ブログについて
Googleのメール送信者ガイドライン変更の概要
2024.02.22
制作
こんにちは。制作部の中山です。気がつけば新年を迎えてからあっという間に一月が経ちましたが、みなさんいかがお過ごしでしょうか?わたしはというと、年末からの流れで、年始早々から「Googleの送信者ガイドライン変更」の対応に右往左往しておりました。そうです…昨年の10月に発表され、一部界隈で激震が走った例の件です。
例の件といっても、対応業務に携わっていない人にとってはピンとこない話だと思います。ただ今回のガイドライン変更は、多くの人に影響のある話だと思いますので、自身の振り返りも兼ねて記事にまとめたいと思います。
はじめに
本題に入る前に恐縮ですが、本記事を読み始める前にご了承いただきたい点がございます。
今回の記事で取り上げている「Googleのメール送信者のガイドライン」は、2023年10月に発表されたものの、その後も追記更新が続いています。また、詳細情報に乏しく現時点では憶測となる部分があります。
基本的な概要に変化はないものの、対応をはじめる際には、まず自ら一次情報にアクセスし、最新の情報をご確認のうえ、ご対応をお願いいたします。
なおこういった背景も踏まえ、今回の記事においては細かな設定内容を網羅することは目的とせず、変更内容の詳細について対応業務に携わっていない人にもわかりやすいように概要をまとめています。
変更内容の詳細
冒頭でも触れていますが、そもそもの発端は、2023年10月にGoogleと米国Yahoo!から発表された以下の「送信者のガイドライン変更」にあります。
※米国Yahoo!についてはGoogleに準拠とのことなので、今回はGoogleを基準に話を進めます
※本題とは逸れるため取り上げませんが、追随する形でMicrosoft等の大手メールクライアントも警告を発表
■ Google
・メール送信者のガイドライン(2024年2月以降から適用)
https://support.google.com/a/answer/81126?visit_id=638419683725832648-4197236286&rd=1
・メール送信者のガイドラインに関するよくある質問
https://support.google.com/a/answer/14229414
■ 米国Yahoo!(2024年の第1四半期頃から適用、Googleに準拠)
・より良いエクスペリエンスを実現するための電子メールの標準適用
https://blog.postmaster.yahooinc.com/post/730172167494483968/more-secure-less-spam
可能であれば、すべての方に一次情報に目を通していただきたいものの、とても長文なので以下に概要をまとめます。
ガイドライン変更の目的
今回のガイドライン変更は、昨今社会的な問題となっている「なりすましメール」による詐欺被害や、スパムメールによる個人情報の漏洩等への対策で、エンドユーザーを保護することが目的となっています。なお今回のガイドライン変更にも組み込まれている「DMARC対応/送信ドメイン認証」については、国や各業界においても以下のような動きがあり、今後も加速は必至と思われます。
| 2023年2月に経済産業省・警察庁・総務省が、クレジットカード会社等の金融機関に対してDMARC対応を要請。 |
| 2023年7月に政府が策定した「政府機関等のサイバーセキュリティ対策のための統一基準群」にDMARC対応が明記される。 |
| 政府・自治体・独立行政法人においては、2024年7月までに政府の統一基準に則った対応が求められる。 |
| 流通・小売企業においては、2025年3月までにPCI DSS v4.0に則った対応が求められる。 |
変更点の要点
対象者
まず今回のガイドライン改定の対象者は、大きく以下の2グループに分けられ、グループによって求められる送信者の要件(対応すべき内容)が異なります。
・すべての送信者
・1日5,000通以上の送信者
Googleが求める送信者の要件
Googleが各グループに求める送信者の要件は以下の通りで、要件を満たしていない送信者がGoogleアドレスにメールを送った場合、拒否されるか迷惑メールボックスに配信されます。なおこれは『義務』とされているため、対応はマストです。
※GoogleWorkspaceのメールアドレスは新要件の適用外
| すべての送信者に対して求められる要件 | 1日5,000通以上のメールを送信する 送信者に求められる要件 |
|---|---|
| SPFまたはDKIMの設定 | SPFおよびDKIMの設定 |
| 有効な正引きおよび逆引きDNSレコードの設定 | 有効な正引きおよび逆引きDNSレコードの設定 |
| メール送信にTLS接続を使用 ※2023年12月に項目追加 |
メール送信にTLS接続を使用 ※2023年12月に項目追加 |
| 報告される迷惑メールの割合を0.1未満にし、最低でも0.3%を維持 | 報告される迷惑メールの割合を0.1未満にし、最低でも0.3%を維持 |
| メッセージ形式はInternet Message Format(REF_5322)に準拠 | メッセージ形式はInternet Message Format(REF_5322)に準拠 |
| ヘッダーFromをGmailになりすまさない(GmailはDMARC隔離ポリシー設定) | ヘッダーFromをGmailになりすまさない(GmailはDMARC隔離ポリシー設定) |
| (定期的に転送を行う場合)ARCヘッダとList-idヘッダを追加 | (定期的に転送を行う場合)ARCヘッダとList-idヘッダを追加) |
| DMARCの設定 | |
| マーケティングに関するメールは、ワンクリックの登録解除(REF8085準拠)と本文への登録解除ページへのリンク |
なおここで重要視すべきは、Gmailのアカウントに対して 1日に5,000 通以上のメールを送信する場合、送信ドメイン認証(SPF・DKIM・DMARC )に対応する必要があるということです。
以下はGoogleが「メール送信者のガイドラインに関するよくある質問」で発表している一括送信者の基準ですが、これに則って考えると、個人で1日に5,000通のメールを送っていなくても、同一ドメインで1日に5,000通のメールを送っている場合は、この条件をクリアする必要があります。同一ドメインにおいてメルマガ配信等を行っている場合、社員数が多い場合には容易に達してしまう基準かと思いますので、該当する企業は多いと思います。
一括送信者とは
一括送信者とは、個人の Gmail アカウントに 24 時間以内に 5,000 件近くあるいはそれ以上のメールを送信するユーザーのことを指します。同じプライマリ ドメインから送信されたメールは、上限である 5,000 件にカウントされます。
送信元ドメイン: 上限である 5,000 件の計算では、同じプライマリ ドメインから送信されたすべてのメールがカウントされます。たとえば、solarmora.com から 2,500 件、promotions.solarmora.com から 2,500 件のメールを個人の Gmail アカウントに毎日送信しているとします。この場合、5,000 件のメールがすべて同じプライマリ ドメイン(solarmora.com)から送信されているため、送信しているユーザーは一括送信者とみなされます。詳しくは、ドメイン名に関する基本ガイドをご覧ください。この条件を 1 回以上満たすユーザーは、一括送信者と見なされます。
また、今までのGoogleが対策を打ち出し実行していくプロセスを鑑みると、この5,000件という数値は段階的な基準でしかないでしょう。先に述べた国や各業界の流れをみてもわかる通り、いずれは全送信者に同様の対策が求められるようになると思われます。そのため、現段階で対象に含まれていない方も、今後に備えてしっかりと確認と対策を行っていく必要があります。
対応の期限
今回のガイドライン変更の対応期限は、発表当初は「2024年2月から」とされておりました。ただ後からになり具体的なスケジュールが追記され、現時点では以下のように段階的に進められていくものとなっております。
| 2024年2月より | 要件を満たしていない一括送信者は、非準拠のメール トラフィックのごく一部で一時的なエラー(エラーコードを含む)を受け取るようになります。これらの一時的なエラーは、送信者が Google のガイドラインを満たしていないメール トラフィックを特定し、コンプライアンス違反の原因となる問題を解決できるようにするためのものです。 |
| 2024年4月より | ポリシーに準拠していない一定の割合のメール トラフィックを拒否し、拒否率を徐々に引き上げていく予定です。たとえば、送信者のトラフィックの 75% が要件を満たしている場合、残りの 25% のうち、一定の割合で非準拠のトラフィックが拒否されるようになります。 |
| 2024年6月1日までに | すべての商用メール、プロモーション メールにワンクリックでの登録解除を実装する必要があります。 |
まとめ
最後になりますが、以下に総務省が発表した「令和5年版情報通信白書」内に掲載されている「送信ドメイン認証技術のJPドメイン導入状況」をまとめた表をご紹介いたします。
今回のガイドラインにも盛り込まれている「DMARC」がRFC(インターネット技術の標準的な仕様を記した文書)に公開されたのは2015年。そこから長い年月が経っても、いかに普及が進んでいないかがわかります。
参照:総務省データ集「16. 送信ドメイン認証技術のJPドメイン導入状況」
わたし自身にも当てはまることですが、どうしても日々の業務に追われこういった対策は後回しになりがちです。ただ今回のように必要に迫られる前に、しっかりと対策を行っていくことが大切です。今は多くの情報が溢れかえっている時代ですが、誰かが必要となる情報を教えてくれるわけではありません。日頃から情報収集を怠らず、必要な情報を見極め、自身で精査する力がより求められていると思います。
今回の内容は専門的なキーワードも多く、とっつきづらいと感じられた方もいらっしゃるかもしれません。しかし、今回のガイドライン変更の影響は広く、実際に対応を行う技術職以外の方においても、把握しておいていただきたい内容です。利用されている各サービスから、対応を求めるメールが届く場合もあるかと思いますので、重要な情報を見逃さないためにも、しっかりと概要を把握しておきましょう。
最後までお読みいただき、ありがとうございました。