How does email spoofing work?

トランザクションメールを取り巻く状況とベストプラクティス

Share with your network!

メールは事業活動の要であり、さまざまな形態をとります。この記事では、トランザクションメールにスポットを当てます。トランザクションメールとは何であるか、どのように送信されるか、なぜ重要であるのか、そして、配信率と顧客満足度を高めるためのベストプラクティスをご紹介します。

トランザクションメールとは?

あなたがオンラインで何かを注文すると、その注文を確認するための自動配信メールが届きます。これはトランザクションメールの一例です。請求書、予約リマインダー、出荷通知、パスワードリセットのメッセージなどもトランザクションメールです。

トランザクションメールは、一般的に高価値のコンテンツが含まれる 1 対 1 のメッセージであり、ユーザーが関わる取引に関連する重要な情報が入っています。

トランザクションメールはどこから来るのか

トランザクションメールには主に 3 つの送信元があります。

  1. 自社開発のオンプレミス アプリケーション
  2. 自社開発のクラウドホスト型アプリケーション
  3. 自社のドメインの代理としてメールを送信するサードパーティ SaaS アプリケーション

トランザクションメールの送信元

図 1: トランザクションメールの主な 3 つの送信元

従来から、自社開発アプリケーションで自動化を図ることにより、業務時間とコストを大きく節約できるため、多くのアプリケーションがオンプレミスで構築されていました。しかし、近年ではMicrosoft Azure といった PaaS ツールにより、Web アプリケーションやクラウドホスティングを活用する企業が増えています。

またSaaS が企業の代わりにトランザクションメッセージを送信することが増え続けており、Salesforce、ServiceNow、Workday といったサードパーティ SaaS アプリケーションの利用が拡大しています。しかし、これらのアプリケーションを活用することによるユーザーエクスペリエンスが十分なものでなければ、ブランドイメージに影響してしまいます。また共有の送信元 IP アドレスを使用するサードパーティ SaaS アプリを組織の SPF レコードに追加すれば、新たなリスクが生まれます。

攻撃者が、共有 IP を活用するメールサービス プロバイダーを侵害しようとしている場合、その IP アドレスが組織の SPF レコードにあると、攻撃者は組織のドメインになりすまし、認証をパスして、悪意のあるメールを送信することができてしまうのです。

 

トランザクションメールが重要である理由

上で挙げたトランザクションメールの例で考えてみましょう。何らかの商品を注文したにもかかわらず、確認メールが届かなかったら、あなたはどう思いますか?おそらく、注文が正しく処理されなかったと思うでしょう。あるいは、詐欺会社に個人情報をうっかり渡してしまったかもしれない、と不安になるかもしれません。

トランザクションメールを適切に配信するかどうかが、顧客の全体的な満足度と企業のブランド価値に大きく影響します。適切に配信されれば、トランザクションメールは顧客からの信頼とロイヤルティを築くための資産となりえます。適切に配信されなければ、評判を落とすだけのお荷物になります。

 

トランザクションメールは、ユーザーメールでもマーケティングメールでもない

トランザクションメールは、マーケティングメールなどの 1 対多のメッセージではありません。マーケティングメールはまったくの別物です。

重要なのは、ユーザーメール、トランザクションメール、マーケティングメールは、それぞれの目的と特徴をもち、固有のベストプラクティスがあります。

ユーザーメール、トランザクションメール、マーケティングメール

図 2: メールタイプの概要(ユーザーメール、トランザクションメール、マーケティングメール)

 

トランザクションメールのベストプラクティスとワーストプラクティス

トランザクションメールの「ベストプラクティス」のアドバイスに進む前に、「ワーストプラクティス」から説明しましょう。これは、トランザクションメールとユーザー作成のメールを混ぜてしまうことです。

トランザクションメールは、その数が膨大になることもあるため、全体的な送信状況に影響を及ぼす可能性があります。トランザクションメッセージを送信するアプリが原因で、組織の送信 IP アドレスがブロックリストに追加されてしまえば、ユーザーメールも届きにくくなり、業務が停止してしまうかもしれません。

アウトバウンドのトランザクションメールは、正しく管理されていれば配信を管理するメッセージングチームだけでなくセキュリティチーム、インフラチーム、アプリ開発者へも価値を提供することができます。

トランザクションメールの送信における成功への鍵は、分離されていながらも等しく保護された環境を整えることです。

 

トランザクションメールに推奨される環境

トランザクションメール管理のベストプラクティスのいくつかを詳しく見ていきましょう。

一元的な可視化と制御
社内アプリと、組織を代表して送信するサードパーティを一元的に可視化し、制御することができれば効果的です。 送信元は承認および検証する必要があるため、送信元と組織の送信環境の間において SMTP 認証といったセキュアな接続を使用することが強く推奨されます。

SPF レコードにある送信 IP アドレスを大きく制限することにより、共有された送信環境において、他者が組織のドメインになりすますリスクを低減します。専用 IP アドレスからのトラフィック送信により、このリスクをさらに低減できます。

メッセージのスキャン:
その企業から送信されるどのメッセージも、企業に影響を及ぼします。メッセージのスパム/ウイルス スキャンをすることにより、クリーンなメッセージのみを送信することができます。 DLP ルールまたは暗号化の適用もまた、金融、医療、またはその他の個人を特定できる情報 (PII) を取り扱っている場合は特に検討すべき高度な機能です。

Domain Keys Identified Mail (DKIM) 署名:
すべてのアウトバウンドメッセージに DKIM 署名を行うことがベストプラクティスです。利用しているサードパーティ SaaS パートナーがこの機能を提供していない場合、組織の送信環境がこうしたメッセージを取り扱い、送信前に DKIM 署名を追加できることが重要です。 DKIM と DMARC は、ブランド評判の保護において重要なコンポーネントです。

 

得られるメリット

トランザクションメールにおいて、分離され、等しく保護された送信環境を整えることは、さまざまなチームにとってさまざまなメリットがあります。各チームのメリットの例は以下のとおりです。

  • メッセージングチーム:メール送信は、完全に会社の制御外の要素によりリスクにさらされることはなく、アプリケーション トラフィックは、送信 IP のレピュテーションに影響しません。アプリに問題が起こっても、ユーザー作成のメールまたはマーケティングメールには影響しません。また、ブランドのレピュテーションは、組織のドメインから送信するサードパーティ パートナーとは分離されます。
  • セキュリティチーム: SPF レコードを過剰に許可することによるリスクを低減でき、不審な場合は組織を代表するサードパーティアプリなどアプリケーションをオフにできる一元的な制御を使用できます。これは共有 IP アドレスを使用し、悪用されやすいサードパーティ SaaS プロバイダーにとって特に重要です。
  • インフラチーム:トランザクションメールにクラウドベースの送信環境を活用することにより、オンプレミスによる運用負荷を軽減し、メール送信機能が必要な組織のアプリ開発者にシンプルなソリューションを提供することができます。

トランザクションメールの送信環境の構築のサポート

プルーフポイントは、メールとメールセキュリティにおける業界リーダーであり、トランザクションメールを分離し、保護できるようサポートするリソース、テクノロジー、スキルを備えています。そして想像を上回るほどの迅速さとコスト効率に優れたプロセスを提供します。プルーフポイントのクラウドベースの Proofpoint SER (Secure Email Relay) テクノロジーにより、すぐに準備を整え、稼働させることができます。

Proofpoint SER (Secure Email Relay) の詳細をご覧ください。