Googleのメール送信者のガイドラインとは？SPF、DKIM、DMARCなどメール配信で推奨される設定

メール送信のセキュリティ強化について

メールの安全性を確認する目的で、SPFやDKIM、DMARCというメールの送信元チェックやメールの改ざんチェック、なりすまし対策などの技術があります。

これらは、国内でも導入が進んでいますが100％にはほど遠い状況です。

それぞれの簡単な特徴をまとめました。

SPF

メールの送信元のIPアドレスが正規のものかどうかをチェックする仕組みです。DNSレコードを通じて、IPアドレスの正当性をチェックします。

DKIM

電子署名を利用してメールが改ざんされていないかどうかをチェックします。

DNSレコードに設定した公開鍵を利用して、メールの署名を検証します。

DMARC

SPFやDKIMの認証で失敗したメールの取り扱いを管理できる仕組みです。なりすましメールの把握、レポート収集なども可能になります。

セキュリティの強化が求められている

メールによりフィッシング詐欺などの被害が後を絶たない時代です。

このような現状を鑑み、メールの安全性を高める設定は可能な限り導入するべきでしょう。

2023年の2月には経済産業省、警察庁及び総務省が、クレジットカード会社等に対し、送信ドメイン認証技術の導入をはじめとするフィッシング対策の強化を要請しました。

経済産業省、警察庁及び総務省は、クレジットカード番号等の不正利用の原因となるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術（DMARC^*）の導入をはじめとするフィッシング対策の強化を要請しました。

昨今、悪意のある第三者が、クレジットカード会社等を騙った電子メール等を利用者に送信し、利用者を当該電子メール等のリンクから偽サイトに誘導したうえで、利用者のクレジットカード番号等を詐取する攻撃（いわゆるフィッシング）が多発しています。

フィッシングによるクレジットカード番号等の詐取は、クレジットカード番号等の不正利用の一因となっており、利用者保護の観点から、クレジットカード会社等において適切な対応が取られることが求められます。とりわけ、フィッシングメールがドメイン名をなりすまして送信されることが多い点に鑑みると、送信ドメイン認証技術のうち、フィッシングメール対策に特に有効とされているDMARCを導入し、ドメイン名のなりすましを検出するとともに、自社を騙るフィッシングメールが利用者に届かなくなるよう利用者の受信を制限することが重要です。

経済産業省
https://www.meti.go.jp/press/2022/02/20230201001/20230201001.html

また、内閣サイバーセキュリティセンターの政府機関等の対策基準策定のためのガイドラインでも、中央省庁や自治体、独立行政法人にむけて下記のようなガイドラインを発信しています。

6.2.2

(1)-2 情報システムセキュリティ責任者は、以下を全て含む送信ドメイン認証技術による電子メールのなりすましの防止策を講ずること。
DMARC による送信側の対策を行う。DMARC による送信側の対策を行うためには、SPF、DKIM のいずれか又は両方による対策を行う必要がある。
DMARC による受信側の対策を行う。DMARC による受信側の対策を行うためには、SPF、DKIM の両方による対策を行う必要がある。

政府機関等の対策基準策定のためのガイドライン
https://www.nisc.go.jp/pdf/policy/general/kihanr5.pdf

Googleからメール送信者のガイドラインが発表され2月1日以降、Gmailへメールを送信する際にガイドラインを遵守することが求められるようになりました。

Googleのガイドラインの内容

すべての送信者

すべての送信者へ適用される条件は下記のようになります。

• ドメインに SPF または DKIM メール認証を設定します。
• 送信元のドメインまたは IP に、有効な正引きおよび逆引き DNS レコード（PTR レコードとも呼ばれます）があることを確認します。詳細
• メールの送信に TLS 接続を使用します。Google Workspace で TLS を設定する手順については、メールのセキュアな接続を必須にするをご覧ください。
• Postmaster Tools で報告される迷惑メール率を 0.10% 未満に維持し、迷惑メール率が決して 0.30% 以上にならないようにします。詳しくは、迷惑メール率の詳細をご覧ください。
• Internet Message Format 標準（RFC 5322）に準拠する形式でメールを作成します。
• Gmail の From: ヘッダーのなりすましはしないでください。Gmail では、DMARC の検疫適用ポリシーの使用が開始されます。Gmail の From: ヘッダーのなりすましをした場合、メール配信に影響する可能性があります。
• メーリング リストや受信ゲートウェイを使用するなどして、メールを定期的に転送する場合は、送信メールに ARC ヘッダーを追加します。ARC ヘッダーによって、メールが転送されたことが示され、送信者が転送者と見なされます。メーリング リストの送信者は、メーリング リストを指定する List-id: ヘッダーも送信メールに追加する必要があります。

https://support.google.com/a/answer/81126

5,000件/日以上の送信者の場合

5,000 件以上のメールを送信する送信者に適用される条件は、さらに厳格なものとなります。

• ドメインに SPF および DKIM メール認証を設定します。
• 送信元のドメインまたは IP に、有効な正引きおよび逆引き DNS レコード（PTR レコードとも呼ばれます）があることを確認します。詳細
• メールの送信に TLS 接続を使用します。Google Workspace で TLS を設定する手順については、メールのセキュアな接続を必須にするをご覧ください。
• Postmaster Tools で報告される迷惑メール率を 0.10% 未満に維持し、迷惑メール率が決して 0.30% 以上にならないようにします。詳しくは、迷惑メール率の詳細をご覧ください。
• Internet Message Format 標準（RFC 5322）に準拠する形式でメールを作成します。
• Gmail の From: ヘッダーのなりすましはしないでください。Gmail では、DMARC の検疫適用ポリシーの使用が開始されます。Gmail の From: ヘッダーのなりすましをした場合、メール配信に影響する可能性があります。
• メーリング リストや受信ゲートウェイを使用するなどして、メールを定期的に転送する場合は、送信メールに ARC ヘッダーを追加します。ARC ヘッダーによって、メールが転送されたことが示され、送信者が転送者と見なされます。メーリング リストの送信者は、メーリング リストを指定する List-id: ヘッダーも送信メールに追加する必要があります。
• 送信ドメインに DMARC メール認証を設定します。DMARC 適用ポリシーは none に設定できます。詳細
• ダイレクト メールの場合、送信者の From: ヘッダー内のドメインは、SPF ドメインまたは DKIM ドメインと一致している必要があります。これは DMARC アライメントに合格するために必要です。
• マーケティング目的のメールと配信登録されたメールは、ワンクリックでの登録解除に対応し、メッセージ本文に登録解除のリンクをわかりやすく表示する必要があります。詳細

https://support.google.com/a/answer/81126

注意すべき点について

ワンクリックでの送信解除

これはマーケティング目的のメールを送る場合に、メール内にワンクリックで登録を解除できるリンクを用意しなければならないという義務です。

SPF/DKIMの設定

SPFレコードとDKIM認証を両方設定しなければなりません。DKIMに関してはメールサーバー側の対応なども必要ですので、特に注意しましょう。

DMARCレコードの設定

DMARCレコードの設定が必要です。ポリシー設定などに言及はないので、運用方法に合わせて設定をしましょう。

対応について

メールサーバーや、メールマガジンのシステムが対応しているかどうか、DNSの設定変更など少々複雑な作業が必要なものばかりとなります。

しかし、Gmailがメール送付先となっているビジネスにおいては、大変影響力の高いガイドラインとなっています。

スムーズに対応できるように準備しておきましょう。