米Google(グーグル)が2024年2月以降、迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン(Email sender guidelines)」を適用すると発表し、メールに携わるIT業界関係者に衝撃が走った。
メールの送信者がこのガイドラインの要件を満たしていない場合、世界最大規模のメールサービス「Gmail」にメールを送れなくなる恐れがあるためだ。具体的には送信したメールが拒否されたり、受信者の迷惑メールフォルダーに配信されたりする可能性がある。
メール配信事業者や企業のメールサーバー管理者などは、2024年2月の適用開始までに対策を施す必要がある。なお通信事業者やISP(インターネットサービス事業者)のほとんどは対応済みなので、それらが割り当てたメールアドレスのユーザーは影響を受けない。
1日5000通以上の送信者は特に注意
同社が2023年10月3日(米国時間、以下同)に発表したガイドラインによると、対象になる宛先アドレスは、個人向けのGmailアカウント。末尾が@gmail.comまたは@googlemail.comのメールアドレスである。
ガイドライン公開当初は、法人向けクラウドサービスGoogle WorkspaceのGmailアカウントも対象になるとしていた。だが12月初めに実施したガイドラインアップデートで対象から外した。
またその後、メールの送信にTLSを使用するという要件も加えた(要件については後述)。TLSは通信を暗号化するプロトコル(通信規約)である。グーグルは今後もガイドラインを適宜アップデートする可能性がある。このため関係する企業は最新の情報を絶えずチェックする必要がある(英語版ガイドラインのURLはhttps://support.google.com/mail/answer/81126)。
今回のガイドラインは全てのメール送信者が影響を受ける。だが特に深刻なのは、Gmailアカウント宛てに大量のメールを送信しているメール配信事業者や企業だ。ガイドラインに記された要件は、Gmailアカウントに1日当たり5000件以上のメールを送っているかどうかで異なるからだ。
一番の違いは、対応すべき送信ドメイン認証の種類である。送信ドメイン認証とは、送信元メールサーバーのIPアドレスや送信元が施した電子署名を利用して、メールがなりすまされていないかどうかを判断する仕組みだ。
1日当たり5000件未満の送信元は、送信ドメイン認証の「SPF」と「DKIM」のどちらか一方に対応する必要がある。一方、5000件以上の送信元はSPFとDKIMの両方に対応した上で「DMARC」にも対応しなければならない。
1日当たり5000件未満と5000件以上で共通の要件もある。具体的には「送信元のドメインまたはIPアドレスに有効な正引き及び逆引きDNSレコードを設定する」「メールの送信にTLSを使用する」「受信者から報告される迷惑メールの割合を0.1%未満に保ち、0.3%を超えないようにする」「Internet Message Format標準に準拠する」などだ。
国内最大のメールセキュリティー団体「Japan Anti-Abuse Working Group(JPAAWG)」の会長を務める、インターネットイニシアティブ(IIJ)技術研究所技術連携室の櫻庭秀次シニアリサーチエンジニアによると、これら共通の要件については「配信事業者や企業の多くは既に対応済み」という。
1日当たり5000件以上の送信元だけの要件もいくつかある。その1つがDMARCをパスすること。これはメールソフトやWebブラウザーなどに表示される送信者アドレス(ヘッダーFrom)がなりすまされていないことを意味する。
マーケティング目的のメールや配信登録されたメールの場合には、ワンクリックで登録を解除できるようにするとともに、そのリンクをメールの本文中に分かりやすく表示する必要がある。
