Gmailユーザへメールが届かなくなる!? メール業界を揺るがす、2024年問題を解説
2023年10月に、Googleから新たなメール送信者の要件が発表されました。2024年2月以降、新要件に準拠しなければGmail宛に正常にメールが届かなくなる恐れがあります。この問題にメール配信サービスを提供する事業者や、メールを配信する事業者はどのように対応するべきか。今後メール業界はどうなっていくのか。アララ株式会社でメール配信事業を担当する執行役員ソリューション事業管掌の門倉紀明さんと、メールリレーサービスのプロダクトマネージャー菱沼憲司が語りました。
1. メール送信者のガイドラインのここが変わった!
菱沼 今日は10月に発表されたGoogleの新たな送信者ガイドラインについて、メール配信を行うユーザと、メール配信機能を提供しているサービス事業者は、それぞれどのような対応をしなくてはならないのか、メルマガ配信サービスを提供されているアララさんと色々お話しできればと思っています。よろしくお願いします。
まずは今回のGmailのスパムメール対策強化について、改めて内容を確認したいと思います。10月にGoogleのメール送信者ガイドラインが更新され、2024 年2月1日以降Gmail アカウントにメールを送信する送信者に対し新しい要件が加えられました。すべての送信者に適用される要件に加え、Gmail宛に1日5000通以上送る送信者にはさらに厳しい要件が課せられています。
これらの要件を満たさないと、「拒否されるか、受信者の迷惑メールボックスに配信される可能性があります」とGoogleはアナウンスしていますね。
門倉 これまでのGmailの対応を見ている限り、順次じわじわと適用…となるのかなと思っています。現時点で既に送信ドメイン認証を理由にエラーとなっているメールもあるので、一部についてはもう反映されていると思いますね。2月1日以降絶対届かなくなるというよりは、「突然届かなくなっても文句は言わないでくださいね 」ということかと。
まずは今回のGmailのスパムメール対策強化について、改めて内容を確認したいと思います。10月にGoogleのメール送信者ガイドラインが更新され、2024 年2月1日以降Gmail アカウントにメールを送信する送信者に対し新しい要件が加えられました。すべての送信者に適用される要件に加え、Gmail宛に1日5000通以上送る送信者にはさらに厳しい要件が課せられています。
これらの要件を満たさないと、「拒否されるか、受信者の迷惑メールボックスに配信される可能性があります」とGoogleはアナウンスしていますね。
門倉 これまでのGmailの対応を見ている限り、順次じわじわと適用…となるのかなと思っています。現時点で既に送信ドメイン認証を理由にエラーとなっているメールもあるので、一部についてはもう反映されていると思いますね。2月1日以降絶対届かなくなるというよりは、「突然届かなくなっても文句は言わないでくださいね 」ということかと。
菱沼 今回追加された要件は細かく10個ぐらいありますが、整理すると以下の3点にまとめられると思います。
①送信メールを認証すること
すべての送信者はSPFまたはDKIMのいずれか、1日5000通以上配信する送信者はSPF・DKIM・DMARC全ての認証が必要になります。
②未承諾のメールや受信者にとって不要なメールを送らないようにすること
迷惑メールとして報告される割合を0.1%未満に維持することや、登録解除したユーザに送り続けないことが求められます。
③受信者がメールの登録解除を容易にできるようにすること
メルマガなどのマーケティングメールの場合、メールにワンクリックで登録解除できる機能を実装する必要があります。
菱沼 Googleだけではなく、Yahoo!(米国)も同様のレギュレーションを設けると発表している他、今後マイクロソフトやAppleのiCloudも追随すると言われています。なりすましメール対策に本腰を入れていくということだと思うのですが、門倉さんは今回の新要件というのは想定していましたか?
門倉 Googleはここ数年、徐々に受信のレギュレーションを厳しくしているなというのは感じていたので、いずれDMARCについても必須になるだろうなと思っていました。ただ流石に急だなというのと、年末も近いタイミングで出してきて、年明けからよろしくお願いしますというのはちょっと意地悪ですよね(笑)。
菱沼 そうですね…(笑)ただ、今までもずっと受信側のセキュリティポリシーはどんどん強化されてきていて、今回の要件も多くは以前からそうすべきと言われていたことではあるので、前から気をつけていた人にとっては今更感もあるかもしれませんね。
門倉 今回の送信者要件の中で新しいのは、DMARCとワンクリックでの登録解除の部分になるでしょうね。日経225の企業のDMARC導入率は68%ぐらいとのことで、意外と進んでいるなと感じてしまいましたが、一般にはまだまだ導入が進んでいないと思います。メルマガ配信サービスの提供事業者としては、しっかりアナウンスしてユーザの皆さんの対応を後押ししていく必要があると考えています。
2. DMARCへの対応が必須の時代に
菱沼 門倉さんのおっしゃる通り、今回の送信者要件の中でもポイントとなる「DMARC」と「ワンクリックでの登録解除 」の対応についてもう少し掘り下げられればと思います。
まず1つ目のDMARCについてですね。これまでもGmailはSPFまたはDKIMに対応していないメールは届かないというアナウンスがされていました。ところが2024年2月以降、1日5000通以上配信する送信者はSPF・DKIM両方の認証に加えてDMARCの導入も必須となりました。
まず1つ目のDMARCについてですね。これまでもGmailはSPFまたはDKIMに対応していないメールは届かないというアナウンスがされていました。ところが2024年2月以降、1日5000通以上配信する送信者はSPF・DKIM両方の認証に加えてDMARCの導入も必須となりました。
門倉 背景としてはフィッシング詐欺やサイバー攻撃など、なりすましメールによる被害が非常に増えていて、現状のSPFやDKIMといった技術では止められなくなっているんですね。
SPFやDKIMは基本的にメールの送信元サーバーを認証するもので、メールに表示される送信元アドレスを認証しているわけではないんです。なので実際に犯罪者がSPFもDKIMもパスした状態でなりすましメールを送ることができてしまっている。それを防ぐためにDMARCがあるわけですが、その本筋を理解されていない人が多いのかなと言う印象です。
SPFやDKIMは基本的にメールの送信元サーバーを認証するもので、メールに表示される送信元アドレスを認証しているわけではないんです。なので実際に犯罪者がSPFもDKIMもパスした状態でなりすましメールを送ることができてしまっている。それを防ぐためにDMARCがあるわけですが、その本筋を理解されていない人が多いのかなと言う印象です。
菱沼 確かに「とりあえずDMARCをポリシー:noneで設定したので、これで大丈夫ですよね」という方が多いですが、結局、最終的にはポリシーをrejectまで上げていかないとダメなんですよね。国としても大手企業や金融機関にはポリシーをquarantineやrejectまで進めるよう推奨しています。
そのためにはDMARCを設定すると送られてくるレポートをしっかり確認する必要があるんですが、「レポート受け取らないとダメですか? 見るつもりないですけど……」というようなお客さまが圧倒的に多い。今回の要件としてはDMARCのポリシーはnoneで問題ないとされていますが、Gmailとしては膨大に送信されているなりすましメールの量を抑えたいはずで、今後はなりすましメールを隔離するquarantineやなりすましメールを配信せずに削除するrejectに対応しなさいという要件が必ず出てくると思います。
そのためにはDMARCを設定すると送られてくるレポートをしっかり確認する必要があるんですが、「レポート受け取らないとダメですか? 見るつもりないですけど……」というようなお客さまが圧倒的に多い。今回の要件としてはDMARCのポリシーはnoneで問題ないとされていますが、Gmailとしては膨大に送信されているなりすましメールの量を抑えたいはずで、今後はなりすましメールを隔離するquarantineやなりすましメールを配信せずに削除するrejectに対応しなさいという要件が必ず出てくると思います。
門倉 ワンクリック登録解除に関してはサービス提供事業者がその機能を搭載すれば解決できますが、DMARCはお客さま自身で対応していただく必要があります。ただ対応にはDNSの設定を行う必要があるので、メルマガを配信されている担当者だけでなく、情報システム担当の方やDNSを管理している方に対してしっかりと情報を発信するといったサポートをしていきたいと思っています。
ただ、世の中の動きを見ていると正直皆さんまだそこまで危機感を抱いているような感じはなくて、2月以降にGoogleが宣言したとおりメールを拒否するようになると、なんか急にメールが届かなくなったぞと、慌てて動き出すのかなと思っています。
ただ、世の中の動きを見ていると正直皆さんまだそこまで危機感を抱いているような感じはなくて、2月以降にGoogleが宣言したとおりメールを拒否するようになると、なんか急にメールが届かなくなったぞと、慌てて動き出すのかなと思っています。
菱沼 そうですよね。届かないメールが大量に出てくると思います。自分たちの部署は1日5000通以下しか送ってないから大丈夫と思っていても、他の部署でどれくらいのメールを配信しているかまでは把握していないですよね。あとは自分たちの会社のドメインでなりすましメールが送られていたらそれもカウントされてしまうので、5000通超えない想定で対策をしていなかったら制限の対象になってしまってメールが届かない…ということも考えられます。
門倉 そういう第三者のドメインになりすましてどんどんメールを送ることで、そのドメインでのメールを届かなくさせるサイバー攻撃とかも出てきちゃいそうですよね。
菱沼 実際それに近い被害は既にあって、自社ドメインになりすまされて大量にスパムを送信されていて、ドメインのレピュテーション(信頼性の評価)がすごく悪くなってしまっていたという事例がありました。そういった被害を防ぐという意味でも、DMARCを導入してポリシーをquarantineやrejectにすることで「自社ドメインになりすまされない」方向に大きく舵を切っていかないと、今後メールがまともに配信できない状況になるかもしれません。
菱沼 実際それに近い被害は既にあって、自社ドメインになりすまされて大量にスパムを送信されていて、ドメインのレピュテーション(信頼性の評価)がすごく悪くなってしまっていたという事例がありました。そういった被害を防ぐという意味でも、DMARCを導入してポリシーをquarantineやrejectにすることで「自社ドメインになりすまされない」方向に大きく舵を切っていかないと、今後メールがまともに配信できない状況になるかもしれません。
3. 企業全体でのメール配信環境の管理が重要に
菱沼 2つ目のワンクリックで登録解除できるようにする件についてですが、これはメルマガ配信サービスを提供している門倉さんの方が詳しいと思うのでお伺いしてもいいでしょうか。
門倉 これまでは登録解除の申請用URLを本文の最後に記載するのが一般的だったのですが、2月以降はメールのヘッダに登録解除のための情報を入れておくとメールの送信者名の隣に「メーリングリストの登録解除」というリンクが表示されるようになります。これでメール本文内の登録解除用URLを探さなくても、Gmailの画面上で登録解除ができます。今までよくあったように、登録解除用URLからWebサイトに飛んで、そこで操作をしてようやく登録解除となるのではダメで、本当にワンクリックで登録解除が完了しないといけないんですね。
門倉 これまでは登録解除の申請用URLを本文の最後に記載するのが一般的だったのですが、2月以降はメールのヘッダに登録解除のための情報を入れておくとメールの送信者名の隣に「メーリングリストの登録解除」というリンクが表示されるようになります。これでメール本文内の登録解除用URLを探さなくても、Gmailの画面上で登録解除ができます。今までよくあったように、登録解除用URLからWebサイトに飛んで、そこで操作をしてようやく登録解除となるのではダメで、本当にワンクリックで登録解除が完了しないといけないんですね。
菱沼 そしてこれが厳しいのは登録解除した人に対しては2日以内にメールが届かないようにしないといけないという条件が付いているところですよね。
門倉 登録解除の申請が来たのに無視してメールを送り続けていると、ドメインのレピュテーションがどんどん下がってメールが一切送れなくなってしまいます。システムでちゃんと連携している事業者は問題ないと思いますが、実際には登録解除した方のアドレスをcsvデータで受け取りマスターデータと照らし合わせ、次のメルマガから配信を解除するというのを手作業でやっている会社がまだまだたくさんあります。これまでは次回メールマガジンを送る前のタイミングなどにチェックすればよかったのが2日以内となると、それこそ毎日チェックする必要があります。それだけでも大きな負担になりますよね。弊社のメルマガ配信サービスには登録解除をした方のメールアドレスを抽出して自動にメーリングリストから削除する機能を搭載しているので、安心してご利用いただけると考えていたのですが、先日Googleのメール送信者ガイドラインがアップデートされたことで状況が大きく変わりました。
門倉 登録解除の申請が来たのに無視してメールを送り続けていると、ドメインのレピュテーションがどんどん下がってメールが一切送れなくなってしまいます。システムでちゃんと連携している事業者は問題ないと思いますが、実際には登録解除した方のアドレスをcsvデータで受け取りマスターデータと照らし合わせ、次のメルマガから配信を解除するというのを手作業でやっている会社がまだまだたくさんあります。これまでは次回メールマガジンを送る前のタイミングなどにチェックすればよかったのが2日以内となると、それこそ毎日チェックする必要があります。それだけでも大きな負担になりますよね。弊社のメルマガ配信サービスには登録解除をした方のメールアドレスを抽出して自動にメーリングリストから削除する機能を搭載しているので、安心してご利用いただけると考えていたのですが、先日Googleのメール送信者ガイドラインがアップデートされたことで状況が大きく変わりました。
菱沼 最初の発表では5000通以上というメール制限の数を送信ドメインと送信IPのかけあわせで判断するとされていたのが、送信ドメイン単位で判断すると変わりましたよね。
門倉 そうなんです。メルマガ配信サービスの場合、会社全体で1つのサービスを契約するよりも、ECサイト運営部はAサービス、営業部はBサービスというように、部署ごとに契約していることが多いんです。例えばECサイトのメルマガ読者から登録解除申請が来たとします。Aサービスでは2日位内にメルマガリストからその人を外しました。でも、営業部が利用しているBサービスからはまだメルマガを送っているとなるとそのドメインのレピュテーションが下がり、結局はAサービスもBサービスも含めてすべてメールが届かなくなってしまいます。
こうなるとメルマガ配信サービスの提供事業者としては、うちのサービスは対応しましたでは済まなくなります。会社の規模が大きくなればなるほど、いろいろなメルマガ配信サービスやシステムからメールを配信しています。うちのメルマガ配信サービスで登録解除になったユーザについて他のシステムにも連携しようとしても、お客さまの社内のメール運用について把握していないサービス提供事業者だけではどうしようもありません。
Googleがドメインで判断するとなると、今まで社内でバラバラにやっていたメール運用を全社的に見直す必要が出てきます。全社的にメール配信を1つのサービスに集約してしまうとか、あるいは全部別ドメインで運用するようにするとか…、そういった対応を考える必要が出てくると思います。
菱沼 自分たちの会社がどのようにメールを配信しているか全体像をちゃんと把握しておかないとダメになるということですね。それはDMARCも同じですよね。2月末の段階では最初のステップであるnoneに対応すればいいとされています。でもこれは第一段階なので、繰り返しになりますが数年以内にはquarantine、最終的にはrejectまでどんどん求められる基準が上がっていくんじゃないかと思います。DMARCのポリシーのレベルを上げるためには、自社のメール配信の状況をすべて把握してSPFやDKIMが正しく認証されているかを管理、運用する必要が出てきます。
門倉 お客さまでまさにその事例がありました。ある日、お客さまからメルマガが一切届かなくなったという連絡が入ったので調査したところ、お客さまのドメインを管理している情報システムの担当者がDMARCを導入してrejectに設定していたんです。情報システムの担当者がメルマガ配信サービスのことを認識していなかったようで、情シスで認識しているIPアドレス以外から送るメールはすべてDMARCでrejectされていました。社内にすべてのメール配信を統括している人なり、部署がないと、実際にこういう事故が起きてしまうのかと驚きました。
門倉 そうなんです。メルマガ配信サービスの場合、会社全体で1つのサービスを契約するよりも、ECサイト運営部はAサービス、営業部はBサービスというように、部署ごとに契約していることが多いんです。例えばECサイトのメルマガ読者から登録解除申請が来たとします。Aサービスでは2日位内にメルマガリストからその人を外しました。でも、営業部が利用しているBサービスからはまだメルマガを送っているとなるとそのドメインのレピュテーションが下がり、結局はAサービスもBサービスも含めてすべてメールが届かなくなってしまいます。
こうなるとメルマガ配信サービスの提供事業者としては、うちのサービスは対応しましたでは済まなくなります。会社の規模が大きくなればなるほど、いろいろなメルマガ配信サービスやシステムからメールを配信しています。うちのメルマガ配信サービスで登録解除になったユーザについて他のシステムにも連携しようとしても、お客さまの社内のメール運用について把握していないサービス提供事業者だけではどうしようもありません。
Googleがドメインで判断するとなると、今まで社内でバラバラにやっていたメール運用を全社的に見直す必要が出てきます。全社的にメール配信を1つのサービスに集約してしまうとか、あるいは全部別ドメインで運用するようにするとか…、そういった対応を考える必要が出てくると思います。
菱沼 自分たちの会社がどのようにメールを配信しているか全体像をちゃんと把握しておかないとダメになるということですね。それはDMARCも同じですよね。2月末の段階では最初のステップであるnoneに対応すればいいとされています。でもこれは第一段階なので、繰り返しになりますが数年以内にはquarantine、最終的にはrejectまでどんどん求められる基準が上がっていくんじゃないかと思います。DMARCのポリシーのレベルを上げるためには、自社のメール配信の状況をすべて把握してSPFやDKIMが正しく認証されているかを管理、運用する必要が出てきます。
門倉 お客さまでまさにその事例がありました。ある日、お客さまからメルマガが一切届かなくなったという連絡が入ったので調査したところ、お客さまのドメインを管理している情報システムの担当者がDMARCを導入してrejectに設定していたんです。情報システムの担当者がメルマガ配信サービスのことを認識していなかったようで、情シスで認識しているIPアドレス以外から送るメールはすべてDMARCでrejectされていました。社内にすべてのメール配信を統括している人なり、部署がないと、実際にこういう事故が起きてしまうのかと驚きました。
3. 2024年以降メールを取り巻く環境は大きく変わる
菱沼 これまでメールというのはコストをかけずに運用できるツールだったと思うんです。だから社員の誰がどこからメールを送っているかという管理もしていないし、メールが届かなくてもそんなに深く考えてこなかった。ただ今後はそれではダメで、自分たちの送信環境をしっかり管理して、受け取りたいという人に対してだけに送るように管理運用をしていかなければならない。当然そこにはある程度コストがかかってきます。それでも対応していかないと今後、メールというツールが使えなくなるということですよね。
門倉 僕らが提供しているのはメルマガを作るサービスですが、メールのKPIを考えると、すべてのベースとなるのはまず受信されることなんです。その前提があった上で、読んでもらうためにどうしたらいいか、クリックされるには、コンバージョンしてもらうにはという話になります。もし10000通送っているメルマガが、実は半分しか届いていないとしたら、どんなに凝ったメールを送ってもその効果は半減してしまいますよね。いかに安心してメールを届けることができるサービスであるかが求められる時代になると思っていますので、今回の新要件をポジティブに考えてより良いサービスをお客さまに提供していきたいですね。
菱沼 我々としてもこれまでDKIMやDMARCの設定ができていかなったお客さまに対しての支援を進めていきたいと考えています。あと、今、急ピッチで開発しているのがDMARCレポートの可視化サービスです。結局、自分たちのドメインの状況を把握しなければDMARCをquarantine、rejectに上げていくことはできません。ところがDMARCレポートを自力で解析するのは非常に難しい。そこでこのサービスを活用してもらって、レポートを分析して分かりやすく可視化することで、DMARCへの対応を進めていくサポートができればと思っています。
門倉 僕たちも2月に向けて今大変なところですけれども、これからDMARCに対応しなくてはならないお客さまも本当に大変になると思います。DMARC対応に必要なDNSの変更を外部の業者に委託している会社も多いと思います。依頼して設定してもらったのをチェックして…となるとそれだけで1週間くらいかかってしまいます。そこで上手くいかずにやり直してとなると、どんどん時間が経っていく。2月までに対応を終えることを考えると、年明けすぐに動き出さないと間に合わないかもしれません。
菱沼 まずは2月までに向けて対応を進めていただくのが最優先ですが、今回の新要件に対応できたからいいやで終わってしまっては意味がありません。今後もレギュレーションはどんどん厳しくなり、恐らく近い将来DMARCのポリシーもrejectまで対応が求められるはずです。そのときに慌てないで済むように、社内のメール環境を整えたうえで、しっかりとDMARCのrejectに向けた対応を進めてほしいですね。
門倉 これまでなりすましをされる会社はどちらかというと被害者で、特に対処をする必要がありませんでした。それが自分たちの信用を守るために、自分たちの責任でなりすましメールを防がないといけない時代になってきた。2024年はそういう意味では、メールとって大きな転換点になるかもしれませんね。
門倉 僕らが提供しているのはメルマガを作るサービスですが、メールのKPIを考えると、すべてのベースとなるのはまず受信されることなんです。その前提があった上で、読んでもらうためにどうしたらいいか、クリックされるには、コンバージョンしてもらうにはという話になります。もし10000通送っているメルマガが、実は半分しか届いていないとしたら、どんなに凝ったメールを送ってもその効果は半減してしまいますよね。いかに安心してメールを届けることができるサービスであるかが求められる時代になると思っていますので、今回の新要件をポジティブに考えてより良いサービスをお客さまに提供していきたいですね。
菱沼 我々としてもこれまでDKIMやDMARCの設定ができていかなったお客さまに対しての支援を進めていきたいと考えています。あと、今、急ピッチで開発しているのがDMARCレポートの可視化サービスです。結局、自分たちのドメインの状況を把握しなければDMARCをquarantine、rejectに上げていくことはできません。ところがDMARCレポートを自力で解析するのは非常に難しい。そこでこのサービスを活用してもらって、レポートを分析して分かりやすく可視化することで、DMARCへの対応を進めていくサポートができればと思っています。
門倉 僕たちも2月に向けて今大変なところですけれども、これからDMARCに対応しなくてはならないお客さまも本当に大変になると思います。DMARC対応に必要なDNSの変更を外部の業者に委託している会社も多いと思います。依頼して設定してもらったのをチェックして…となるとそれだけで1週間くらいかかってしまいます。そこで上手くいかずにやり直してとなると、どんどん時間が経っていく。2月までに対応を終えることを考えると、年明けすぐに動き出さないと間に合わないかもしれません。
菱沼 まずは2月までに向けて対応を進めていただくのが最優先ですが、今回の新要件に対応できたからいいやで終わってしまっては意味がありません。今後もレギュレーションはどんどん厳しくなり、恐らく近い将来DMARCのポリシーもrejectまで対応が求められるはずです。そのときに慌てないで済むように、社内のメール環境を整えたうえで、しっかりとDMARCのrejectに向けた対応を進めてほしいですね。
門倉 これまでなりすましをされる会社はどちらかというと被害者で、特に対処をする必要がありませんでした。それが自分たちの信用を守るために、自分たちの責任でなりすましメールを防がないといけない時代になってきた。2024年はそういう意味では、メールとって大きな転換点になるかもしれませんね。
アララ株式会社
執行役員
ソリューション事業管掌
門倉紀明さん
toB向けECサイトを運営する企業で10年以上カスタマーサポート業務に従事。2018年4月アララ株式会社に入社。入社後は営業としてメール配信を主軸とするメッセージサービスを担当。
2021年にソリューション事業部 事業部長に就任し、現在は、メッセージサービス以外にもデータセキュリティサービスやARサービスなど幅広い事業に携わる。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。
