GoogleとYahooのメール送信ガイドライン対策

カテゴリ: 今月のヒヤリ

より安全にメールを利用できるように、
Googleと米Yahoo!から発表されたガイドラインの対応を
弊社でも行ないましたのでご報告いたします。

具体的なガイドラインはこちらとなります。

・Gmail送信者ガイドライン
Email sender guidelines – Google Workspace Admin Help
・Yahoo!送信者ガイドライン
More Secure, Less Spam: Enforcing Email Standards for a Better Experience

ガイドラインの対応をする前は、
SPF(Sender Policy Framework)の設定のみをしており、
弊社から送られるメールについては、
送信者のドメインの詐称を防ぐため、
送信ドメインの正当性を検証できるようにしておりました。

ただ、この対応だけでは、
弊社のメールアドレスを悪用して、
メールを送信することをゼロにすることはできません。
実際に、自分のメールアドレスから、
自分宛にメールが送信されてくることも数は少ないですがありました。

さらなるなりすまし対策として、
DKIM(Domain Keys Identified Mail)という
電子署名を用いて送信ドメインの認証を行う仕組みを導入しました。
メールのコンテンツを改変して騙すことができないようにするというものにはなるので、
これだけではなりすましを完全に防ぐことはできません。

今回のガイドラインにもあるように、
DMARC(Domain-based Message Authentication Reporting & Conformance)という、
なりすましメールを検知して防止するメール検証の仕組みも導入しました。

フィッシングメールやスパムメールでよく使われるような
正当な組織から送信されたように見せかけて
送信者アドレスを偽装したメールなどを阻止するのに役立ちます。

上記については、
現在利用されているメールアドレスを保護するための仕組みになり、
あくまで正当な組織からのメールを保護するための仕組みとなります。

From名 <メールアドレス>
という形式でいくらでもメールを送信することができてしまいます。

From名は実在する組織名やサイト名が設定されているが、
<メールアドレス>は全く知らないメールアドレスが設定されているメールを受信した場合、
メーラーによっては迷惑メールとして処理される可能性もありますが、
普通に受信されてしまうことの方が多いと思います。

このようなメールを受信した場合、
差出人のメールアドレスを確認して、
差出人のメールアドレスが正当なものであるかどうかを確認することが重要となります。

思わぬトラブルを避けるためにも、
メールの差出人のメールアドレスを確認する習慣を身につけていただければと思います。