Gmailにメールを送れなくなる?
電子メールはビジネスにおいて不可欠なツールです。このことはだれもが疑う余地のない事実でしょう。
取引先とのコミュニケーションや、マーケティング手段など、現在電子メールは幅広い用途に使用されています。そして、低コストで導入でき、SNSとは一味違った、顧客との一対一の関係を構築できるツールであるとして、近年見直されてきています。
GmailはフリーのWEBメールとして個人、小規模事業者にとってはありがたい存在です。
メールサーバ不要、ドメイン取得不要で、すぐに作成できて、電子メールのやりとりができますし、なによりGoogleのアカウントを持っているかたであればすぐに使えます。
ところが、そんな便利なGmailにおいて、話題となっていることがあります。
それは、
「2024年2月以降、Gmailにメールが送れなくなる」
というものです。
これはどういうことでしょうか。
このあと、その真相を検証していきましょう。
メール送信者のガイドライン 改定
前述した電子メールの高い利便性は、裏を返せば、サイバー攻撃者にとっても都合がよいツールとなり得ます。
代表的な電子メールを悪用した被害としては、フィッシング詐欺やビジネスメール詐欺BEC(Business Email Compromise) があります。
近年、どちらの被害もその件数は増加する一方です。
Googleは、より安全で迷惑メールの少ない受信トレイを実現するため、メール送信者のガイドラインを新しく打ち出し、メール送信者に対して、厳しい基準を適用しようとしています。
Googleが示す「メール送信者のガイドライン」にその全容が載っています。
https://support.google.com/mail/answer/81126?hl=ja
ガイドラインによれば、
2024年2月以降、メール送信者の要件が改定・強化されるということです。
その対象者は、「Gmail宛てに電子メールを送信するすべての人と組織」です。
Gmail宛てにメール送信を行うためには、主に、以下の項目をクリアしておく必要があります。
<すべての送信者の要件(抜粋)>
・ドメインに SPF または DKIM メール認証を設定
<1 日あたり 5,000 件以上のメールを送信する場合の要件(抜粋) >
・ドメインに SPF および DKIM メール認証を設定
・送信ドメインに DMARC メール認証を設定
・マーケティング目的の配信メールは、ワンクリックでの登録解除に対応し、メッセージ本文に登録解除のリンクをわかりやすく表示する
このように、Gmailに1 日あたり 5,000 件以上の電子メールを送信する事業者に対しては、特に厳しい基準が設けられています。
これにより、メールマーケティングを活用する事業者は、ガイドラインへの適用が急務となっているのです。
また、送信数が少ない個人や小規模事業者に関しても、SPFレコードが正しく設定されていない、などの混乱が発生することが想定されます。
次に、要件の各要素について解説していきます。
SPFとは?
SPF(Sender Policy Framework )は、電子メールの送信元ドメインが詐称されていないかを検査するための仕組みで、IPアドレスとDNSを利用します。
あらかじめ、送信側ドメインを管理するDNSサーバに「SPFレコード」を登録しておきます。
SPFレコードには、送信側メールサーバのIPアドレスなどの情報が記載されています。
送信側から受信側にメールが送信された際に、受信側メールサーバが「SPFレコード」を照会に行き、送信側メールサーバのIPアドレスと、SPFレコードのIPアドレスが一致するかを検証します。
IPアドレスが一致しない場合、 送信ドメインの詐称が行われたと判断して、 受信を拒否するなどの処理を行うことができます。
SPFの仕組みの概要図は以下の通りです。
より詳細なSPFの仕組みについてお知りになりたい場合、以下のリンク先の情報をご覧ください。
https://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
DKIMとは?
DKIM (DomainKeys Identified Mail)は、 電子署名を利用して、なりすましや改ざんを検知します。
送信側メールサーバにて、送信メールに電子署名を付与して送信します。受信側メールサーバにて届いたメールに付与された電子署名を検証します。検証に必要な公開鍵は、送信側ドメインのDNSサーバに問い合わせを行うことで取得します。
この仕組みにより、電子署名が付与されていない詐欺メールを見分けることができます。
また、「転送メールや中継サーバを通過したメールの場合、IPアドレスを正しく検証できない」というSPFが持つ弱点もDKIMであれば問題ありません。
DKIMの仕組みの概要図は以下の通りです。
より詳細なDKIMの仕組みについてお知りになりたい場合は、以下のリンク先の情報をご覧ください。
https://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/
DMARCとは?
DMARC(Domain-based Message Authentication, Reporting, and Conformance )は、SPFとDKIMを補強するための送信ドメイン認証技術です。
SPFとDKIMによる認証に失敗したメールの取り扱いを送信側ドメインのDNSサーバに問い合わせします。
そして、送信側ドメインのDNSサーバの「DMARCレコード」に記述された処理が行われます。
処理は、「アクション無し」「メール隔離」「メール拒否」の3種類を選択できます。
認証に失敗したメールのログは、送信側ドメイン管理者にレポートとして送信して自組織のドメインがフィッシング詐欺やビジネスメール詐欺に悪用されていないか監視することが可能です。
この仕組みにより、送信側の組織は自身のブランドが侵害されていないかを随時チェックすることができ、迷惑メール対策などに役立てることができます。
DMARCの仕組みの概要図は以下の通りです。
より詳細なDMARCの仕組みについてお知りになりたい場合、以下のリンク先の情報をご覧ください。
https://ent.iij.ad.jp/articles/172/
ワンクリック登録解除
マーケティング目的の配信メールにおいては、上記の技術に加えて、「ワンクリック登録解除」の設定が必要です。
サービス利用者にとって、配信メールは「不要で迷惑なメール」だと認識されることも多く、利用者が「配信を停止してもらいたい」と感じたときには、メールの受信画面上から簡単に配信停止を行える仕組みが必要と考えられているのです。
電子メールの今後はどうなる?
今後、SPFやDKIM、DMARCのような「送信ドメイン認証」と呼ばれる技術を採用する電子メールプラットフォームは増加すると予想されます。
米YAHOOにおいても、Googleと同様の送信要件が発表されました。
https://blog.postmaster.yahooinc.com/post/730172167494483968/more-secure-less-spam
また、SPFとDKIMを活用しても、類似ドメインを用いた電子メール詐欺被害を止めることはできません。例えば、ドメイン名を一文字変えるなどして、見た目が似ているドメインを作成して、SPFとDKIMの仕組みを導入したうえで、詐欺メールを送信すれば、受信側では正常なメールだと判断されてしまいます。なぜなら、ヘッダーフロムやエンベロープフロムなど、送信者を示す情報になりすましが無いからです。対策としては、新たに登場した「BIMI(Brand Indicators for Message Identification )」という技術により電子メールプラットフォーム上にブランドロゴアイコンを表示する仕組みも出てきています。
このような様々な最新技術を活用することにより、さらなる安全安心な電子メールコミュニケーションが促進されていくことが期待されています。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
サイアカについて