近年なりすましメールの被害が拡大しているとうことで、Googleは2024年2月から、送信者に対してメールを送信する際の条件(認証)を強化する発表がなされました。
お客様など、GmailやYahooメールなど、フリーのメールアドレスへ送信する全ての送信者は、
以下の対策が必要になってきます。
※送信ドメイン認証(SPF、DKIM、DMARC)に対応すること
※メルマガなどのバルクメールは、ワンクリックで登録解除ができるリンクを設置すること。
上記の対策をしていない送信者はGmailやYahoo等のアドレスへ、迷惑メールに振り分けられるのではなく、
そもそもメールが届かなくなってしまいます。
もちろん、風俗革命では、上記の対策は済んでいますが、神奈川県の某学校で、Gmailを使用している受験者への重要なお知らせが、
一切届かなかったという事がありましたのは、記憶に新しいところです。
細かな事を言うと1日の受信数が5000通以下であればSPF又はDKIMの対応が必須、5000通以上であればSPFとDKIMの対応及びDMARCの設定が必須になります。
では、送信ドメイン認証(SPF、DKIM、DMARC)とはいったいなんでしょうか?
SPF(エスピーエフ)
送信元メールサーバのIPアドレスで判別する仕組みです。
SPF(Sender Policy Framework)は、IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認します。具体的には、メール送信時に利用するサーバのIPアドレスなどを、送信者ドメインのDNSに「SPFレコード」として事前に登録します。受信側はメール受信時に、送信元サーバのIPアドレスを送信者ドメインのSPFレコードと照合し、なりすましかどうかを判断する仕組みです。
DKIM(ディーキム)
電子署名を付与してなりすましを検知仕組みです。
DKIM(DomainKeys Identified Mail)は、電子署名を利用してメール送信元が詐称されていないかどうかを確認します。送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、なりすましやメールの改ざんを検知する仕組みです。
DMARC(ディーマーク)
認証失敗時の対応策を定義する仕組みです。
SPF、DKIMの認証結果を活用する仕組みとして注目されている技術がDMARC(Domain-based Message Authentication、Reporting and Conformance)です。これはSPFやDKIMと組み合わせて使う形になります(SPFやDKIMの認証結果を利用してなりすましかどうかを判別します)。更に送信側は、受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として記載し、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断する仕組みです。
お問い合わせフォームやASPからの自動送信メールでの対策
では自社サイトのお問い合わせフォームやASPのサービスやECサイトなどからの送信メールなどの対策の場合
ASPのドメインのメールアドレスを使われている場合はホスト側が認証をしていれば問題はないのですが、別のドメインのメールアドレスを設定されている場合は、送信ドメイン認証(SPF、DKIM、DMARC)を実施し、認証チェックを行う形がとられます。
WordPressでフォームを作っている場合の対策
WordPressで作ったサイトでプラグインのフォームからの送信がGmailに届かないということもよく聞かれます。WordPressの送信の仕組みはPHPのsendmailなので、送信ドメイン認証が必要です。Gmailユーザーが5000通以内だと送信ドメイン認証はSPFだけで良いので、メールアドレスのドメインのDNSサーバにSPFレコード(ドメインAの送信元IPアドレスは*******)の追加するだけで良いかもしれません。ただしDKIM、DMARCまで対応しないといけない場合は「WP Mail SMTP」など外部のプラグインを利用してDKIM、DMARCに対応する必要があります。
以上ざっと説明致しましたが、通常はここまで知る必要はありませんが、風俗革命の契約者様は、安心してご利用できるよう全て対応済みのシステムを用意しております。
メールにおける送信認証について
- 2024.03.04