2023年10月に、Googleから新たな「メール送信者のガイドライン」が発表されました。本記事では、Googleの公式発表の内容をもとにガイドラインの内容を解説するとともに、DMARC対応との違いについても触れていきます。
▶「DMARCスタートガイド」を読む
「メール送信者のガイドライン」に準拠しない場合の影響は?
詳細な内容については後述しますが、「メール送信者のガイドライン」に準拠しない場合、企業にどのような影響があるのでしょうか。まずは、ポイントをお伝えします。
- 2024年2月以降、SPF/DKIMによるメール認証をしていないメールは、Gmailアカウントへメールが届かなくなる可能性がある
- Gmailアカウントへ1日5,000件以上メールを送信する企業は、SPF/DKIM/DMARCの3つへ対応していない場合、Gmailアカウントへメールが届かなくなる可能性がある
- ダイレクトメール送信の際は、受信者がワンクリックで登録解除できる仕組みを用意していない場合、Gmailアカウントへメールが届かなくなる可能性がある
※2024年1月のGoogleのFAQ更新にて、ワンクリック登録解除へ対応できていない場合においても自動的なスパム判定や受信拒否しないと変更になっています
上述の通り、「メール送信者のガイドライン」へ準拠していないメールがGmailアカウントへメールが届かなくなるリスクがあり、事業へ非常に大きなインパクトがあります。Gmailアカウントへの安定したメール送信を続けるために必要となるアクションについては以下の内容をご確認ください。
2023年2月の経済産業省、警察庁及び総務省の連盟によるクレジットカード会社等へのフィッシング対策強化の要請をはじめ、2023年7月に政府で決定した「政府機関等のサイバーセキュリティ対策のための統一基準群」においてDMARC対応が明記され、金融機関を中心にDMARCに対する関心が高まっています。
そんな中、2023年10月にGoogleが発表した「メール送信者のガイドライン」が話題となっています。このガイドラインは、2024年2月以降適用され、条件を満たさないGmailアカウント宛のメールが正常に配信されなくなる可能性があるため、BtoCビジネスでは大きな影響を受ける可能性が非常に高いと考えられます。
そのため、各企業では「メール送信者のガイドライン」を理解し、適切な対策をとることでGmailへの正常なメール配信を実現し、事業を継続していくことが求められます。
▼関連ブログ
DMARCとは?|なりすましメールから自社や取引先を守るためのポイント
「メール送信者のガイドライン」対応の3つのポイント
ガイドラインでは、複数の条件・基準が提示されています。対応のポイントとしては、大きく下記の3つがあります。なお、その他の詳細な条件については後述します。
- 電子メール認証(SPF、DKIM、DMARC)へ対応する
- 迷惑メールと疑われるメールを送信しない
- 受信者がダイレクトメールを容易に登録解除できるよう対応する
上記の対応を求めることで、Googleはなりすましメールなどの悪意のあるメールを防ぎ、Gmailのセキュリティと信頼性を向上させることを目指しています。
「メール送信者のガイドライン」の詳細
ガイドラインへの対応のポイントを3点上述しましたが、その他の条件も含めた内容を詳細に見ていきたいと思います。
①対応の期限
2024年2月1日以降に段階的に「メール送信者のガイドライン」が適用される旨が発表されています詳細なスケジュールは下記のとおりです。※1/24追記
- 2024年2月:ガイドライン非準拠の一括送信者のメールを一部エラーで返しはじめる
- 2024年4月:ガイドライン非準拠メールが拒否されはじめる
- 2024年6月:一括送信者は全てのプロモーションメールでワンクリック配信停止を実装が必要
②対象
- Gmailアカウントの末尾が「@gmail.com」 または「 @googlemail.com」 の個人アカウント
- 企業等が利用しているGoogle Workspace アカウント(末尾が「@gmail.com」でないもの)
※12/4現在、Google社の方針変更に伴い上記取り消し線部は対象外となっています
③満たすべき条件
送信者が下記条件を満たさない場合、Gmailアカウントへメールが正常に届かなくなる可能性があります。なお、条件についてはGmailアカウントに対して1日に送信するメールが5,000件未満か5,000件以上で条件が異なります。
5,000件以上の場合、Gmail側で一括送信者というフラグ立てを行い、より厳しい条件で受信処理を行います。
一括送信者の判定基準
一括送信者の判定基準として下記内容が公開されています。※1/24追記
- 同じPrimary domainから送信されたものを同一の送信元としてカウント
- Primary domainごとのカウントとなるためサブドメインによる送信も合算される
例)
solarmora.com から2,500件
promotions.solarmora.com から2,500件
⇒合計5,000件 = 一括送信者とみなす - 一度でも一括送信者と判断された場合、永続的に一括送信者の扱いとなり解除不可
1日5,000件未満の場合の条件
|
概要 |
解説 |
|
SPFまたはDKIMメール認証を設定 |
|
|
送信元のドメインまたは IP に、有効な正引きおよび逆引きDNSレコード(PTR レコード)があること |
|
|
Gmailの「Postmaster Tools」で報告される迷惑メール率を0.3%以下にする |
|
|
RFC 5322に準拠したメールを送信する |
|
|
Gmailのなりすましをしない |
|
|
TLS接続してメール送信する ※1/17追記 |
|
1日5,000件以上(一括送信者)の場合の条件
1日5,000件未満の条件に加え下記が求められます。|
概要 |
解説 |
|
SPFおよびDKIM メール認証を設定
|
|
|
DMARCを設定する(noneポリシー可)
|
|
|
ダイレクトメールの場合、SPFまたはDKIMのAlignmentを一致させる |
|
|
配信登録されたメールは、登録解除リンクを設定する |
|
上に示す表のとおり、1日の送信件数により条件に違いがあります。
5,000件未満ではSPFまたはDKIMの対応が求められますが、AlignmentのPassまでは不要なためDMARCで求められるレベルよりも少しハードルが低く設定されています。
一方で、5,000件以上では、SPFとDKIMの両方の対応が求められており、さらにSPFかDKIMのいずれかでAlignmentのPassが必要とされています。
これはDMARCの基準であるSPFとDKIMいずれかの対応とそれに対するAlignmentのPassよりも高い水準となっており、5,000件以上の送信が見込まれる場合にはDMARCへ対応ができているというだけでは必ずしも準拠できていないケースがあるため、改めて自社のメール環境を確認する必要があります。
「メール送信者のガイドライン」対応に向けたアクション
ガイドラインへ準拠するためのアクションとして、まずはGmailアカウントに対して1日5,000件以上のメールを送る可能性があるかを把握し、求められる要件に対して現状対応ができていない項目を洗い出します。
その後、対応ができていない項目を改善していくことになりますが、項目により難易度や手間が異なります。特にDMARCに関しては、設定自体はDNSへのDMARCレコードの追加により実施できますが、自社で利用しているクラウドサービスからのメール送信や把握しきれていなかったシステムからのメール送信があり、対応に漏れが出るケースも考えられます。このような理由から「メール送信者のガイドライン」の条件の中でもDMARC対応が対応の肝とも言えます。
DMARCを正しく設定・運用するには、DMARCレコードを設定することで取得できるDMARCレポートを活用しSPF、DKIMの設定有無だけでなくAlignmentがPassできているか等を継続的に確認、見直すことが有効な手段となります。DMARCレポート自体はXML形式のデータであり、人が直接見て活用することは難しいため、DMARCレポートの可視化機能を有するソリューションを活用することで効率的にDMARC対応を進めることができます。
NRIセキュアでは、DMARCレポートの可視化機能を提供するソリューションとしてProofpoint EFDを取り扱っており、Proofpoint EFDを活用したDMARC対応のご支援メニューもご用意しています。
「メール送信者のガイドライン」への準拠にあたり、DMARC対応をご検討される際はお気軽にご相談ください。
