MailData

Gmail

Googleの2024年2月1日からの新しいメールセキュリティポリシーについて

2023年11月10日
著者: 竹洞 陽一郎

Googleは2024年2月1日から、Gmailアカウントへのメール送信者に対して新しいセキュリティ要件を導入します。
これらの変更は、メールの送信者が従うべき特定のガイドラインを含んでおり、メールの安全と透明性を高めることを目的としています。

対象

Gmail、Google Workspaceが対象です。
Gmailは個人が、Google Workspaceは企業や学校などが幅広く利用しています。
ですから、B2B、B2C、どちらのビジネスをされていても影響があります。

Gmail
Gmailは、個人のメールアドレスとして、現在幅広く多くの人々に利用されています。
B2Cのビジネスをされているのであれば、今回の新しいメールセキュリティポリシーを理解して、しっかりと対応する必要があります。
Google Workspace
Google Workspaceは、Microsoft365と並んで、企業や大学などで幅広く使われているサービスです。
B2Bのビジネスをされているのであれば、今回の新しいメールセキュリティポリシーを理解して、しっかりと対応する必要があります。

新しいメールセキュリティポリシーにおける対応のポイント

新しいメールセキュリティポリシーは、全てのメール送信者に適用されます。
Gmail/Google Workspaceのアカウントに対して1日に5,000通以上のメールを送信する場合、このポリシーに基づき、追加的な対応措置を講じる必要があります。

全てのメール送信者に適応される要件

送信するメールの通数に関係なく、全てのメール送信者に求められる要件について解説します。

ドメイン用のSPFまたはDKIMメール認証を設定する

SPFは、自ドメイン名義のメールを出すメールサーバのIPやホスト名をDNSに登録する仕様です。
DKIMは、自ドメイン名義のメールの真正性について、電子署名によって確認できる仕様です。
これらにより、メールが正規の送信者から来ていることが確認されます。

要件としては、「SPFまたはDKIM」と書いてありますが、実際の運用では、SPF/DKIM/DMARCまで実装することをお勧めします。
理由は、スパム率0.3%の制限に影響があるからです。

送信ドメインやIPアドレスの有効なフォワードおよびリバースDNSレコード(PTRレコードとも呼ばれる)の確保

PTRレコード、またはポインターレコードは、IPアドレスからホスト名への逆引き(逆引きDNS)を可能にするDNS(ドメインネームシステム)の一部です。
これは、特定のIPアドレスがどのホスト名に関連しているかを示します。
逆引きによる検証プロセスはFCrDNS(Forward-confirmed reverse DNS)と呼ばれます。

PTRレコードは特にメールサーバの信頼性を確認する際に重要で、メールが正当なソースから送信されたことを保証するのに役立ちます。
逆引きDNSレコードが不在または不正確である場合、メールがスパムと見なされるリスクが高まります。

SPF仕様化前は、FCrDNS検証が一般的でした。
この検証は、ドメイン名の所有者とIPアドレスの所有者間の有効な関係を示す弱い認証形式を提供します。
スパマーやフィッシング攻撃者がこれを回避することは難しく、ホワイトリストの目的には十分な効果があります。

しかし、現代のクラウドやSaaS主体の環境ではFCrDNS検証はしばしば不適切です。
IPアドレスから導き出されるホスト名が異なるドメインに属しているか、PTRレコード自体が設定されていないことが多いためです。
このため、SPF/DKIM/DMARCによるドメイン認証の重要性が増しています。

Googleは、「送信IPアドレスは、PTRレコードで指定されたホスト名のIPアドレスと一致する必要がある」と指摘していますが、実際にはこの条件を満たす環境は限られています。
そのため、SPF/DKIM/DMARCによる現代的なドメイン認証を活用することが現実的な解決策となります。

共有IPアドレスの問題点

共有IPアドレスは、複数のメール送信者によって利用されるIPアドレスです。
これらの送信者の行動は、その共有IPアドレスの評判に影響を与え、配信率にも影響を及ぼす可能性があります。
共有IPアドレスを使用する際は、そのIPがインターネットのブロックリストに載っていないかを確認する必要があります。

Googleは、共有IPアドレスの評判をPostmaster Toolsを通じて監視することを推奨しています。

しかし、共有IPアドレスからのスパムメール送信によってIPの評判が低下している場合、企業の管理者がこれを改善するのは困難です。
そのため、SPF/DKIM/DMARCによる現代的なドメイン認証を活用することが現実的な解決策となります。

Postmaster Toolsで報告されるスパム率を0.3%以下に保つ

SNSなどではDMARCの要件に注目が集まっていますが、より厳格な要件はPostmaster Toolsでのスパム率の維持です。
Googleによれば、「スパム率」とは、アクティブユーザの受信箱に届いたメールの中で、ユーザが手動でスパムとしてマークしたメールの割合です。

The spam rate is the percentage of emails marked as spam by users vs emails sent to the inbox for active users.
If a substantial number of emails are delivered directly to spam folders, you may see a low spam rate even though users may still be marking your inboxed emails as spam.

スパム率とは、アクティブユーザの受信箱に送信されたメールに対して、ユーザによってスパムとしてマークされたメールの割合です。多くのメールが直接スパムフォルダーに配信される場合、ユーザが受信箱のメールをスパムとしてマークしていても、低いスパム率が示されることがあります。

重要なのは、この率が自動判定ではなく、ユーザの手動によるマーキングに基づくことです。

たとえば、1日にGmail/Google Workspaceへ10通のメールを送信して、そのうち1通が迷惑メールとしてマークされた場合、スパム率は10%になります。
300通送信し、1通がマークされると0.33%になります。
このような状況を避けるためには以下の対策が必要です。

SPF/DKIM/DMARCを設定し、DMARCでp=quarantineかrejectにする
これにより、なりすましメールやスパムが送信されることを防ぎ、万一送信されても受信者に届かないようにします。
価値のあるメールを送信する
ユーザの判断が重要で、適切な宛先選定や内容の正確さが求められます。
メールの誤送信による迷惑メールのマークを避けるためにも、内容は慎重に作成する必要があります。
不適切なメールアドレス宛に送信しない
クローリングで集めたアドレスや購入したアドレスなど、関係が構築されていない宛先へのメール送信は避けるべきです。
こうした宛先への営業メールは、すぐに迷惑メールとしてマークされる可能性があります。
例えば、採用や請求のためのメールアドレスに営業目的のメールを送れば、担当者の反感を買い、迷惑メールとしてマークされるのは避けられないでしょう。

これらの対策を講じることで、スパム率を低く保ち、効果的なメールマーケティングを実施することが可能です。

推奨されるメール送信の実践

Googleは、「推奨されるメール送信の実践」と題して、以下の事項を推奨します。

メールをインターネットメッセージフォーマット標準(RFC5322)に従ってフォーマットする

インターネットメッセージフォーマット標準(RFC5322)は、電子メールのフォーマットを定義する規格です。
この標準は、メールヘッダと本文の構造を規定し、メールが正しく解釈され送信されるためのルールを設けています。
具体的には、以下の要素を含みます。

ヘッダフィールド
これには送信者、受信者、件名などの情報が含まれます。
各フィールドは特定の形式で書かれ、メールの配信や処理に重要な役割を果たします。
日付と時刻のフォーマット
メールが送信された日時が正確に記録されます。
メッセージID
各メールにはユニークな識別子が割り当てられ、追跡や参照が容易になります。
MIME(多目的インターネットメール拡張)
これにより、テキスト以外のコンテンツ(画像、音声、ビデオなど)をメールに含めることができます。

RFC 5322に準拠したメールフォーマットを使用することで、メールシステム間の互換性が保たれ、メールの配信がスムーズになります。
また、スパムフィルターや他の自動化されたメール処理システムによってメールが適切に処理される可能性が高まります。
なりすましメールやスパムメールは、RFC5322に準拠したフォーマットになっていないことが多いので、判定として使います。

正規のメールであっても、RFC5322に準拠したフォーマットになっていないメールを出しているところが見受けられます。
そういう事がないように、自動返信システムや、問い合わせフォームからの返信メールなど、メールヘッダの中身を確認する必要があります。

Gmailの「From:」ヘッダを偽装しない

Gmailは、DMARC(Domain-based Message Authentication, Reporting, and Conformance)の隔離ポリシー(quarantine)の使用を計画しています。
これにより、「From:」ヘッダを偽装するとメール配信に影響が生じる可能性が高まります。
そのため、個人やフリーランスの皆さん、もしくは企業でもGmailのドメインのアドレスを使ってメールを送信する際には、実際に使用するメールアドレスを「From:」フィールドに正確に記載することが重要です。

DMARCでは、「From:」アドレスのドメインがメールヘッダ内の「Return-Path」やDKIM署名のd=パラメータに指定されたドメイン名と異なる場合、これを「From:」アドレスの詐称と判断します。
この一致を「DMARC Alignment」と呼びます。
GmailがDMARCの隔離ポリシー(p=quarantine)を採用するということは、Fromアドレスの偽装がメールの配信を妨げる主要な要因になることを意味しています。

定期的にメールを転送する場合(メーリングリストやインバウンドゲートウェイを含む)、送信メールにARCヘッダを追加する

メールが定期的に転送される場合(メーリングリストやインバウンドゲートウェイを含む)、送信メールにARC (Authenticated Received Chain) ヘッダを追加することが重要です。
ARCヘッダは、メッセージが転送されたことを示し、転送者の身元を明らかにします。
特にメーリングリストを運用する際は、送信メッセージに「List-id:」ヘッダを含めることも必要です。

Google Groupsのようなサービスでは、ARCヘッダが自動的に付与されます。
しかし、自社でメールサーバを運用し、メーリングリストのソフトウェアを使用する場合は、ARCヘッダが含まれるように設定する必要があります。
この設定は、メールの信頼性と追跡可能性を高めるために不可欠です。

ARCヘッダの追加は、特にスパムフィルタリングのプロセスでメールが誤ってブロックされるのを防ぐ助けになります。
メールが複数のサーバを経由する際、各サーバでの認証情報がこのヘッダに記録されるため、メールの元の送信者と転送経路が明確になります。

メール転送時のSPFとDKIMの検証に関する理解

メールの転送プロセスにおいて、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)の検証が失敗することがあります。
これを理解することが重要です。

メーリングリストのサーバのIPアドレスがSPFレコードに登録されている場合、検証は合格する可能性があります。
しかし、ほとんどの場合、メーリングリストサーバはSPFに登録されていないため、SPF検証は失敗します。
また、メーリングリストサーバのすべてをSPFに登録するのは現実的ではありません。

DKIM検証に関しても、メールヘッダと本文を基に生成されるハッシュ値が、元のメッセージと一致しない場合、検証は失敗します。
メーリングリストのシステムが配信時にメール本文に自動的に追加テキストを挿入する場合、これはDKIMの不合格を意味します。

メール転送時のこれらの検証問題を理解し、適切に対応することが、メーリングリストの運用において重要です。

1日あたり5,000通以上メールをGmail/Google Workspaceに送信する場合に適応される要件

1日あたり、Gmail/Google Workspaceに対して、5,000通以上メールを送信する場合、上記の要件に加えて、以下の要件が追加になります。

SPF/DKIM/DMARCの実装

SPFは、自ドメイン名義のメールを出すメールサーバのIPやホスト名をDNSに登録する仕様です。
DKIMは、自ドメイン名義のメールの真正性について、電子署名によって確認できる仕様です。
DMARCは、Fromアドレスの詐称を検出する仕様です。

これら全てを実装することが求められます。

DMARCについては、p=none(何もしない)で構わないとされていますが、迷惑メール0.3%の縛りがあるので、実質的には、p=quarantineもしくはrejectにせざるを得ないでしょう。

マーケティングメッセージや購読メッセージはワンクリックの配信停止をサポートし、メッセージ本文に明確に見える配信停止リンクを含める必要がある。

これはあまり注目されていないかもしれませんが、非常に重要な要件です。
多くのメールでは、Unsubscribe(配信停止)リンクが小さく記載されていますが、これはメール本文内に明確で目立つサイズで掲載する必要があります。
また、ユーザをウェブサイトの個人設定画面に誘導し、ログイン後に配信停止設定をさせる方法も適切ではありません。
ここで重要なのは「ワンクリックでの配信停止」の実現です。

商品購入や会員登録時に、メールマガジン配信のためのチェックボックスがデフォルトでオンになっているウェブサイトも問題があります。
行動経済学によれば、個人が自ら選択した事柄は積極的に受け入れられる傾向にあり、一方で自分の意志で選んでいないと感じるものには反発が生じることが指摘されています。
従って、自動で登録されたメールマガジンは、迷惑メールとマークされる危険があります。

この現象は「選択の自由」に深く関連しています。
人々は自分の選択に対する責任を好み、その選択が自らの意志に基づいていると感じるときに満足感を得ます。
逆に、選択が強制されたり、限られていると感じると、不満や反発が生じやすいのです。

したがって、ユーザを自動的にメーリングリストに登録するような手法は改めるべきです。
日本においても、科学的な知見に基づいたメールマーケティングの実践が推奨されます。

まとめ

2024年2月1日からのGoogleが始める新しいメールセキュリティポリシーは、実際は、皆さんが思っている以上に厳しい要件になっています。
早めに対応しないと、2月1日に間に合わない可能性が大きいです。
まずは、DMARCの実装を行い、RUAレポートの監査を開始することをお勧めします。
そうすれば、RUAレポートの監査で、どのサービスやメールサーバの設定がまずいのかが、明確に分かり、手が打てます。