*本ブログ記事は2023年10月に掲載されたブログ記事の更新版です。2月にAppleの要件について、4月にGoogleのメールヘッダ要件について追記しています。
GmailやYahooのアカウントをお持ちの方なら、迷惑メールや明らかに詐欺を目的としたメールで受信トレイがいっぱいになった経験をお持ちでしょう。もしあなたが、「なぜメールプロバイダーは、この種の詐欺メールをしっかりブロックしてくれないのだろう」と思ったことがあるとしたら、それはあなただけではありません。
良いお知らせとしては、GoogleとYahooはこの詐欺メールの問題に取り組んでおり、状況は変わろうとしています。ただ問題なのは、あなたの会社がGoogleやYahooのユーザーにメールを送る場合、対応せねばならない事項があるかもしれないのにも関わらず、十分な時間がないことです。
Googleは、2024年2月から、Gmailアカウントにメッセージを送信する際にメール認証が必要になると発表しました。Gmailアカウントに1日あたり5,000通以上のメールを送信する大量送信者は、さらに以下のような要件を満たす必要があります。
- DMARC (Domain-based Message Authentication, Reporting & Conformance) ポリシーを適切に導入する
- SPF (Sender Policy Framework) とDKIM (DomainKeys Identified Mail) のアライメントをとる
- 受信者が登録解除しやすいようにワンクリック登録解除を実装する
(Googleの詳細なメール送信者ガイドラインは、こちらから確認できます)
Yahooも同様の要件を公表しました。同社は最近、悪意のあるメッセージの流入を食い止め、ユーザーの受信トレイを乱雑にする価値の低い電子メールの量を減らすために、2024年初頭までに強力な電子メール認証を導入することを義務付けると発表しています。
2023年10月にGoogleとYahooが発表を行ってからわずか10日後、AppleはiCloudメールのベストプラクティス ガイドを発表しました。ここでも同様の多くのメール認証要件について取り上げています。ただAppleでは、DMARCポリシーについて厳密に導入日を定めていませんが、大量送信者は、メールが迷惑メールだと判定され、自動的にブロックされることを回避するために、これらのベストプラクティスを実行することを推奨しています。
みなさんの組織ではこれらの要件に対応できているでしょうか?知っておくべきことをご紹介しましょう。
GoogleとYahooの新しい電子メール要件
新しい要件は2つのカテゴリーに分かれています。すべての送信者は、以下の規則に従う必要があります。1日に送信するメールの量に応じて、追加のルールもあります。
すべての送信者に適用される要件:
- 電子メール認証:メール認証は、攻撃者があなたの組織を装ってメールを送信するのを防ぐための重要な対策です。この手口はドメインスプーフィングと呼ばれ、対応せずに放置すると、サイバー犯罪者が悪意のあるサイバー攻撃のために送信ドメインを武器として使用することを可能にします。
- 低い迷惑メール率: 受信者があなたのメッセージを迷惑メールとして報告する割合が新しい0.3%の要件を超えた場合、あなたのメッセージはブロックされるか、SPAMフォルダに直接送信される可能性があります。
1日に5,000通以上のメッセージを送信する送信者の要件:
-
SPFとDKIMの両方の導入が必要:GmailやYahooに送信する企業は、SPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)の両方の認証方法を導入する必要があります。
-
DMARCポリシーの導入が必要:DMARCとは、Domain-based Message Authentication, Reporting and Conformanceの略で、電子メールチャネルのドメインレベルでの保護を提供する電子メール認証規格です。
-
DMARC認証は、フィッシング、ビジネスメール詐欺(BEC)、その他のメールベースの攻撃で使用されるメールなりすまし技術を検出し、防止します。
-
DMARCは、SPF(Sender Policy Framework))およびDKIM(DomainKeys Identified Mail)の認証結果を基に構築されています。DMARCは、ヘッダFromドメイン(Header-From)を信頼できるようにする、最初で唯一の広く展開されている技術で、インターネットの標準プロトコルです。ドメイン所有者は、DNSにDMARCレコードを公開し、認証に失敗した電子メールに対して何をすべきかを受信者に指示するポリシーを設定することができます。
-
-
メッセージはDMARCのアライメントをパスする必要がある: アライメントとは、送信で使われるエンベロープFrom(Envelop-From)ドメインがヘッダFromドメイン(Header-From)と同じであること、またはDKIMドメインがヘッダFromドメイン(Header-From)と同じであることを意味します。
-
メッセージにワンクリックの登録解除機能が搭載されること:購読中のメッセージについては、メッセージ本文に List-Unsubscribe メッセージヘッダと、ワンクリックで開始できる配信停止リンク(ワンクリック・アンサブスクライブ)を明確に表示する必要があります。購読解除のアクションは、リクエストしたユーザーに対して2日以内に対応を行われなければなりません。
Google、Yahoo、Appleのメールへの送信者要件の概要
(*Appleについて記載追加 2024/02/01)
Requirement |
|
Apple |
Yahoo |
DMARC認証に合格(SPFまたはDKIMメール認証に合格) |
はい |
はい |
はい |
DMARC認証に合格(SPFおよびDKIMメール認証に合格) |
はい |
- |
はい |
有効なフォワードおよびリバースのDNS PTRレコードを確保 |
はい |
はい |
はい |
Postmaster Toolsでの迷惑メール報告率が0.3%未満(理想は0.1%未満) |
はい |
- |
はい |
メールの規格に準拠したメッセージのフォーマット(RFC 5321および5322) |
はい |
はい |
はい |
FROMヘッダーにプロバイダー ドメインのなりすましなし |
はい |
はい |
はい |
インバウンドのメールにTLSが必要 |
はい |
- |
- |
転送メールの場合はARCヘッダーが必要 |
はい |
- |
- |
送信ドメインにDMARCメール認証を適用 |
はい |
はい |
はい |
From:ヘッダーはSPFドメインまたはDKIMドメインに一致 |
はいs |
はい |
はい |
購読型商用/販促用メッセージのワンクリック登録解除(RFC 8058) |
はい |
はい |
はい |
メールをクラスタイプ別に分離 |
はい(by domain) |
はい (by IP or domain) |
はい (by IP or domain) |
SMTP tempfailureと拒否エラーの遵守 |
はい |
はい |
はい |
ヘッダー上限の設定 (2024年4月:要件追加) |
はい | はい | - |
主な日程
これらの要件が実施される日程に注意してください。
2024年1月
Appleは、DMARCポリシーの導入日を定めていませんが、その他の規定されたすべての要件は、現在導入されているため、この対策に直ちに対応することが最善です。
2024年2月
GoogleとYahooにおいて新しい要件に対応するための最初の期日です。Googleは、最初の発表後、2月の期日についてさらに詳しく説明しています。送信者要件に対応していない大量送信者の場合、要件に準拠していないメールトラフィックのごく一部においてSMTPプロトコルレベルの(エラーコード付きの)一時エラーが発生します。これらの一時エラーは、送信者が、新しいガイドラインに対応していないメールトラフィックを特定し、コンプライアンス違反に対処できるようにするためのものです。
2024年4月
Googleは、要件に準拠していないメールトラフィックの一部拒否を開始し、その拒否率を段階的に高めていきます。例えば、送信者のトラフィックの75%が要件に対応している場合、トラフィックの準拠していない残り25%を拒否します。
2024年6月1日
Googleでは、大量送信者がすべての商用/販促用メッセージにおいてワンクリック登録解除を実装する期日をこの日に改めて定めています。
期限を過ぎたらどうなりますか?
あなたの組織がお客様とのコミュニケーションにEメールを使っており、Eメール認証を導入していない場合、これらの変更はGmailやYahooアカウントを使っているお客様に送信するメッセージの配信性に大きな影響を与えることになります。これらのアカウントに毎日5,000通以上のメールを送信し、SPFとDKIMを導入していない場合、またはDMARCポリシーを導入していない場合、メールが届かないことにより、あなたのビジネスに大きな影響を与える可能性があります。
他領域においても要求されているDMARCへの対応
2022年12月に実施したプルーフポイントの調査によると、日本におけるDMARCの導入率は調査対象の18か国および地域で最下位と遅れています。しかしかつてないほどのメール脅威が猛威を振るう中、多くの組織や団体が、DMARCを適切に導入することを求めています。以下がその対象事業領域と、対応が求められている期限の主な例です。
- 1日5000通以上のメールを送信する企業:Google/Yahooより2024年初までに対応することが求められています。
- クレジットカード会社:総務省/経産省/警察庁より、2024年1月までに対応することが求められています。
- 流通小売企業:PCI DSS v4.0にて、2025年3月までにDMARCに対応することが求められています。
- 政府/自治体/独立行政法人:令和5年度版の政府統一基準の改訂にて、2024年7月までに対応することが求められています。
- 製造/化学/物流企業:大手半導体メーカーより、取引先条件として2023年度中に対応することが求められています。
簡易的な対処法には注意
コンプライアンスに手っ取り早く対応できる手段として、「ワンクリック」実装を謳うベンダーには注意が必要です。
これらの宣伝文句は多くの企業の焦りにつけこむものであり、いまや多くの企業が遅れずについていこうと必死です。新しい要件に対応するために必要なものを調べていくうちに、「ワンクリック」ソリューション、または非常に短い期間でコンプライアンスに対応できるソリューションの広告を目にするかもしれません。話がうま過ぎると思ったときはたいていそのとおりです。
アウトバウンドのメールにDMARCを適切に設定するには、FromアドレスがDKIMキーのドメインおよびSPFドメインに一致するよう、SMTPとメールヘッダー レベルで「From:」アドレスが処理される方法を変える必要があります。こうした「送信者のアドレス設定」において、構成の柔軟性に乏しい、またはDKIM署名に対応していない、サードパーティまたはSaaSソリューションを使用すれば、たちまち複雑になるでしょう。
プルーフポイントがご支援できること
プルーフポイントは、電子メール認証の業界リーダーです。フォーチュン1000社のうち、No.1のサポート実績があり、DMARCでプルーフポイントを利用している企業は、実績2~6位の競合他社5社の合計よりも多くなっています。
プルーフポイントは無償のアセスメントを提供しており、それをおこなうことによりメール送信環境の現状を可視化し、DMARC認証のためのロードマップを引くことができます。送信メール環境が少ない場合は、自社の力のみで何とかできるかもしれませんが、企業の規模によっては、効果的かつ効率的にやるべきことを支援するためのツールと、経験ある専門家によるサービスが必要になるでしょう。
Proofpoint EFD (Email Fraud Defense) ソリューションでは、経験豊富なコンサルタントがDMARCの各ステップを通じてお客様をサポートし、新しい要件を満たすだけでなく、ブランド全体の評判を保護します。Proofpoint EFD には、DMARC管理を簡素化し、DMARC実装を効率化するためにホステッドSPF とホステッドDKIM サービスも含まれています。
SaaSアプリケーションやオンプレのシステム、あるいはサードパーティのパートナーから送信されるトランザクションメールをDMARC認証させる場合、クラウド型メールリレーサービスであるProofpoint SER (Secure Email Relay)が役に立つでしょう。Proofpoint SERは、これらのメッセージがすべてDKIM署名されていることを保証するだけでなく、DMARCアライメントを飛躍的に早く実現するのに役立ちます。
まずは、DMARC 作成ウィザードで貴社のドメインのDMARCとSPFのステータスをご確認ください。その後、Proofpoint EFD (Dmail Fraud Defense)と Proofpoint SER (Secure Email Relay) が、お客様のメッセージの配信率の向上にどのようにご支援できるかについては、ぜひ当社までお問い合わせください。
またDMARCについて学ぶにはこちらのページに網羅した情報を掲載していますので、参考になさってください。
プルーフポイントは、本件を受けて、緊急ウェビナーを開催しました。
オンデマンドで視聴できますので、ぜひご覧いただき、対策をご検討いただければと思います。