メールサービスのセキュリティ強化への対応について

電子メールを利用する際に最も困ることといえば、毎日大量に届く「迷惑メール（なりすまし、フィッシング、スパムなど）」の処理対応だと思います。
メールを受信するエンドユーザー側では、セキュリティソフトの導入などで迷惑メール対策を実施していると思いますが、メールサービスの提供者（運営企業）も、当然迷惑メールへの対策強化を進めています。

---

●Gmailによる迷惑メール対策強化の影響

迷惑メールへの対策強化として、Google社が2023年10月に新たな「メール送信者のガイドライン」を公表しました。そのガイドラインに規定される送信者の要件を満たさないメールは、Gmailに届かなくなる可能性があるということで、メール送信事業者は対応に追われています（2024年2月からガイドラインの適用開始、4月よりガイドラインの要件を満たさないメールの受信拒否が始まるとされています）。
Gmailの新たなガイドラインによると、個人用Gmailアカウント（@gmail.comまたは@googlemail.com）宛てにメールを送信する場合、送信事業者（企業）は次のような要件を適用することが求められます（google「送信者のガイドライン」より抜粋。情報は2024.03.10時点のものであるため、最新の情報はGoogleの公開する情報をご確認ください）。

送信者のドメイン（@マーク以降の企業ドメインなど）にSPF※またはDKIM※メール認証を設定すること（1日あたり5,000件以上gmail宛てに送信する場合はSPFとDKIM両方とも設定すること）

メール送信にTLS接続※を使用すること

GmailのFrom:ヘッダーのなりすまし※をしないこと（実際には別のメールアドレスから送信するのに「@gmail.com」から送信しているように見せかける設定をしないこと）

1日あたり5,000件以上送信する場合、送信ドメインにDMARC※認証を設定すること、およびメール本文に登録解除のリンクをわかりやすく表示すること

【※用語の説明】

• SPF…メールの送信元ドメイン（@マーク以降の文字列で企業名.co.jpなど）が「なりすまし」ではないか検査する技術。DKIMやDMARCよりも容易に設定可能。
• DKIM…電子署名方式による認証技術。送信メールに電子署名を付加し、受信メールサーバーで「なりすましメール」ではないか、正当性を判定する（SPFより有効）。
• DMARC…SPFやDKIMで認証が失敗した場合のメールをどう取り扱うかなどを指定する仕組みで、SPFやDKIMより設定は難しいが、高精度でなりすましメールを識別できる。
• TLS接続…電子メールの通信を暗号化する技術で、インターネット上で送受信されるメールへの不正アクセス（情報漏えい）を防止できる。
• From:ヘッダーのなりすまし…なりすましメールは、ヘッダー情報を書き換え（なりすまし）、実際の送信アドレスではなく「見せかけの送信アドレス（実在企業や取引先の正規アドレス）」から送信されているかのように偽装しています（ヘッダーの送信情報と実際の送信情報が異なっていてもメールが届いてしまうという特性を悪用しています）。

Googleの規定する要件が満たされない場合、「送信したメールが適切に配信されない」または「迷惑メールに分類される」可能性があり、メーリングリストなどを使ってDMを送信する場合や、イベント参加者に一斉メールを送信する場合に、正しくメールが届かなくなるおそれがあります。また、別のメールアドレスに届くメールをGmailに転送して運用している場合に、「なりすまし」と判断されて正しくGmailに転送されないこともあるようです。

このようなセキュリティ対策強化は現時点ではGoogle（Gmail）だけですが、多くのメールサービスが同様の強化を適用していく可能性は十分に考えられます。そのため、Gmailに送信しなければいい、というわけには行きません。

●送信事業者が行うことは？

送信者側への対策強化要求といっても、実際にメール送信を行うエンドユーザーができることはほぼありませんが、メールの管理者は自社の利用するサービスやサーバーについて、適合状況を確認するなど対応が必要になります。

具体的には次のような対応が必要になりそうです。

• 自社が利用しているメールサービスまたはメールサーバーが既にSPF、DKIM、DMARC、TLC接続に対応している場合、自社のドメインに認証等を適用させる（設定変更や追加のサービス加入が必要な場合があります）
• SPF、DKIM、DMARC、TLC接続に対応予定または、未対応という場合、対応するのを待つか（その場合いつごろ対応するのか、対応のための申請方法や追加コストの有無などの情報の収集）、対応可能な別のサービスに移行するのかの決定
• ダイレクトメールを一括で送信する場合、メール本文中にワンクリックで配信停止を実行できるバナーなどを表示させるよう対応する（１日5,000件以上DMを送信する場合）

主要なメールサービスやメール用のレンタルサーバーなどでは、SPF認証、TLS接続は標準機能などで適用されている場合もありますが、念のため自社で利用中のサービス提供者の情報や契約内容をご確認ください。

●迷惑メール対策は継続、対策強化の弊害にも注意が必要

このような強化策をメールサービス提供者が実施してくれるからといって、迷惑メールそのものがなくなるわけではないですし、迷惑メールが完全に届かなくなる（または完璧に迷惑メールに振り分けられる）ということにはならないだろうと思われます。

従来通り「メールの本当の送信アドレス（送信者名ではなく、実際のメールアドレス）を確認する」「少しでも不審な（身に覚えのない相手からの）メールのリンクや添付ファイルは開かない」といった基本的な対策の継続は必須です。

また、セキュリティ強化の弊害として、「正しい相手からのメールであっても迷惑メールに分類されてしまう（または自分が送信したメールが相手側で迷惑メールに分類されてしまう）」という事象が、今まで以上に発生する可能性もあります。

電子メールは送信しさえすれば、必ず相手に届くと信じて疑わない人もいますが、通信経路の途中で何らかの不具合により届かない、または何らかの理由から迷惑メールに分類されてしまうこともある、と認識し、重要なメールであれば相手に電話などで確認するなどのアナログな対策も必要かもしれません。