2023年末、Google、Yahoo、Appleが、大量メール送信者に対して厳格なメール認証要件を施行することを共同で発表したことで、セキュリティおよびメッセージング業界で大きな話題となりました。2024年第1四半期に開始されたこの取り組みの実装は、完全な稼働には至っていないものの、着実に勢いを増しています。そして、メール認証を義務付けるという全体的な流れは、非常に明確です。
2025年4月2日の発表により、Microsoftもこの動きに加わり、Outlookの個人向けドメイン(hotmail.com、live.com、outlook.com)において同様のメール認証要件および送信メール数の制限を導入することを明らかにしました。
Microsoftの発表によると、Outlookは1日に5,000通以上のメールを送信するドメインに対して、SPF、DKIM、DMARCの準拠を要求するようになります。これは「デジタルエコシステムへの信頼を維持する」ためとしています。
2025年5月5日以降、認証に失敗したメッセージは迷惑メールフォルダに振り分けられ、準拠が続けて達成されない場合は最終的に拒否される可能性があります。
準拠するには、送信者は以下の最小要件を満たす必要があります。
SPF(Sender Policy Framework)
- 送信ドメインに対して合格(Pass)である必要があります。
- ドメインのSPF DNSレコードには、そのドメインの代理でメールを送信する権限を持つIPアドレスやホストを正確に記載する必要があります。
DKIM(DomainKeys Identified Mail)
- メールの整合性と正当性を検証するため、合格(Pass)である必要があります。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
- 少なくともポリシーが「p=none」であり、SPFまたはDKIM(可能であれば両方)とアライメントがとれている(整合している)必要があります。
Microsoftのその他の要件は以下の通りです:
- 機能する送信者アドレス:「From」または「Reply‐To」ヘッダーにおいて、送信ドメインを含み、返信を受け取ることができる有効なメールアドレスを使用する必要があります。
- 機能する配信停止メカニズム:送信者は、受信者が今後のメールを簡単かつ明確に拒否できる方法を提供する必要があります。これは特にマーケティングや大量配信メールに適用されます。
- リストの衛生管理とバウンス管理:送信者は、無効なアドレスを定期的に削除し、スパム苦情、バウンス(配信失敗)、無駄なメールを減らす必要があります。
- 透明性のある配信実践:送信者は、正確な件名を使用し、誤解を招くヘッダーを避け、受信者がメッセージの受信に同意していることを確認する必要があります。
認証要件のタイムライン
これらの要件は大量送信者のみに適用されますが、Microsoftはすべての送信者に対して、SPF、DKIM、DMARCの導入をベストプラクティスとして推奨しています。
影響が心配な場合、実績No.1のプルーフポイントがサポートします
メール認証の分野において、Proofpointは業界のリーダーです。当社はあらゆる規模の企業と連携していますが、Fortune 1000企業の中で、当社のDMARCソリューションを利用している企業数は、次に続く5社をすべて合わせた数よりも多いことを誇りに思っています。当社は、現状を評価するためのツール、リソース、経験を備えており、お客様が単独で対応するよりも迅速かつ効果的にギャップを埋める支援が可能です。
そして、当社のサービスは認証にとどまりません。実際、当社の人間中心のサイバーセキュリティプラットフォームは、貴社の最も重要な資産であり最大のリスクである「人」を包括的かつ適応的に保護する、唯一の最新セキュリティアーキテクチャです。
メール認証向けのEmail Fraud Defenseソリューションや、Human-Centricセキュリティプラットフォームについて詳しくご覧ください。または、ぜひお問い合わせください。