メール認証:Googleの新しい要件がビジネスに意味すること

Todd Stansfield

1月 05 2024

1 分で読める

What Google’s New Requirements Mean For Your Business

メール認証プロトコルは、メールの脅威から保護するための重要な一連の対策です。これらの標準は、フィッシングやスピアフィッシング攻撃の基礎を成すメールスプーフィングの手法を防止するのに役立ちます。それでも、これらのセキュリティ対策の実装は絶対的なものではありません。ある推定によると、送信者のなりすましを防ぐために不可欠な標準であるDMARCの施行ポリシーを備えている組織は10組織中2 組織未満です。

しかし、それはすぐに変わるかもしれません。GoogleとYahooは、2024年2月に新しいメール認証要件を採用することを発表しました。これにより、プラットフォーム間でメールが確実に正常に配信されるようにために組織が従うべき新しいルールが導入されます。

この記事では、Googleの新しい要件を確認し、それがビジネスにとって何を意味するのかを検討します。

送信者に対するGoogleの新しい要件 

2023年10月、GoogleとYahooは共同でメール認証の新しい標準を採用することを発表しました。これには、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain Message Authentication, Reporting, and Conformance(DMARC)が含まれます。

  • SPFは、管理者が正当な送信者を指定できるようにすることで、不正な送信者がドメインに代わってメールを送信することを防ぎます。
  • DKIMは、ドメインにリンクされた送信メールのデジタル署名を作成し、ドメイン名がスプーフィングや偽造などで変更されていないかどうかを検証します。
  • DMARCを使用すると、ドメインの所有者は、DMARCポリシーをドメインネームシステム(DNS)レコードに公開することで、自分のドメインを検証できます。DMARCポリシーは、メールがSPFやDKIM認証に失敗した場合に実行すべき処理を決定します。

GoogleとYahooの新しい要件は組織のメールの使用状況によって異なり、大きく2つのカテゴリーに分類されます。

 

すべての送信者 

  1. 組織が送信するメール数に関係なく、Googleは次の方策を遵守することを要求します。これらはすべて、悪意のあるメール、迷惑メール、スパムメールを削減しながら、メールセキュリティを強化することを目的としています。

    1. ドメインのSPFDKIMを設定する。 絶対的に確実とは言えませんが、SPFとDKIMはメールスプーフィングを防止し、侵害のリスクを軽減するのに役立ちます。
    2. IPや送信ドメインに有効なフォワードおよびリバースのDNSレコードがあることを確認する。これにより、送信ホスト名が送信IPアドレスに確実にマッピングされます。
    3. メールの送信にはトランスポート層セキュリティ(TLS)接続を使用する。TLSはプライバシーを確保するためにメールを暗号化してセキュリティを強化しますが、送信者と受信者の両方がこのプロトコルを使用している場合にのみ機能します。Google Workspaceを使ってTLSを有効にして設定できます。
    4. スパムを最小限に抑える。GoogleのPostmaster Toolsで報告されるスパム率を1%未満に留め、決して0.3%に達しないようにしてください。スパム率が0.3%のしきい値を超えると、Googleによるスパム分類が増加する可能性があります。メールがスパムとして分類されるのを防ぐために、Googleでは、送信者がPostmaster Toolsでスパムレポートを定期的に確認することを推奨しています。
    5. Internet Message Format Standardに従ってメール形式を設定する。この標準はメールメッセージの基本形式を定義します。
    6. GmailFrom: ヘッダーを偽装しない。Googleは、GmailのFrom: ヘッダーを偽装するメールの配信を隔離したり阻止したりする新しいDMARC施行ポリシーを採用しています。
    7. メールを定期的に転送する場合は、送信メールにARCヘッダーを使用する。Googleでは、転送サービスやメーリングリストなど、メールを定期的に転送する特定の送信者に対して、メールにAuthenticated Received Chain(ARC)ヘッダーを追加することを推奨しています。これらのヘッダーがあれば、メールが複数の仲介者を通過するときにSPFおよびDKIM認証が維持されます。メーリングリストの送信者に対して、Googleでは、メーリングリストを明確に識別するために、送信メールにList-id: ヘッダーを追加することを推奨しています。

大量送信者(1日あたり5,000件以上のメールを送信する)

1日あたり5,000件以上のメールを送信する組織は、上記の要件以上の追加の要件に従わなければなりません。

  1. SPFDKIMDMARCを設定する。Googleでは、3つのプロトコルをすべて採用し、ダイレクトメールに対してDMARC連携を有効にすることを要求しています。後者は、送信者のFrom: ヘッダーがSPFあるいはDKIMドメインのいずれかに一致しなければならないことを意味しています。GoogleはDMARCの導入を強く求めていますが、Gmailでは施行ポリシーを「なし」に設定できます。 このポリシーは、メールがSPFやDKIMのチェックに失敗した場合でも、DMARCがメールに作用しないことを意味します。
  2. 受信者がワンクリックでサブスクリプションを解除できるようにする。スパムメールを減らすために、マーケティングメールには今後のメール購読を解除するためのリンクが組み込まれていなければなりません。リンクは分かりやすく表示しなければならず、1回クリックするだけでオプトアウトできることが求められます。

新しい要件が意味すること

これらの変化が示すように、GoogleとYahooは、メール認証の重要性とメール脅威の蔓延を明確に認識しています。彼らの取り組みは、NIST、ANSSI、その他の著名なサイバーセキュリティ機関の長きにわたる推奨事項に倣ったものです。

メールは組織にとって重大なリスクではありますが、事業継続性の中核をなすものです。GmailとYahooが予定している重要な変更点を理解して、メールを活用できるように保護しましょう。

ニュースレターに登録すると、メールセキュリティの最新の傾向と脅威に関する最新情報を入手できます。