Gmailメール送信者ガイドライン改定から約1年 DMARCは導入から運用のフェーズへ。
Gmailの新しい「メール送信者ガイドライン」(以下、新ガイドライン)の運用がスタートしておよそ1年。ガイドラインに対応していないメールは遅延や受け取りを拒否されるなど、その影響は大きくなっています。メールを確実に届けることを支援するサービス「ベアメール」では、2024年5月に続き、2024年12月に全国の事業者のメール配信に関わる担当者を対象に、「Gmailガイドラインの対応およびDMARCの導入・運用実態調査」を実施しました。この半年の間にどんな変化が起こっているのか。最新の調査で見えてきた課題を、プロダクトマネージャーの菱沼憲司が解説します。
[調査概要]
調査方法:インターネット調査
調査主体:株式会社リンク
調査期間:2024年12月25日(水)- 2024年12月27日(金)
調査対象:メールマガジンや一斉配信、システムからの通知メールを配信する全国の事業者のメール配信に関わる担当者
調査対象地域:全国
回答数:1,000
https://baremail.jp/news/release_20250204.php
調査方法:インターネット調査
調査主体:株式会社リンク
調査期間:2024年12月25日(水)- 2024年12月27日(金)
調査対象:メールマガジンや一斉配信、システムからの通知メールを配信する全国の事業者のメール配信に関わる担当者
調査対象地域:全国
回答数:1,000
https://baremail.jp/news/release_20250204.php
1.新ガイドライン適用から約1年が過ぎても、約7割の企業が対応未完了!
―Gmailの送信者ガイドラインが適用開始された2024年2月以降、メール配信に影響があったと回答した人が、2024年6月に実施した前回調査からおよそ2割も増えています。この半年でこれだけ増えている背景には何があったのでしょうか。
新ガイドラインの適用開始から約1年、Googleはガイドライン未準拠のメールに対する規制を段階的に強めてきました。2024年5月頃までは利用者が対応するまでの猶予期間という意味合いから、大きな影響はなく遅延や届かないメールが少し増えたかなという程度でした。
しかし、その猶予期間も終わった6月頃から、本格的に受信拒否が増え始めました。弊社もメール送信サービスを提供しているのでその影響を感じていますが、エラーログを見る限り、拒否の原因としてはDKIM・DMARCなどの未対応が多いようです。そして2024年10月以降もう1段階規制が厳しくなったのか、明らかに遅延や受信拒否が増えています。
さらに同じ時期から、他のメールサービスや携帯キャリアも新ガイドラインに追随する動きを見せています。docomoは2024年10月から、DMARCの認証結果がエラーの場合は「なりすましメールの可能性がある」という注意喚起を端末画面で表示する対応をスタートしています。Yahoo!メールも2024年12月に「SPFかDKIM、もしくはDMARCの認証を導入・判定クリアしていないメールは迷惑メールと判定、または受信を拒否する場合がある」と発表しました。
Gmailだけではなく、各社がDMARCに対応していないメールへの対応を厳しくしていることもあり、送信者の皆さんは全体的にメールが届きにくくなっているのを感じている。その結果がこの数字に表れているのではないでしょうか。
しかし、その猶予期間も終わった6月頃から、本格的に受信拒否が増え始めました。弊社もメール送信サービスを提供しているのでその影響を感じていますが、エラーログを見る限り、拒否の原因としてはDKIM・DMARCなどの未対応が多いようです。そして2024年10月以降もう1段階規制が厳しくなったのか、明らかに遅延や受信拒否が増えています。
さらに同じ時期から、他のメールサービスや携帯キャリアも新ガイドラインに追随する動きを見せています。docomoは2024年10月から、DMARCの認証結果がエラーの場合は「なりすましメールの可能性がある」という注意喚起を端末画面で表示する対応をスタートしています。Yahoo!メールも2024年12月に「SPFかDKIM、もしくはDMARCの認証を導入・判定クリアしていないメールは迷惑メールと判定、または受信を拒否する場合がある」と発表しました。
Gmailだけではなく、各社がDMARCに対応していないメールへの対応を厳しくしていることもあり、送信者の皆さんは全体的にメールが届きにくくなっているのを感じている。その結果がこの数字に表れているのではないでしょうか。
―メールへの影響は感じながらも、新ガイドラインへの対応は約7割が未完了と、前回の調査からほぼ横ばいの状態が続いています。その理由はどこにあるのでしょうか。
前回調査より「対応中」の割合は増えているので、シンプルに対応を完了できていないということだと思います。
Gmailガイドラインへの対応は、メール送信の担当者だけで完結することは難しいです。メールの送信環境を調査したり、設定を変更したりと、メールサーバーやDNSサーバーを管理している担当者に協力を依頼する必要があります。ましてや外部の業者に管理を委託している場合は、作業にかかる費用の見積もりをとり、予算を確保しなければならず、さらに時間がかかります。とはいえこのケースは予算が確保できれば一気に作業が進み、対応が完了するので、特に問題はないでしょう。
Gmailガイドラインへの対応は、メール送信の担当者だけで完結することは難しいです。メールの送信環境を調査したり、設定を変更したりと、メールサーバーやDNSサーバーを管理している担当者に協力を依頼する必要があります。ましてや外部の業者に管理を委託している場合は、作業にかかる費用の見積もりをとり、予算を確保しなければならず、さらに時間がかかります。とはいえこのケースは予算が確保できれば一気に作業が進み、対応が完了するので、特に問題はないでしょう。
前回調査(2024年5月実施)
今回調査(2024年12月実施)
ガイドライン対応の未完了項目を見ると、前回調査と同じく「正引き・逆引きDNSレコードの設定」がトップになっています。以前も話したように、この作業自体は技術的にはそれほど難しいものではありません。
にもかかわらず、52.5%が未完了になっているということは、新ガイドライン対応を進めている担当者、あるいは実際にDNSレコードの設定作業をする人が、具体的に何をしたらいいのか把握できていないために作業が停滞していると考えられます。もしかすると、どうすれば「対応済み」になるのか、そもそも自社の状況はどうなのか、OKなのかNGなのか分からないから「未完了」としているケースもあるかもしれません。
にもかかわらず、52.5%が未完了になっているということは、新ガイドライン対応を進めている担当者、あるいは実際にDNSレコードの設定作業をする人が、具体的に何をしたらいいのか把握できていないために作業が停滞していると考えられます。もしかすると、どうすれば「対応済み」になるのか、そもそも自社の状況はどうなのか、OKなのかNGなのか分からないから「未完了」としているケースもあるかもしれません。
―ガイドライン対応が滞ってしまっている企業はどのように取り組むべきか、対応の方針やアクションについてアドバイスをお願いします。
まずはメール送信環境を調査して、何ができていないのか把握することが必要です。まずはDMARCレポートなどを確認して自社の送信環境を網羅的に洗い出すこと。そして洗い出した環境ごとに、ガイドラインの項目1つ1つの対応状況をチェックしていくしかありません。
1つでGmailガイドラインの項目全てを網羅的にチェックできるツールというのは現状ありませんが、DNSの設定など部分的には確認できるツールはあります。ツールでチェックすることで何が未完了なのか明確になるため、設定変更の作業をお願いするにしても「ここがエラーになっているからこの設定を変えてほしい」と、より具体的な指示を出せます。これで「正引き・逆引きDNSレコードの設定」や「STARTTLSの対応」などはすぐに解消できるはずです。
1つでGmailガイドラインの項目全てを網羅的にチェックできるツールというのは現状ありませんが、DNSの設定など部分的には確認できるツールはあります。ツールでチェックすることで何が未完了なのか明確になるため、設定変更の作業をお願いするにしても「ここがエラーになっているからこの設定を変えてほしい」と、より具体的な指示を出せます。これで「正引き・逆引きDNSレコードの設定」や「STARTTLSの対応」などはすぐに解消できるはずです。
2.導入だけでは不十分! DMARC運用の鍵を握る、分析ツールの活用
―DMARCを導入しているという質問に対し、「はい」が82.8%と前回調査(58.9%)よりも大きく増えています。菱沼さんはDMARCがこれほど早く導入が進むと思っていましたか?
正直、思っていたよりも速いスピードで導入が進んでいる印象です。Gmailガイドラインの影響が一番大きかったと思いますが、わずか半年で20%以上も増えているのは大きな成果だと思います。
しかし、「はい」と答えた人の大半の人は、ガイドラインの要件やメール配信会社からの「DMARCレコードをnoneで設定してください」というアナウンスに従っただけで、DMARC導入の本来の目的までは理解していない可能性があります。
DMARCの本来の目的は、自社のドメインを悪用したなりすましメールを防ぎ、フィッシング詐欺を撲滅するためです。noneの状態では、認証に失敗したメールもそのまま配信するので、なりすましメールの防止にはなっていません。ポリシーを「quarantine(隔離)」「reject(拒否)」へ引き上げたときに初めて、本当の意味でDMARCを導入したと言えるのではないでしょうか。noneで設定しただけで終わらせず、ポリシー強化に向けたDMARCの運用へとステップアップしていってほしいです。
しかし、「はい」と答えた人の大半の人は、ガイドラインの要件やメール配信会社からの「DMARCレコードをnoneで設定してください」というアナウンスに従っただけで、DMARC導入の本来の目的までは理解していない可能性があります。
DMARCの本来の目的は、自社のドメインを悪用したなりすましメールを防ぎ、フィッシング詐欺を撲滅するためです。noneの状態では、認証に失敗したメールもそのまま配信するので、なりすましメールの防止にはなっていません。ポリシーを「quarantine(隔離)」「reject(拒否)」へ引き上げたときに初めて、本当の意味でDMARCを導入したと言えるのではないでしょうか。noneで設定しただけで終わらせず、ポリシー強化に向けたDMARCの運用へとステップアップしていってほしいです。
―ポリシーを引き上げるためにはDMARCレポートを分析する必要がありますが、「分析ツールは導入したが、活用できてない」事業者が約4割を占めています。せっかくの分析ツールを活用できていないのはどうしてなのでしょうか。
前回調査(2024年5月実施)
今回調査(2024年12月実施)
分析ツールを活用できていないのは、DMARCレポートのデータが膨大なため、何を見たらいいか分からないという企業が多いのだと思います。
DMARCの認知度が上がったのと同時に、DMARCレポートの分析にはツールが必要であることも知られるようになりました。しかし、実際に導入してみたものの、「使い方が分からない」とか「どこを見たらいいのか分からない」といった声をよく聞きます。分析ツールさえ導入すれば、パッと何が課題か分かるものだと期待していた人が多いのだと思います。
そもそもDMARCは、一般的にはメールセキュリティの分野になります。メールセキュリティの分野を担当するのは基本的にエンジニアです。そのため分析ツールのほとんどがエンジニア向けに作られており、データ分析やカスタマイズの自由度は高いものの、専門知識のない人にとってはオーバースペックになってしまっていると考えられます。
DMARCが広まってきたことで、最近はエンジニアではない人でも使いやすい分析ツールも登場しています。ベアメール 迷惑メールスコアリングのDMARC分析機能も、非エンジニアの方でも直感的に操作できる、わかりやすいUIを目指して設計しました。分析ツールを活用できていないDMARC担当者は、ツールの見直しを検討してみてもいいかもしれません。
DMARCの認知度が上がったのと同時に、DMARCレポートの分析にはツールが必要であることも知られるようになりました。しかし、実際に導入してみたものの、「使い方が分からない」とか「どこを見たらいいのか分からない」といった声をよく聞きます。分析ツールさえ導入すれば、パッと何が課題か分かるものだと期待していた人が多いのだと思います。
そもそもDMARCは、一般的にはメールセキュリティの分野になります。メールセキュリティの分野を担当するのは基本的にエンジニアです。そのため分析ツールのほとんどがエンジニア向けに作られており、データ分析やカスタマイズの自由度は高いものの、専門知識のない人にとってはオーバースペックになってしまっていると考えられます。
DMARCが広まってきたことで、最近はエンジニアではない人でも使いやすい分析ツールも登場しています。ベアメール 迷惑メールスコアリングのDMARC分析機能も、非エンジニアの方でも直感的に操作できる、わかりやすいUIを目指して設計しました。分析ツールを活用できていないDMARC担当者は、ツールの見直しを検討してみてもいいかもしれません。
3.ポリシー強化に向けた本格的な運用へ
―DMARCを導入している人のうち、すでにポリシーを強化済みが26.3%、対応中が61.8%と約9割の人がポリシー強化に取り組んでいます。菱沼さんはこの数字をどう見ていますか?
すでにポリシー強化を終えている、ポリシー強化に向けて対応中の企業が約9割いることは驚きです。この調査結果を見ると、DMARCの導入フェーズは2024年で終わり、2025年からは本格的な運用のフェーズを迎えると言っていいのではないでしょうか。
DMARCの導入率やポリシー強化の状況は、メールサービスプロバイダ側も把握しています。このペースでDMARCのポリシー強化が順調に進むようなら、今はnoneで良いとされている要件が、近い将来quarantine以上に引き上げられる可能性があります。早ければ1年以内、遅くとも数年以内に起こるものとして、考えておかなければいけません。noneからquarantineへの引き上げ作業には、どんなに急いでも半年程度の期間が必要です。いざという時に備え、なるべく早くポリシー強化の取り組みを始めておいたほうがいいでしょう。
また、ポリシー強化の必要性は、送信者ガイドラインへの対応だけに留まりません。
以前はDMARCを導入していれば、ポリシーがnoneだったとしても「なりすまし」に対し一定の抑止力になっていました。しかし、DMARCが普及し、quarantineやrejectに設定するドメインが増えてきたことで、ポリシーがnoneのドメインを狙うスパマーが急増しています。
自社ドメインを悪用してなりすましメールを送信されると、新ガイドラインの基準である迷惑メール率0.3%以下の条件を満たせなくなることに加え、IPアドレスやドメインのレピュテーションが低下する恐れがあります。その状態を放置すると、自社の正当なメールも届かなくなるなど、自社ブランドにマイナスの影響を及ぼす可能性もでてきます。自社ドメインへのなりすましを防止するというDMARC本来の目的からも、今、ポリシー強化が求められています。
以前はDMARCを導入していれば、ポリシーがnoneだったとしても「なりすまし」に対し一定の抑止力になっていました。しかし、DMARCが普及し、quarantineやrejectに設定するドメインが増えてきたことで、ポリシーがnoneのドメインを狙うスパマーが急増しています。
自社ドメインを悪用してなりすましメールを送信されると、新ガイドラインの基準である迷惑メール率0.3%以下の条件を満たせなくなることに加え、IPアドレスやドメインのレピュテーションが低下する恐れがあります。その状態を放置すると、自社の正当なメールも届かなくなるなど、自社ブランドにマイナスの影響を及ぼす可能性もでてきます。自社ドメインへのなりすましを防止するというDMARC本来の目的からも、今、ポリシー強化が求められています。
―ポリシーの強化が重要なことがよく分かりました。ただ、ポリシー強化に取り組む意志はありながらも、「レポート可視化後、何をしたらいいのか分からない」事業者が48.6%と、約半数を占めています。最後にポリシー強化に悩んでいるDMARC担当者にメッセージをお願いします。
DMARCの運用と聞くと難しく感じるかもしれませんが、基本的には送信環境をチェックしてエラーの原因を見つけ、優先順位を付けて改善していく。この作業の繰り返しです。DMARCレポートの分析といっても見るべきポイントは決まっているので、一度PDCAのサイクルが構築できれば、後はそれを回していくだけです。
膨大なデータを見てくじけそうになる気持ちも分かりますが、そういう時こそ「優先順位付け」と「小まめなPDCAサイクル」が重要であることをお伝えしたいですね!
ただし、特に最初は手間と時間がかかりますので、人的リソースを割けないというのであれば、我々のようなサービスベンダーに相談することもおすすめします。運用支援もできますし、最初の段階だけサポートに入り、PDCAサイクル確立後は分析ツールを活用して、社内のメンバーだけで進めていくといった対応も可能です。コストや人的リソースに合わせて様々なご提案ができますので、ポリシー強化に向けて何をしたらいいのか分からない、進めていたけど停滞しているという方は、ぜひ気軽に相談いただければと思います。
膨大なデータを見てくじけそうになる気持ちも分かりますが、そういう時こそ「優先順位付け」と「小まめなPDCAサイクル」が重要であることをお伝えしたいですね!
ただし、特に最初は手間と時間がかかりますので、人的リソースを割けないというのであれば、我々のようなサービスベンダーに相談することもおすすめします。運用支援もできますし、最初の段階だけサポートに入り、PDCAサイクル確立後は分析ツールを活用して、社内のメンバーだけで進めていくといった対応も可能です。コストや人的リソースに合わせて様々なご提案ができますので、ポリシー強化に向けて何をしたらいいのか分からない、進めていたけど停滞しているという方は、ぜひ気軽に相談いただければと思います。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。
