Gmail や Yahoo のアカウントをお持ちの方なら、迷惑メールや明らかに詐欺を目的としたメールで受信トレイがいっぱいになった経験をお持ちでしょう。もしあなたが、「なぜメールプロバイダーは、この種の詐欺メールをしっかりブロックしてくれないのだろう」と思ったことがあるとしたら、それはあなただけではありません。
良いお知らせとしては、Google と Yahoo はこの詐欺メールの問題に取り組んでおり、状況は変わろうとしています。逆に、悪いニュースとしては、あなたの会社が Google や Yahoo のユーザーにメールを送る場合、対応せねばならない事項があるかもしれないのにも関わらず、十分な時間がないことです。
Google は、2024 年 2 月から、Gmailアカウントにメッセージを送信する際にメール認証が必要になると発表しました。Gmailアカウントに 1 日あたり 5,000 通以上のメールを送信する大量送信者は、さらに多くの要件を満たす必要があります。また、DMARCポリシーを導入し、SPF または DKIM のアライメントを確保し、受信者が簡単に配信停止(ワンクリックで配信停止)できるようにする必要があります。(Google の詳細なメール送信者ガイドラインはこちらからアクセスできます)
Yahoo も同様の要件を公表しました。同社は最近、悪意のあるメッセージの流入を食い止め、ユーザーの受信トレイを乱雑にする価値の低い電子メールの量を減らすために、2024年初頭までに強力な電子メール認証を導入することを義務付けると発表しています。
これらの要件を満たす準備はできていますか?知っておくべきことは以下の事項です。
●Google と Yahoo の新しい電子メール要件
新しい要件は 2 つのカテゴリーに分かれています。すべての送信者は、以下の規則に従う必要があります。1 日に送信するメールの量に応じて、追加のルールもあります。
すべての送信者に適用される要件:
1.電子メール認証:メール認証は、攻撃者があなたの組織を装ってメールを送信するのを防ぐための重要な対策です。この手口はドメインスプーフィングと呼ばれ、対応せずに放置すると、サイバー犯罪者が悪意のあるサイバー攻撃のために送信ドメインを武器として使用することを可能にします。
・SPF は、フィッシング攻撃やスパムメールでよく使われる「なりすましメール」を防ぐために設計されたメール認証プロトコルです。電子メールのサイバーセキュリティの不可欠な部分として、SPF は、受信メールサーバーが受信メールがそのドメインの管理者によって承認された IPアドレスから送信されているかどうかをチェックすることができます。
・DKIM は、途中経路でのメールの内容の改ざんを防ぐための仕組みで、メールボックスプロバイダーが確認できる方法で署名することにより、組織がメッセージの送信に責任を持つことを可能にするプロトコルです。DKIMレコードの検証は、暗号認証によって可能になります。
2.低い迷惑メール率: 受信者があなたのメッセージを迷惑メールとして報告する割合が新しい 0.3 % の要件を超えた場合、あなたのメッセージはブロックされるか、SPAMフォルダに直接送信される可能性があります。
1 日に 5,000 通以上のメッセージを送信する送信者の要件:
1.SPF と DKIM の両方の導入が必要:Gmail や Yahoo に送信する企業は、SPF(Sender Policy Framework)および DKIM(DomainKeys Identified Mail)の両方の認証方法を導入する必要があります。
2.DMARCポリシーの導入が必要:DMARC とは、Domain-based Message Authentication, Reporting and Conformance の略で、電子メールチャネルのドメインレベルでの保護を提供する電子メール認証規格です。
・DMARC認証は、フィッシング、ビジネスメール詐欺(BEC)、その他のメールベースの攻撃で使用されるメールなりすまし技術を検出し、防止します。
・DMARC は、SPF(Sender Policy Framework)および DKIM(DomainKeys Identified Mail)の認証結果を基に構築されています。DMARC は、ヘッダFromドメイン(Header-From)を信頼できるようにする、最初で唯一の広く展開されている技術で、インターネットの標準プロトコルです。ドメイン所有者は、DNS に DMARCレコードを公開し、認証に失敗した電子メールに対して何をすべきかを受信者に指示するポリシーを設定することができます。
3.メッセージは DMARC のアライメントをパスする必要がある: アライメントとは、送信で使われるエンベロープFrom(Envelop-From)ドメインがヘッダFromドメイン(Header-From)と同じであること、または DKIMドメインがヘッダFromドメイン(Header-From)と同じであることを意味します。
4.メッセージにワンクリックの登録解除機能が搭載されること:購読中のメッセージについては、メッセージ本文に List-Unsubscribe メッセージヘッダと、ワンクリックで開始できる配信停止リンク(ワンクリック・アンサブスクライブ)を明確に表示する必要があります。購読解除のアクションは、リクエストしたユーザーに対して 2 日以内に行われなければなりません。
〈Google の新スパム対策概要〉
1 日 5000 メッセージ未満の送信者への要件
・SPF または DKIMメール認証が必要
・有効なフォワードおよびリバースDNSレコードの設定
・Postmaster Tool の迷惑メール率(spam rate) が 0.3 % 未満であること
・メッセージ形式が RFC 5322標準に準拠
・FROMヘッダに Gmail のなりすましがないこと
(Gmail は DMARC隔離ポリシー設定)
・メール転送の要件
1 日 5000 メッセージ以上の送信者への要件
・SPF および DKIMメール認証が必要
・有効なフォワードおよびリバースDNSレコードの設定
・Postmaster Tool の迷惑メール率(spam rate) が 0.3 % 未満であること
・メッセージ形式が RFC 5322 標準に準拠
・FROMヘッダーに Gmail のなりすましがないこと
(Gmail の DMARC隔離ポリシー設定)
・メール転送の要件
・送信ドメインの DMARCメール認証
Fromヘッダは SPFドメインまたは DKIMドメインと一致する必要があり
・購読済みメッセージのワンクリック配信停止
●期限を過ぎたらどうなりますか?
あなたの組織がお客様とのコミュニケーションに Eメールを使っており、Eメール認証を導入していない場合、これらの変更は Gmail や Yahooアカウントを使っているお客様に送信するメッセージの配信性に大きな影響を与えることになります。これらのアカウントに毎日 5,000 通以上のメールを送信し、SPF と DKIM を導入していない場合、または DMARCポリシーを導入していない場合、メールが届かないことにより、あなたのビジネスに大きな影響を与える可能性があります。
●他領域においても要求されている DMARC への対応
2022 年 12 月に実施したプルーフポイントの調査によると、日本における DMARC の導入率は調査対象の 18 か国および地域で最下位と遅れています。しかしかつてないほどのメール脅威が猛威を振るう中、多くの組織や団体が、DMARC を適切に導入することを求めています。以下がその対象事業領域と、対応が求められている期限の主な例です。
・1 日 5000 通以上のメールを送信する企業:Google/Yahoo より 2024 年初までに対応することが求められています。
・クレジットカード会社:総務省/経産省/警察庁より、2024 年 1 月までに対応することが求められています。
・流通小売企業:PCI DSS v4.0 にて、2025 年 3 月までに DMARC に対応することが求められています。
・政府/自治体/独立行政法人:令和5年度版の政府統一基準の改訂にて、2024 年 7 月までに対応することが求められています。
・製造/化学/物流企業:大手半導体メーカーより、取引先条件として 2023 年度中に対応することが求められています。
●プルーフポイントがご支援できること
プルーフポイントは、電子メール認証の業界リーダーです。フォーチュン 1000 社のうち、No.1 のサポート実績があり、DMARC でプルーフポイントを利用している企業は、実績 2 ~ 6 位の競合他社 5 社の合計よりも多くなっています。
プルーフポイントは無償のアセスメントを提供しており、それをおこなうことによりメール送信環境の現状を可視化し、DMARC認証のためのロードマップを引くことができます。送信メール環境が少ない場合は、自社の力のみで何とかできるかもしれませんが、企業の規模によっては、効果的かつ効率的にやるべきことを支援するためのツールと、経験ある専門家によるサービスが必要になるでしょう。
Proofpoint EFD (Email Fraud Defense) ソリューションでは、経験豊富なコンサルタントが DMARC の各ステップを通じてお客様をサポートし、新しい要件を満たすだけでなく、ブランド全体の評判を保護します。Proofpoint EFD には、DMARC管理を簡素化し、DMARC実装を効率化するためにホステッドSPF とホステッドDKIM サービスも含まれています。
SaaSアプリケーションやオンプレのシステム、あるいはサードパーティのパートナーから送信されるトランザクションメールを DMARC認証させる場合、クラウド型メールリレーサービスである Proofpoint SER (Secure Email Relay)が役に立つでしょう。Proofpoint SER は、これらのメッセージがすべて DKIM署名されていることを保証するだけでなく、DMARCアライメントを飛躍的に早く実現するのに役立ちます。
まずは、DMARC 作成ウィザードで貴社のドメインの DMARC と SPF のステータスをご確認ください。その後、Proofpoint EFD (Dmail Fraud Defense)と Proofpoint SER (Secure Email Relay) が、お客様のメッセージの配信率の向上にどのようにご支援できるかについては、ぜひ当社までお問い合わせください。
また DMARC について学ぶにはこちらのページに網羅した情報を掲載していますので、参考になさってください。
プルーフポイントは、本件を受けて、緊急ウェビナーを開催します。
B2C企業必見!1 日 5000 通以上のメールを送る企業に影響する
Google/Yahoo のメール要件変更に伴う DMARC対応について
日時:2023 年 11 月 22 日(水) 14:00(30分)
開催方法:Zoom ウェビナー
> こちらからお申し込みください
