件以上メール配信する方は、認証技術のSPFとDKIMの両方を設定する必要があります。

送信ドメインのDMARCメール認証を設定する

DMARCとは、SPFやDKIMを使った、なりすましを防ぐための認証技術です。今回のガイドライン変更にともない、DMARCの設定が必要ですが「none(何もしない)」にしても問題はありません。DMARCについては、後述の『導入が必要な認証技術のSPF・DKIM・DMARCとは』で詳しく説明します。

ダイレクトメールの場合は送信者FromドメインはSPFあるいはDKIMを一致させる

ダイレクトメールの場合はヘッダFromのドメインを、SPFあるいはDKIMで設定したドメインと一致させないといけません。特にDKIMの場合は、第三者署名(メール配信システム側のDNSでの署名)と、作成者署名(配信するFromアドレス側のDNSでの署名)の2通りがあるため、DKIMの設定時にはメール配信システム側への相談が不可欠です。

登録解除用のリンク先を載せる

メールマーケティング(メルマガなど)を目的としたメール配信や、配信に登録されたメールに関しては、ワンクリックで登録解除ができるようにしないといけません。

導入が必要な認証技術のSPF・DKIM・DMARCとは

Gmail送信者ガイドライン変更以前から、SPFかDKIMの設定は必要だったので、どちらかの認証技術を用いて対策しているかと思います。ガイドライン変更以後は、SPFとDKIMの両方に加え、DMARCの設定も求められるようになります。本段落では簡単ながら、SPF、DKIM、DMARCについて紹介します。

SPFで迷惑メールと誤認されることを防ぐ

SPFとは、配信した正当なメールが「迷惑メール」と誤認されることを防ぐための、認証技術です。

SPFの進行は以下の流れとなっています。

  1. 配信者が自身のIPアドレスをDNSサーバへ送る
  2. DNSサーバに配信したメールがSPFレコードとして登録される
  3. 受信者はDNSサーバにSPFレコードを要求する
  4. レコードと配信者側のIPアドレスを照合する

このような流れで、配信元のメールサーバにあるIPアドレスと一致するかを確認し、送られてきたメールが正当なものかどうかを判断します。

DKIMで正当な配信者であることを証明する

DKIMとは電子署名を使った認証技術で、これにより受信したメールが「正当な配信者から配信されたものか」をチェックすることができます。

DKIMの進行は以下の流れとなっています。

  1. 配信者は公開鍵をDNSサーバに登録
  2. 配信者は秘密鍵を付与したメールを受信者へ送る
  3. 受信者はメールに付与された電子署名をもとに、公開鍵をDNSサーバに要求
  4. メールに添付されている電子署名を取得した公開鍵で検証する

秘密鍵は「電子署名を作成する鍵」で公開鍵は「電子署名を検証する鍵」となっており、最終的に、取得した公開鍵で電子署名を検証し、一致した場合は受信する、不一致の場合は拒否などを行うという流れになります。

DMARCはSPFまたはDKIMが認証失敗した際の処理を定める技術

DMARCとは、配信したメールのSPFやDKIMが認証に失敗したときに、どういった処理をするかを行う技術となっています。

DMARCでは、認証に失敗したメールを受信側でどのように処理をするかを、3つの指定で対応することができます。

  • reject=受信を拒否する
  • quarantine=隔離を行う
  • none=何もしない

DMARCの進行は以下の流れとなっています。

  1. 配信したメールがSPFやDKIMの認証が成功すると受信側に届く
  2. 認証が失敗した状態で「none」か「quarantine」を設定していると受信側に届く
  3. 認証が失敗した状態で「reject」を設定していると受信側にメールは届かない

自社のドメインを使用して配信するメールの配信元情報、認証結果についてはDMARCレポート(統計情報)として取得が可能です。

SPF・DKIM・DMARCの設定方法と確認の仕方

迷惑メール扱いを防ぐためにも、認証技術のSPF、DKIM、DMARCの設定は大切です。本段落では、各認証技術の設定方法と、設定後の確認の仕方について紹介します。

各認証技術のSPF・DKIM・DMARCの設定方法

各認証技術であるSPF、DKIM、DMARCの設定方法について紹介します。

SPFを設定する場合

現在、使っているメール配信システムを提供する企業に「SPF設定のためのレコード情報」を尋ねて取得します。

次に自社のドメインを管理しているドメイン登録サービス会社やレンタルサーバ会社などの管理画面へ移り、取得したSPFレコードを記入すれば終了です。

DKIMを設定する場合

現在、使っているメール配信システムを提供する企業に「DKIMの情報」を尋ねます。すると「ドメインキー」というものを取得することができます。

次に自社のドメインを管理しているドメイン登録サービス会社やレンタルサーバ会社などの管理画面へいき、取得したドメインキーを記入すれば終了です。

DMARCを設定する場合

DMARCの場合、自社のドメインを管理しているドメイン登録サービス会社やレンタルサーバ会社などの管理画面へいき、DMARCを設定します。

手順としては次のとおりです。

  1. 「_dmarc.」のあとにメールサーバのドメインを入力する
  2. 「p=」の部分には、認証を失敗したときのポリシーとして「none」「quarantine」「reject」のどれかを選びます(先述のとおり、今回のGmail送信者ガイドライン変更に応じてDMARCを設定する場合「none」でも問題ないとされています)
  3. 「rua=」の部分には、集約レポートを受信するメールアドレスを入力する

各認証技術のSPF・DKIM・DMARCの確認方法

SPF、DKIM、DMARCの設定がちゃんとできているかを確認する方法としては、自身宛にメールを送った後、受信されたメールからチェックすることができます。

Gmailの場合、メールの本文画面の右上にある「点3つ」を押し、「<>メッセージのソースを表示」に移ると、設定状況を確認できます。

どこまで対応しいつまでに行えばいい?

Googleは2024年2月にGmail送信者ガイドラインを変更するわけですが、どこまで対応していつまでに行えばよいか迷うかもしれません。

推測される結論としては、Gmailアカウントへ配信するメール件数や、配信の目的にもよりますが、条件の差はあまり考えずにすべての配信者が対応した方が良いかもしれません。

SPF、DKIM、DMARCの設定をしていないと、そもそも迷惑メール扱いになりやすく、受信側にメールが届きにくくなります。

できるだけ、必要なものは早めに対応して、守ったほうが良いルールは遵守しましょう。

Gmail送信者ガイドライン変更に対応済み

当社提供のクラウド型メール配信システム・コンビーズメールは、迷惑メール扱いを防止するための認証技術、SPF、DKIM、DMARCに対応しています。

2024年2月のGmail送信者ガイドライン変更に対応済みで、DKIMは作成者署名ができるようにしています。

そのほかでは、ワンクリック登録解除も用意していますので、コンビーズメールならスムーズにガイドライン変更にともなう対応が可能です。

Gmai送信者ガイドラインに準拠したDKIMプランを見る

まとめ

本記事はいかがでしたでしょうか?

Googleは2024年2月に、なりすましメールによる被害拡大を防止するためにセキュリティの観点からGmai送信者ガイドライン変更を実施し、配信者への対応を求めています。

正当なメール配信で悪意がないことを証明し、迷惑メール扱いを阻止するためにも、認証技術であるSPF、DKIM、DMARCの設定、そのほか変更されたGmai送信者ガイドラインに準拠する必要があります。

Gmailアカウントへ1日5,000件以上メールを配信するかしないかで、対応すべきガイドラインに一部差はあるものの、配信数といった条件問わず、すべての配信者は対応しておいたほうが得策かもしれません。

スムーズにメールの送受信ができるように、今回のGmail送信者ガイドラインの変更にかかわる作業は、きっちりと行いましょう。

以上、『2024年2月にGmail送信者ガイドライン変更!メール配信者が対応すべきことは?』でした。