Gmailユーザへメールが届かなくなる!? メール業界を揺るがす、2024年問題を解説
2023年10月に、Googleから新たなメール送信者の要件が発表されました。2024年2月以降、新要件に準拠しなければGmail宛に正常にメールが届かなくなる恐れがあります。この問題にメール配信サービスを提供する事業者や、メールを配信する事業者はどのように対応するべきか。今後メール業界はどうなっていくのか。アララ株式会社でメール配信事業を担当する執行役員ソリューション事業管掌の門倉紀明さんと、メールリレーサービスのプロダクトマネージャー菱沼憲司が語りました。
1. メール送信者のガイドラインのここが変わった!
まずは今回のGmailのスパムメール対策強化について、改めて内容を確認したいと思います。10月にGoogleのメール送信者ガイドラインが更新され、2024 年2月1日以降Gmail アカウントにメールを送信する送信者に対し新しい要件が加えられました。すべての送信者に適用される要件に加え、Gmail宛に1日5000通以上送る送信者にはさらに厳しい要件が課せられています。
これらの要件を満たさないと、「拒否されるか、受信者の迷惑メールボックスに配信される可能性があります」とGoogleはアナウンスしていますね。
門倉 これまでのGmailの対応を見ている限り、順次じわじわと適用…となるのかなと思っています。現時点で既に送信ドメイン認証を理由にエラーとなっているメールもあるので、一部についてはもう反映されていると思いますね。2月1日以降絶対届かなくなるというよりは、「突然届かなくなっても文句は言わないでくださいね 」ということかと。
①送信メールを認証すること
すべての送信者はSPFまたはDKIMのいずれか、1日5000通以上配信する送信者はSPF・DKIM・DMARC全ての認証が必要になります。
②未承諾のメールや受信者にとって不要なメールを送らないようにすること
迷惑メールとして報告される割合を0.1%未満に維持することや、登録解除したユーザに送り続けないことが求められます。
③受信者がメールの登録解除を容易にできるようにすること
メルマガなどのマーケティングメールの場合、メールにワンクリックで登録解除できる機能を実装する必要があります。
2. DMARCへの対応が必須の時代に
まず1つ目のDMARCについてですね。これまでもGmailはSPFまたはDKIMに対応していないメールは届かないというアナウンスがされていました。ところが2024年2月以降、1日5000通以上配信する送信者はSPF・DKIM両方の認証に加えてDMARCの導入も必須となりました。
SPFやDKIMは基本的にメールの送信元サーバーを認証するもので、メールに表示される送信元アドレスを認証しているわけではないんです。なので実際に犯罪者がSPFもDKIMもパスした状態でなりすましメールを送ることができてしまっている。それを防ぐためにDMARCがあるわけですが、その本筋を理解されていない人が多いのかなと言う印象です。
そのためにはDMARCを設定すると送られてくるレポートをしっかり確認する必要があるんですが、「レポート受け取らないとダメですか? 見るつもりないですけど……」というようなお客さまが圧倒的に多い。今回の要件としてはDMARCのポリシーはnoneで問題ないとされていますが、Gmailとしては膨大に送信されているなりすましメールの量を抑えたいはずで、今後はなりすましメールを隔離するquarantineやなりすましメールを配信せずに削除するrejectに対応しなさいという要件が必ず出てくると思います。
ただ、世の中の動きを見ていると正直皆さんまだそこまで危機感を抱いているような感じはなくて、2月以降にGoogleが宣言したとおりメールを拒否するようになると、なんか急にメールが届かなくなったぞと、慌てて動き出すのかなと思っています。
菱沼 実際それに近い被害は既にあって、自社ドメインになりすまされて大量にスパムを送信されていて、ドメインのレピュテーション(信頼性の評価)がすごく悪くなってしまっていたという事例がありました。そういった被害を防ぐという意味でも、DMARCを導入してポリシーをquarantineやrejectにすることで「自社ドメインになりすまされない」方向に大きく舵を切っていかないと、今後メールがまともに配信できない状況になるかもしれません。
3. 企業全体でのメール配信環境の管理が重要に
門倉 これまでは登録解除の申請用URLを本文の最後に記載するのが一般的だったのですが、2月以降はメールのヘッダに登録解除のための情報を入れておくとメールの送信者名の隣に「メーリングリストの登録解除」というリンクが表示されるようになります。これでメール本文内の登録解除用URLを探さなくても、Gmailの画面上で登録解除ができます。今までよくあったように、登録解除用URLからWebサイトに飛んで、そこで操作をしてようやく登録解除となるのではダメで、本当にワンクリックで登録解除が完了しないといけないんですね。
門倉 登録解除の申請が来たのに無視してメールを送り続けていると、ドメインのレピュテーションがどんどん下がってメールが一切送れなくなってしまいます。システムでちゃんと連携している事業者は問題ないと思いますが、実際には登録解除した方のアドレスをcsvデータで受け取りマスターデータと照らし合わせ、次のメルマガから配信を解除するというのを手作業でやっている会社がまだまだたくさんあります。これまでは次回メールマガジンを送る前のタイミングなどにチェックすればよかったのが2日以内となると、それこそ毎日チェックする必要があります。それだけでも大きな負担になりますよね。弊社のメルマガ配信サービスには登録解除をした方のメールアドレスを抽出して自動にメーリングリストから削除する機能を搭載しているので、安心してご利用いただけると考えていたのですが、先日Googleのメール送信者ガイドラインがアップデートされたことで状況が大きく変わりました。
門倉 そうなんです。メルマガ配信サービスの場合、会社全体で1つのサービスを契約するよりも、ECサイト運営部はAサービス、営業部はBサービスというように、部署ごとに契約していることが多いんです。例えばECサイトのメルマガ読者から登録解除申請が来たとします。Aサービスでは2日位内にメルマガリストからその人を外しました。でも、営業部が利用しているBサービスからはまだメルマガを送っているとなるとそのドメインのレピュテーションが下がり、結局はAサービスもBサービスも含めてすべてメールが届かなくなってしまいます。
こうなるとメルマガ配信サービスの提供事業者としては、うちのサービスは対応しましたでは済まなくなります。会社の規模が大きくなればなるほど、いろいろなメルマガ配信サービスやシステムからメールを配信しています。うちのメルマガ配信サービスで登録解除になったユーザについて他のシステムにも連携しようとしても、お客さまの社内のメール運用について把握していないサービス提供事業者だけではどうしようもありません。
Googleがドメインで判断するとなると、今まで社内でバラバラにやっていたメール運用を全社的に見直す必要が出てきます。全社的にメール配信を1つのサービスに集約してしまうとか、あるいは全部別ドメインで運用するようにするとか…、そういった対応を考える必要が出てくると思います。
菱沼 自分たちの会社がどのようにメールを配信しているか全体像をちゃんと把握しておかないとダメになるということですね。それはDMARCも同じですよね。2月末の段階では最初のステップであるnoneに対応すればいいとされています。でもこれは第一段階なので、繰り返しになりますが数年以内にはquarantine、最終的にはrejectまでどんどん求められる基準が上がっていくんじゃないかと思います。DMARCのポリシーのレベルを上げるためには、自社のメール配信の状況をすべて把握してSPFやDKIMが正しく認証されているかを管理、運用する必要が出てきます。
門倉 お客さまでまさにその事例がありました。ある日、お客さまからメルマガが一切届かなくなったという連絡が入ったので調査したところ、お客さまのドメインを管理している情報システムの担当者がDMARCを導入してrejectに設定していたんです。情報システムの担当者がメルマガ配信サービスのことを認識していなかったようで、情シスで認識しているIPアドレス以外から送るメールはすべてDMARCでrejectされていました。社内にすべてのメール配信を統括している人なり、部署がないと、実際にこういう事故が起きてしまうのかと驚きました。
3. 2024年以降メールを取り巻く環境は大きく変わる
門倉 僕らが提供しているのはメルマガを作るサービスですが、メールのKPIを考えると、すべてのベースとなるのはまず受信されることなんです。その前提があった上で、読んでもらうためにどうしたらいいか、クリックされるには、コンバージョンしてもらうにはという話になります。もし10000通送っているメルマガが、実は半分しか届いていないとしたら、どんなに凝ったメールを送ってもその効果は半減してしまいますよね。いかに安心してメールを届けることができるサービスであるかが求められる時代になると思っていますので、今回の新要件をポジティブに考えてより良いサービスをお客さまに提供していきたいですね。
菱沼 我々としてもこれまでDKIMやDMARCの設定ができていかなったお客さまに対しての支援を進めていきたいと考えています。あと、今、急ピッチで開発しているのがDMARCレポートの可視化サービスです。結局、自分たちのドメインの状況を把握しなければDMARCをquarantine、rejectに上げていくことはできません。ところがDMARCレポートを自力で解析するのは非常に難しい。そこでこのサービスを活用してもらって、レポートを分析して分かりやすく可視化することで、DMARCへの対応を進めていくサポートができればと思っています。
門倉 僕たちも2月に向けて今大変なところですけれども、これからDMARCに対応しなくてはならないお客さまも本当に大変になると思います。DMARC対応に必要なDNSの変更を外部の業者に委託している会社も多いと思います。依頼して設定してもらったのをチェックして…となるとそれだけで1週間くらいかかってしまいます。そこで上手くいかずにやり直してとなると、どんどん時間が経っていく。2月までに対応を終えることを考えると、年明けすぐに動き出さないと間に合わないかもしれません。
菱沼 まずは2月までに向けて対応を進めていただくのが最優先ですが、今回の新要件に対応できたからいいやで終わってしまっては意味がありません。今後もレギュレーションはどんどん厳しくなり、恐らく近い将来DMARCのポリシーもrejectまで対応が求められるはずです。そのときに慌てないで済むように、社内のメール環境を整えたうえで、しっかりとDMARCのrejectに向けた対応を進めてほしいですね。
門倉 これまでなりすましをされる会社はどちらかというと被害者で、特に対処をする必要がありませんでした。それが自分たちの信用を守るために、自分たちの責任でなりすましメールを防がないといけない時代になってきた。2024年はそういう意味では、メールとって大きな転換点になるかもしれませんね。
アララ株式会社
執行役員
ソリューション事業管掌
門倉紀明さん
toB向けECサイトを運営する企業で10年以上カスタマーサポート業務に従事。2018年4月アララ株式会社に入社。入社後は営業としてメール配信を主軸とするメッセージサービスを担当。
2021年にソリューション事業部 事業部長に就任し、現在は、メッセージサービス以外にもデータセキュリティサービスやARサービスなど幅広い事業に携わる。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。