[技術解説]

2024年1月22日(月)増田 幸美（日本プルーフポイント チーフ エバンジェリスト）

さまざまな業界がDMARC対応を求める

　［前編］対応急務！なりすまし/迷惑メール対策「DMARC」の仕組みと効果で説明した有用性から、さまざまな分野・業界で送信ドメイン認証技術のDMARC（ディーマーク）対応を求める動きが顕在化しています。例えば、ある半導体メーカーは取引条件として、製造・化学・物流の企業に2023年度中にDMARCに対応することを求めました。ある携帯電話端末メーカーも同様に、取引先に対応を求めています。

　経済産業省、警察庁、総務省は2023年2月、クレジットカード会社などに対しDMARC対応を要請しました。2024年1月までに「利用者向けに公開するすべてのドメイン名（メールの送信を行わないドメイン名を含む）について、DMARCを導入すること」および「DMARC導入にあたってはなりすましメールの受信拒否（削除）を行うポリシー（Reject）での運用を行うこと」を求めるものです。

　流通小売業界にも同様の動きが見られます。クレジットカード業界のセキュリティ基準「PCI DSS v4.0」により、フィッシング攻撃を検知し、個人を保護するためのプロセスと自動メカニズムの実装が義務づけられました。

　具体的な期日として、2025年3月までにDMARCに対応する必要があります。対応しない場合は、ビザ（Visa）、マスターカード（Mastercard）などの決済ネットワークによって評価を拒否されたり、4.0非準拠の場合は罰則を課されたりする可能性があります。

対象業界	対応の要件
製造・物流企業	トップ半導体メーカーより、取引先条件として2023年度中に対応することが求められている
クレジットカード企業	経産省務省、警察庁より2024年1月までに対応することが求められている
政府・自治体・独立行政法人	令和5年版の政府統一基準に沿って、2024年7月までに対応することが求められている
流通・小売企業	PCI DSS v4.0に沿って、2025年3月までに対応することが求められている
全般：一定量のメールを送信する企業	グーグル、ヤフー、マイクロソフトのスパム対策として、一定量のメール送信にはDMARCの導入が義務化される （2023年10月に追加された要件）

表1：DMARC/送信ドメイン認証対応が求められている業界（一部）

　民間企業だけにとどまりません。政府は2023年7月改定の令和5年度版政府統一基準において、「中央省庁・自治体・独立行政法人などは2024年7月までにDMARCを導入すること」とし、ポリシーにNoneを設定する期間を可能なかぎり短く、長くても1年以内にすると明記しています。またメールを利用していないドメインについてもDMARCポリシーをRejectにすることや、DMARCに加えてBIMIの導入を検討するよう推奨しています（表1）。

　こうした中で2023年10月、グーグルやヤフー、マイクロソフトが相次いで発表したのが一定量のメールを送信する企業・組織におけるDMARC対応の義務化です。前編の冒頭で触れたように、グーグルはGmailアカウントに1日5000件以上のメールを送信する送信者に対し、2024年2月1日から次の要件に対応するよう義務づけています（同社のガイドラインに沿って詳しく後述します）。

●送信メールを認証すること（送信ドメイン認証が現実的）
●未承諾のメールまたは迷惑メールを送信しないようにすること
●受信者がメールの配信登録を容易に解除できるようにすること

　ヤフーは米国法人の発表になりますが、2024年第1四半期から同様に義務化し、要件はグーグルに準拠するとしています。マイクロソフトもグーグルの発表を受けて、メール一括送信時のプラクティスを警告しました。主に以下を要件としています。

●一括メール送信にMicrosoft 365を用いないこと
●送信制限を超えないよう注意すること
●プライマリドメインを一括送信に使わないこと（サブドメインを使用する）
●送信ドメイン認証技術のSPF/DKIM/DMARCを構成すること

　こうしてグローバル大手のメールサービス事業者が足並みをそろえたわけです。メールを大量送信する企業がこれらの要件を満たさないと、送信したメールが配信されなくなったり、迷惑メールに分類されてしまったりする可能性があります。

グーグル メール送信者ガイドラインの詳細

　それでは、多くの企業・組織で対応が急務のグーグル「メール送信者のガイドライン」について詳しく見ていきましょう。Google Workplaceの管理者ヘルプドキュメントにガイドライン全文が掲載されていますが、以下にポイントになる項目をピックアップしました。専門用語が多いので、できるだけ平易に解説します（図1）。

対応が必須となる対象者

　Googleアカウントに1日5000件以上のメールを送信する送信者（企業・組織）が対象となります。2023年10月の発表時点では、送信先としてメールアドレス末尾が「@gmail.com」または「@googlemail.com」の個人アカウントだけでなく、職場や学校で導入している法人・団体向けサービス「Google Workspace」のアカウントも含むとされていました。

　しかし反響が大きかったためか、同年12月に追加発表されたFAQでは、対象はGmailの個人アカウントのみであり、Google Workspaceは除外されることが追加されました。今後も要件の変更がある可能性があり、Googleは最新の情報を定期的にホームページで確認するよう奨励しています。

　なお、「1日5000件以上のメール」の要件については、12月発表のFAQに、「同じドメインのHeader-Fromごとに24時間以内に5000通を送信したかどうかでカウントする」との記載があります。

送信ドメイン認証技術

　1日5000件未満のメールの送信者は「SPFまたはDKIMのメール認証が必要」で、1日5000件以上の送信者は「SPFおよびDKIMのメール認証が必要」となっており、SPF（Sender Policy Framework）とDKIM（Domain Keys Identified Mail）の両方への対応を求めています。日本ではDKIMの導入率が半数に満たず、まずはDKIMの導入を急ぐ必要があります。なお、SPFとDKIMについての詳細は前編をお読みください（関連記事：海外に後れをとるDMARC導入─日経225企業の導入は6割、半数は監視設定のみ─プルーフポイント調査）。

　SPFとDKIMに加えて、DMARCによる送信ドメイン認証も設定する必要があります。DMARCの適用ポリシー宣言は「None（何もしない）」でも構わないとされていますが、ダイレクトメール（DM）の場合は、送信者のヘッダーFrom（Header-From）内のドメインがSPFドメインまたはDKIMドメインと一致している（アライメントを取っている）必要があります。つまり、実質的にはDMARC認証にパスすることができる、「Quarantine（隔離）」あるいは「Reject（拒否）のレベルまで到達している必要があるのです。

　現時点での情報を基に、グーグルが1日5000件以上の送信者に求めているメール認証要件をまとめたのが図2です。赤枠で囲った3パターンのいずれかを満たす必要があるとお考えください。

ワンクリック配信停止の記載

　新たに追加された要件に、販促・マーケティング用のメールマガジンなどに関するものがあります。登録解除のリンクをわかりやすく表示し、ワンクリックの登録解除に対応するヘッダーを追加する必要があります。この要件は、配信を承諾しているユーザーのみにメールを送信することで、送信メールの量を適正化する狙いがあると考えられます。

　そのほか、受信者が複数の登録をまとめて解除できるようにする手段、あるいは、何度もメールが返送された受信者を自動的に登録解除する手段などを検討する必要があるでしょう。

●Next：DNSレコードの設定、迷惑メール率目標、Header-Fromなりすましの禁止など