DMARC導入後、約半年でポリシー強化を実現。 DMARCの運用を効率的に進める秘訣を聞きました
送信メールの信頼性を高め、メールを確実に届けるために今や必須となっているDMARC。DMARCの導入・運用をスタートしてから半年という短い期間で、ポリシーの引き上げを実現できた株式会社C&Pさま。これまでどのようにDMARCと向き合ってきたのか? ベアメールのプロダクトマネージャー菱沼憲司と、ベアメールの導入・運用をサポートする竹本宏美が、C&PでDMARC運用を担当する筒井寛貴さんに話を聞きました。
1. DMARC導入のきっかけはGmailへの不達トラブル
菱沼 C&Pさまには、1年ほど前からベアメールの「迷惑メールスコアリング」と「プレミアムサポート」をご利用いただき、一緒にDMARCの導入・運用を進めてきました。
まず、御社の業務上メールをどのように活用されているのか、そしてDMARCの導入に至った背景について教えていただけますか。
まず、御社の業務上メールをどのように活用されているのか、そしてDMARCの導入に至った背景について教えていただけますか。
筒井 当社は主にクライアントの売上向上を目的として、Webサイトの制作・管理などを中心に、マーケティング活動全般を支援しています。その一環としてメールマーケティングについても、メール配信システムの構築から到達率のチェックまで、トータルでサポートをしています。メールはエンドユーザーへの情報発信の中心であり、メルマガ配信や問い合わせ対応などに利用されているため、メールが届かないと大きなトラブルとなってしまいます。マーケティング活動の心臓と言っても良いぐらいですね。
しかし、実はGmail宛にメールが届かないトラブルが頻繁に発生していたんです。そこでメールの配信環境を改善しようと、ベアメールに問い合わせたのがきっかけでした。
しかし、実はGmail宛にメールが届かないトラブルが頻繁に発生していたんです。そこでメールの配信環境を改善しようと、ベアメールに問い合わせたのがきっかけでした。
竹本 そうでしたね。最初からDMARCの導入ありきだったのではなく、メールが届かない原因を解消するために、まずは現状の調査をしてみませんかというご提案をさせていただいたんです。
迷惑メールスコアリングにテストメールを送っていただくと、そのメールが不達となる問題点がないか確認することができます。トライアルで診断をしたところ、色々と課題が見つかったので、その解消に向けて一緒に取り組ませていただくことになりました。
迷惑メールスコアリングにテストメールを送っていただくと、そのメールが不達となる問題点がないか確認することができます。トライアルで診断をしたところ、色々と課題が見つかったので、その解消に向けて一緒に取り組ませていただくことになりました。
竹本 Gmail宛の配信が課題であったことに加え、丁度Googleの「メール送信者のガイドライン」の改定が迫っているタイミングでした。ガイドラインによれば1日5,000通以上Gmail宛に配信する場合はDMARCの導入が必須だということで、ご対応いただいたと記憶しています。ちなみに、筒井さまはDMARCについては以前からご存じでしたか?
筒井 正直なところ、まったく知りませんでした。Gmailの送信者ガイドラインで初めてDMARCという言葉を知ったくらいで、DMARCについてはその存在も知りませんでした。
しかし当社の場合、多いときで1日に数万通のメールを送信するので、これは絶対に対応しなければいけないと危機感を覚えましたね。エンドユーザの約40%がGmailを利用しているということもあり、Gmailにメールが届かないことは何としても防ぎたかったんです。
しかし当社の場合、多いときで1日に数万通のメールを送信するので、これは絶対に対応しなければいけないと危機感を覚えましたね。エンドユーザの約40%がGmailを利用しているということもあり、Gmailにメールが届かないことは何としても防ぎたかったんです。
菱沼 我々がここ数年行ってきた調査でも、メール利用者のGmail利用率は50〜60%を占めています。Gmail宛に確実にメールを届けるためにも、DMARCへの対応は今や必須ですよね。
竹本 最近「来年度の予算にDMARC対策を入れたいので、情報を集めています」というお問い合わせをいただくことも多くなり、ようやく日本でもDMARCに本腰を入れようというムードを感じています。
その一方で、DMARCの必要性を説明してもなかなか理解してもらえないことも多いです。DMARCを導入してみて、C&Pさまが感じられた効果があれば教えていただけますか?
その一方で、DMARCの必要性を説明してもなかなか理解してもらえないことも多いです。DMARCを導入してみて、C&Pさまが感じられた効果があれば教えていただけますか?
筒井 1番大きいのは、何よりGmailへ送ったメールが届くようになったことですね。迷惑メールスコアリングを活用して地道に改善を進めてきたこともありますが、DMARCを導入した頃からGmail宛の配信エラーがグッと減りました。
GoogleのPostmaster Toolsで検証すると、以前は配信エラーの項目が90%と高い水準で推移していたサイトがあったのですが、DMARCの導入以降はすべてのサイトが10%以下で推移しています。ドメインレピュテーションについても、これまでは常に一番下の「不良」だったのですが、今は「低」〜「中」ぐらいまで上がりました。
メールの送信環境を正しく整えていけばちゃんと成果が出ることを実感したので、それがDMARC運用についても大きなモチベーションになっています。もうGmailに届かなかった時代に戻るのは絶対に嫌ですね(笑)。
GoogleのPostmaster Toolsで検証すると、以前は配信エラーの項目が90%と高い水準で推移していたサイトがあったのですが、DMARCの導入以降はすべてのサイトが10%以下で推移しています。ドメインレピュテーションについても、これまでは常に一番下の「不良」だったのですが、今は「低」〜「中」ぐらいまで上がりました。
メールの送信環境を正しく整えていけばちゃんと成果が出ることを実感したので、それがDMARC運用についても大きなモチベーションになっています。もうGmailに届かなかった時代に戻るのは絶対に嫌ですね(笑)。
2. DMARC運用で直面した課題と、ツールの活用方法
菱沼 それでは、C&PさまがDMARCの運用にどのように取り組まれてきたのか、具体的にお聞きしていきたいと思います。DMARCを導入して、まずどういった課題がありましたか?
筒井 最初の頃は、SPFやDKIMがしっかり整備できていない環境もあったので、まずはその対応にてこずりましたね。複数のメルマガ配信スタンドやメールサーバを利用しているので、どこが対応できていて、どこが対応できていないのか、現状把握からする必要がありました。ですが、それもDMARCレポートを可視化することで明らかにできたので良かったですね。
菱沼 DMARCの運用において、メールがどこから送信されているのか把握することは非常に重要ですね。認証エラーが発生していても、それがどの環境かわからなければ対応しようがありませんから。「送信元IP管理」の機能はお使いいただいていますか?
筒井 もちろんです。送信元IP管理は、複数環境からメールを配信している企業にとっては必須の機能だと思います。自分たちが把握しているIPアドレスやネットワークをタグ付けして管理することができるので、エラーが発生しているのが自社の環境なのか、不明な環境なのかパッと見て分かるようになりますし、優先度の判断に非常に役立っています。
タグ付けの際に、ネットワークを登録するときのCIDR表記がちょっと難しくて困ったのですが、それも資料を作って解説してくださったので助かりました。
タグ付けの際に、ネットワークを登録するときのCIDR表記がちょっと難しくて困ったのですが、それも資料を作って解説してくださったので助かりました。
菱沼 迷惑メールスコアリングのDMARC分析機能はどのように活用されていますか?
筒井 「エラーパターン分析」 は、エラー原因の確認に活用しています。DMARCはすごく複雑なものというイメージがありましたが、実は認証がNGになるパターンは4つしかないんだと教えていただきました。迷惑メールスコアリングのエラーパターン分析では、DMARCの認証エラーになっているメールを4つのパターンに分類してくれることに加えて、それぞれの認証エラーの原因や修正方法まで確認できるのも助かります。
竹本 DMARCを導入したばかりで、どこから手をつけたらいいのかわからないというお客さまでも、実は4つのパターンしかないんだと思えばとっつきやすくなるので、私たちサポートも最初にご案内させていただくことが多いです。例えば、まずは数が多いエラーパターンの環境から解決しようとか、指針を決めやすくなるので、すごく便利ですよね。
C&PさまはDMARCへの意識がすごく高くて、一部のドメインはポリシーを「none」から「quarantine(隔離)」へ引き上げる段階まで来ています。これだけ熱心に取り組んでいただいて、私たちとしても非常にサポートのしがいがあります。
C&PさまはDMARCへの意識がすごく高くて、一部のドメインはポリシーを「none」から「quarantine(隔離)」へ引き上げる段階まで来ています。これだけ熱心に取り組んでいただいて、私たちとしても非常にサポートのしがいがあります。
菱沼 もうDMARCポリシーを引き上げるところまで来ているというのは、日本ではかなり進んでいる方だと言えると思います。DMARCの導入自体はGmailガイドラインをきっかけに進みましたが、ポリシーはnoneのままの企業が多いというのが現状です。
元々DMARCは、フィッシング詐欺の入口となる「なりすましメール」をなくすというのが目的です。ポリシーが none のままでは実質的には何もしていないのと同じで、なりすましメールの送信を防止するという本来の目的が達成できません。おそらく今後、Gmailガイドラインなどでも quarantine や reject などにポリシーを強化することが求められるようになると考えられます。
元々DMARCは、フィッシング詐欺の入口となる「なりすましメール」をなくすというのが目的です。ポリシーが none のままでは実質的には何もしていないのと同じで、なりすましメールの送信を防止するという本来の目的が達成できません。おそらく今後、Gmailガイドラインなどでも quarantine や reject などにポリシーを強化することが求められるようになると考えられます。
菱沼 しかし、none からポリシーを引き上げるためには、必要なメールが誤って隔離されてしまわないように、自社の正規メールがすべて認証に成功していることを確認しなくてはいけません。それなりに時間が必要になるので、いざとなって慌てないように、C&Pさまのように今からポリシーの引き上げを進めていただくのがベストです。
筒井 ちなみに、一度DMARCポリシーを引き上げたら、その後は特にすることはなくなるのでしょうか?
菱沼 ポリシーを上げたら終わりではなく、継続してウォッチしていく必要はあります。例えば、ポリシーが quarantine や reject に設定されている場合、新しく導入したサービスから送信したメールが認証に失敗してしまうと、ビジネスで必要なメールが届かなくなってしまいます。最近は部署やチームごとにSaaSを利用してメールを送るケースも増えているので、こうした事故を防ぐためにも社内で理解してもらう必要がありますね。
筒井 実際に当社でも別の事業部が、私たちの管理している環境以外からメールを配信するケースがあります。もし、quarantineに設定していたら隔離される可能性があるということですよね。
菱沼 その可能性はありますね。とはいえ人の目で常にチェックしていくのも大変なので、異常を検知してアラートを上げるようにすると良いと思います。迷惑メールスコアリングにも「アラート通知」の機能があり、運用負荷を軽減してDMARCを監視できるのでぜひ活用いただければと思います。
筒井 それは便利そうですね、助かります。
メールを確実に届けるために、今では迷惑メールスコアリングはなくてはならない存在になっています。メールをビジネスで活用している事業者にとって、絶対に必要なツールだと思いますね。
メールを確実に届けるために、今では迷惑メールスコアリングはなくてはならない存在になっています。メールをビジネスで活用している事業者にとって、絶対に必要なツールだと思いますね。
菱沼 まさか、こんなに褒められるとは(笑)。しっかりとツールを活用いただいているようで開発担当者として嬉しい限りです。
3. DMARCポリシー強化を推進する秘訣はチームにあり
菱沼 DMARCの導入からポリシーの強化まで、ここまで迅速に進められているのは、しっかりとチームを作って取り組んでいただいている賜物なのかなと思います。今チームは何名の体制で運用されているんでしたっけ?
筒井 DMARC専門というわけではないのですが、メール送信環境の整備をするチームは4人で運営しています。全員、別の業務もありますので、それぞれが割けるリソース量を考えて役割分担をしています。
竹本 C&Pさまは、とにかく対応のスピードが早くて驚いています。筒井さんのチームと私たちサポートチームで実施している毎月の定例会で、「来月までにこれを進めておいてください」とお願いをすると、翌月にはしっかり完了されているので、本当にスムーズに進んでいます。この対応のスピード感はどこから来ているんでしょうか?
筒井 そうですね……チームで分担することで、足並みを揃えて進行できている面はあるかもしれません。もしDMARCの推進担当が1名しかいなかったら、対応スピードはその人の匙加減で変わってしまいますが、チームだと対応が遅いメンバーがいると目立ってしまいますから(笑)。
あとDMARCを推進する上で、社内に説明して、理解してもらって、協力を得るのは結構大変です。メールは企業内でも、いろんな部署やチームが利用していると思います。DMARCの対応が必要だからといって、メールを使っているすべてのメンバーにSPFやDKIMといった技術的な内容を理解してもらうのは厳しいですよね。1人を中心に、各部署やチームに協力を呼びかけるスタイルだと、社内の説得に時間がかかってしまうのかもしれません。やはりDMARC対応のチームを作って、そのチームが権限を持って進められる状態にしてしまうとスムーズかもしれません。
あとDMARCを推進する上で、社内に説明して、理解してもらって、協力を得るのは結構大変です。メールは企業内でも、いろんな部署やチームが利用していると思います。DMARCの対応が必要だからといって、メールを使っているすべてのメンバーにSPFやDKIMといった技術的な内容を理解してもらうのは厳しいですよね。1人を中心に、各部署やチームに協力を呼びかけるスタイルだと、社内の説得に時間がかかってしまうのかもしれません。やはりDMARC対応のチームを作って、そのチームが権限を持って進められる状態にしてしまうとスムーズかもしれません。
菱沼 チームに技術担当の方が入っているのも大きいなと感じます。メール送信環境の改善となると、なんだかんだ技術者がやらなければいけないことが多いです。DMARCに関する打ち合わせをしても、その場に技術担当の方がいないと、「技術に確認するので持ち帰ります」で終わってしまうことがよくあります。スピード感を持ってDMARCの導入・運用を進めるためには、C&Pさまのように技術担当者が入っているチーム体制がベストだと教えてもらいました。
筒井 そうですね。チームを組むときに、技術担当に入ってもらうのはマストだと考え、加わってもらいました。メールを確実に届けるための環境整備というミッションは我々の責任なので、技術担当も自分ごととして参加してくれているのが大きいと思います。
竹本 なるほど。メール関連については、社内で責任の所在が曖昧になっているケースがよくあります。その曖昧さゆえに、GmailガイドラインやDMARCなどの取り組みがなかなか進まない企業も多いのかなと思っています。その点、C&Pさまの場合、メールが届かないということに対する危機感を強くお持ちで、メールの送信環境をしっかりと整備しようという目的意識をチームの皆さんが共有されているから対応がスピーディーなのですね。
菱沼 最後に、DMARCの運用に取り組んでいる、または検討している企業に対して、メッセージをいただけますか。
筒井 私も最初の頃はあまりに分からないことが多くて、DMARCという言葉を聞くのも嫌な時もありました(笑)。ですが、DMARCの取り組みを進めることで、メールの到達率にも大きな改善が見られましたし、ドメインの信頼性を高めるという意義もわかってきました。社内の理解や協力を得るのに苦労している企業も多いと思いますが、技術的な説明をするのではなく、DMARCによって得られるメリットを理解してもらうのが良いのかなと思います。弊社の場合、どんなに良いWebサイトやメルマガを作っても、お客さまに届かず見てもらえなければ意味がないよねという話をしました。なぜDMARCに取り組む必要があるのか説明できるようになると、徐々に協力が得られるようになりました。
また、DMARCの設定自体は簡単ですが、実際にレポートを確認してみるとDMARC以前の問題もたくさん見えてきたりします。我々はリンクさんにしっかりとサポートいただき、わからないことがあれば逐一相談しながら進めることができましたが、もし個人で調べながらやるとすれば相当難易度が高いと思います。具体的に改善の対応を進めていくためには、専門家によるサポートは必要だと思います。
リンクさんのプレミアムサポートでは、毎月の定例で私たちでは気付けない細かいところまで指摘してくれますし、「こう対処していくのはどうですか?」と、どのようにアプローチすべきかまで提案してくれるところが心強いです。私たちが知らないようなメール業界の情報や新しい技術についても教えてもらえるので、知識も増えていくし、技術的なスキルが上がっていく。DMARCの運用についてお悩みの方、ポリシーの強化を進めていきたい方には本当におすすめしたいですね。
また、DMARCの設定自体は簡単ですが、実際にレポートを確認してみるとDMARC以前の問題もたくさん見えてきたりします。我々はリンクさんにしっかりとサポートいただき、わからないことがあれば逐一相談しながら進めることができましたが、もし個人で調べながらやるとすれば相当難易度が高いと思います。具体的に改善の対応を進めていくためには、専門家によるサポートは必要だと思います。
リンクさんのプレミアムサポートでは、毎月の定例で私たちでは気付けない細かいところまで指摘してくれますし、「こう対処していくのはどうですか?」と、どのようにアプローチすべきかまで提案してくれるところが心強いです。私たちが知らないようなメール業界の情報や新しい技術についても教えてもらえるので、知識も増えていくし、技術的なスキルが上がっていく。DMARCの運用についてお悩みの方、ポリシーの強化を進めていきたい方には本当におすすめしたいですね。
竹本 嬉しいお言葉をありがとうございます! すべてのドメインのDMARCポリシーを引き上げるまではもうひと頑張り必要ですが、これからもしっかりサポートさせていただきます。
株式会社C&P
広告部
筒井 寛貴
広告担当としてさまざまなメディアを用いた集客を行っているほか、メール配信のチームの一員として配信環境の整備を担当する。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメール・ベアサポートのサービス企画・開発、販売促進のためのプリセールスを担当する。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 インサイドセールスチーム
竹本宏美
2019年に株式会社リンクに入社。ベアメールのインサイドセールスとして、ベアメールの導入から運用までを担当する。
