BEC and EAC

GoogleとYahooの新Eメール認証要件への短い対応タイムライン

Share with your network!

GmailやYahooのアカウントをお持ちの方なら、迷惑メールや明らかに詐欺を目的としたメールで受信トレイがいっぱいになった経験をお持ちでしょう。もしあなたが、「なぜメールプロバイダーは、この種の詐欺メールをしっかりブロックしてくれないのだろう」と思ったことがあるとしたら、それはあなただけではありません。   

良いお知らせとしては、GoogleとYahooはこの詐欺メールの問題に取り組んでおり、状況は変わろうとしています。逆に、悪いニュースとしては、あなたの会社がGoogleやYahooのユーザーにメールを送る場合、対応せねばならない事項があるかもしれないのにも関わらず、十分な時間がないことです。

Googleは、2024年2月から、Gmailアカウントにメッセージを送信する際にメール認証が必要になると発表しました。Gmailアカウントに1日あたり5,000通以上のメールを送信する大量送信者は、さらに多くの要件を満たす必要があります。また、DMARCポリシーを導入し、SPFまたはDKIMのアライメントを確保し、受信者が簡単に配信停止(ワンクリックで配信停止)できるようにする必要があります。(Googleの詳細なメール送信者ガイドラインはこちらからアクセスできます)

Yahooも同様の要件を公表しました。同社は最近、悪意のあるメッセージの流入を食い止め、ユーザーの受信トレイを乱雑にする価値の低い電子メールの量を減らすために、2024年初頭までに強力な電子メール認証を導入することを義務付けると発表しています。  

これらの要件を満たす準備はできていますか?知っておくべきことは以下の事項です。

 

GoogleとYahooの新しい電子メール要件

新しい要件は2つのカテゴリーに分かれています。すべての送信者は、以下の規則に従う必要があります。1日に送信するメールの量に応じて、追加のルールもあります。  

すべての送信者に適用される要件: 

  1. 電子メール認証:メール認証は、攻撃者があなたの組織を装ってメールを送信するのを防ぐための重要な対策です。この手口はドメインスプーフィングと呼ばれ、対応せずに放置すると、サイバー犯罪者が悪意のあるサイバー攻撃のために送信ドメインを武器として使用することを可能にします。  
    • SPFは、フィッシング攻撃やスパムメールでよく使われる「なりすましメール」を防ぐために設計されたメール認証プロトコルです。電子メールのサイバーセキュリティの不可欠な部分として、SPFは、受信メールサーバーが受信メールがそのドメインの管理者によって承認されたIPアドレスから送信されているかどうかをチェックすることができます。

    • DKIMは、途中経路でのメールの内容の改ざんを防ぐための仕組みで、メールボックスプロバイダーが確認できる方法で署名することにより、組織がメッセージの送信に責任を持つことを可能にするプロトコルです。DKIMレコードの検証は、暗号認証によって可能になります。

  2. 低い迷惑メール率: 受信者があなたのメッセージを迷惑メールとして報告する割合が新しい0.3%の要件を超えた場合、あなたのメッセージはブロックされるか、SPAMフォルダに直接送信される可能性があります。   

1日に5,000通以上のメッセージを送信する送信者の要件: 

  1. SPFとDKIMの両方の導入が必要:GmailやYahooに送信する企業は、SPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)の両方の認証方法を導入する必要があります。  

  2. DMARCポリシーの導入が必要:DMARCとは、Domain-based Message Authentication, Reporting and Conformanceの略で、電子メールチャネルのドメインレベルでの保護を提供する電子メール認証規格です。

    • DMARC認証は、フィッシング、ビジネスメール詐欺(BEC)、その他のメールベースの攻撃で使用されるメールなりすまし技術を検出し、防止します。

    • DMARCは、SPF(Sender Policy Framework))およびDKIM(DomainKeys Identified Mail)の認証結果を基に構築されています。DMARCは、ヘッダFromドメイン(Header-From)を信頼できるようにする、最初で唯一の広く展開されている技術で、インターネットの標準プロトコルです。ドメイン所有者は、DNSにDMARCレコードを公開し、認証に失敗した電子メールに対して何をすべきかを受信者に指示するポリシーを設定することができます。

  3. メッセージはDMARCのアライメントをパスする必要がある: アライメントとは、送信で使われるエンベロープFrom(Envelop-From)ドメインがヘッダFromドメイン(Header-From)と同じであること、またはDKIMドメインがヘッダFromドメイン(Header-From)と同じであることを意味します。

  4. メッセージにワンクリックの登録解除機能が搭載されること:購読中のメッセージについては、メッセージ本文に List-Unsubscribe メッセージヘッダと、ワンクリックで開始できる配信停止リンク(ワンクリック・アンサブスクライブ)を明確に表示する必要があります。購読解除のアクションは、リクエストしたユーザーに対して2日以内に行われなければなりません。

 

Googleの新スパム対策概要

1日5000メッセージ未満の送信者への要件

1日5000メッセージ以上の送信者への要件

  • SPFまたはDKIMメール認証が必要

  • 有効なフォワードおよびリバースDNSレコードの設定

  • Postmaster Toolの迷惑メール率(spam rate) が0.3%未満であること

  • メッセージ形式がRFC 5322標準に準拠

  • FROMヘッダにGmailのなりすましがないこと
    (GmailはDMARC隔離ポリシー設定)

  • メール転送の要件

  • SPFおよびDKIMメール認証が必要

  • 有効なフォワードおよびリバースDNSレコードの設定

  • Postmaster Toolの迷惑メール率(spam rate) が0.3%未満であること

  • メッセージ形式がRFC 5322標準に準拠

  • FROMヘッダーにGmailのなりすましがないこと
    (GmailのDMARC隔離ポリシー設定)

  • メール転送の要件

  • 送信ドメインのDMARCメール認証
    FromヘッダはSPFドメインまたはDKIMドメインと一致する必要があり

  • 購読済みメッセージのワンクリック配信停止
     

期限を過ぎたらどうなりますか?

あなたの組織がお客様とのコミュニケーションにEメールを使っており、Eメール認証を導入していない場合、これらの変更はGmailやYahooアカウントを使っているお客様に送信するメッセージの配信性に大きな影響を与えることになります。これらのアカウントに毎日5,000通以上のメールを送信し、SPFとDKIMを導入していない場合、またはDMARCポリシーを導入していない場合、メールが届かないことにより、あなたのビジネスに大きな影響を与える可能性があります。  

 

他領域においても要求されているDMARCへの対応

2022年12月に実施したプルーフポイントの調査によると、日本におけるDMARCの導入率は調査対象の18か国および地域で最下位と遅れています。しかしかつてないほどのメール脅威が猛威を振るう中、多くの組織や団体が、DMARCを適切に導入することを求めています。以下がその対象事業領域と、対応が求められている期限の主な例です。

  • 1日5000通以上のメールを送信する企業:Google/Yahooより2024年初までに対応することが求められています。
  • クレジットカード会社:総務省/経産省/警察庁より、2024年1月までに対応することが求められています。
  • 流通小売企業:PCI DSS v4.0にて、2025年3月までにDMARCに対応することが求められています。
  • 政府/自治体/独立行政法人:令和5年度版の政府統一基準の改訂にて、2024年7月までに対応することが求められています。
  • 製造/化学/物流企業:大手半導体メーカーより、取引先条件として2023年度中に対応することが求められています。

 

プルーフポイントがご支援できること

プルーフポイントは、電子メール認証の業界リーダーです。フォーチュン1000社のうち、No.1のサポート実績があり、DMARCでプルーフポイントを利用している企業は、実績2~6位の競合他社5社の合計よりも多くなっています。  

プルーフポイントは無償のアセスメントを提供しており、それをおこなうことによりメール送信環境の現状を可視化し、DMARC認証のためのロードマップを引くことができます。送信メール環境が少ない場合は、自社の力のみで何とかできるかもしれませんが、企業の規模によっては、効果的かつ効率的にやるべきことを支援するためのツールと、経験ある専門家によるサービスが必要になるでしょう。

Proofpoint EFD (Email Fraud Defenseソリューションでは、経験豊富なコンサルタントがDMARCの各ステップを通じてお客様をサポートし、新しい要件を満たすだけでなく、ブランド全体の評判を保護します。Proofpoint EFD には、DMARC管理を簡素化し、DMARC実装を効率化するためにホステッドSPF とホステッドDKIM サービスも含まれています。 

SaaSアプリケーションやオンプレのシステム、あるいはサードパーティのパートナーから送信されるトランザクションメールをDMARC認証させる場合、クラウド型メールリレーサービスであるProofpoint SER (Secure Email Relay)が役に立つでしょう。Proofpoint SERは、これらのメッセージがすべてDKIM署名されていることを保証するだけでなく、DMARCアライメントを飛躍的に早く実現するのに役立ちます。

まずは、DMARC 作成ウィザードで貴社のドメインのDMARCとSPFのステータスをご確認ください。その後、Proofpoint EFD (Dmail Fraud Defense)と Proofpoint SER (Secure Email Relay) が、お客様のメッセージの配信率の向上にどのようにご支援できるかについては、ぜひ当社までお問い合わせください。  

またDMARCについて学ぶにはこちらのページに網羅した情報を掲載していますので、参考になさってください。

 

プルーフポイントは、本件を受けて、緊急ウェビナーを開催します。

B2C企業必見!1日5000通以上のメールを送る企業に影響する
Google/Yahooのメール要件変更に伴うDMARC対応について

日時:2023年11月22日(水) 14:00(30分)
開催方法:Zoom ウェビナー
> こちらからお申し込みください

*更新を未適用のブラウザではリンクが正常に動作しない場合があります。更新を適用後、再度お試しいただけますようお願いいたします。