2023年10月頃にGoogleからメール送信者のガイドラインが発表されました。
- 2024年2月からSPFまたはDKIMによるメール認証をしていないメールについては、Gmailに届かなくなる可能性がある
- Gmail宛に1日5,000件以上メールを送信する場合は、上記SPF/DKIMに加え、DMARCの対応もしていないとメールが届かなくなる可能性がある
当初、対象は個人用Gmailアカウントだけではなく、法人向けのGoogle Workspaceも対象になっていましたが、現在ではGoogle Workspaceは、一旦対象外となっています。
ただし、その内Google Workspaceのビジネスアカウントも対象になる可能性が高いです。
なお、個人用Gmailアカウントとは、@gmail.comや@googlemail.comのメールアドレスになります。
既に2月に入っているのでもう適用されています。
年末くらいからレンタルサーバー会社やメルマガ配信サービス等経由で、対策を必ずしてくださいという旨の連絡を受けているお客様も多いと思います。
なお、米国Yahooも同様の発表をしています。
SPFとは
SPFとはSender Policy Frameworkの略になります。
このドメインからは、このサーバーやこのIPアドレス、この外部サービスからメールを送信しますので、それ以外の場合は迷惑メールやなりすましと判断してくださいという宣言です。
フォローウインドのドメインはf-wind.co.jpですが、弊社のSPFレコードは以下になっています。
"v=spf1 include:_spf.google.com include:_spf.activegate-ss.jp include:amazonses.com +ip4:52.195.75.248 ~all"
フォローウインドでは、メールサーバーにGoogle Workspaceを利用しているので、まず最初のinclude:_spf.google.comで、Google Workspaceからメールを送信しますよと宣言。
次に、添付ファイルのTLS暗号化サービスとして、クオリティア社のActive! Gate SSというサービスを導入しているので、include:_spf.activegate-ss.jpを記述。
フォローウインドのWebサーバーはAWS(Amazon Web Service)上で稼働しています。
Webサイトからのメールは全てAWSのAmazon SES(Amazon Simple Email Service)から送信されるので、include:amazonses.comを記述。
最後のIPアドレスはAWS上のEC2インスタンスのグローバルIPを念のため追加。
これにより、f-wind.co.jpから送信されるメールは、基本的に上記の記述にあるサーバー等から送信されますという宣言をしています。
なお、末尾の~(チルダ)が重要で、チルダの場合は、基本的にこれらの記述のサーバー等から送信する。
末尾を-(ハイフン)にすると、これらの記述のサーバー等からしか送信しない、という厳密な宣言になります。
DKIMとは
DKIMとはDomainKeys Identified Mailの略になります。
電子署名を利用してメール送信元が詐称されていないかどうかを確認する技術で、送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知します。
DKIMレコードは複数設定が可能です。
※逆に言えば、SPFレコードとDMARCレコードは、利用ドメインに対して1つの宣言のみとなります。
フォローウインドの場合、Google WorkspaceとActive! Gate SS、Amazon SESからメールを送信するので、これらのサービスで発行されたDKIMレコードをそれぞれ追加してあります。
DMARCとは
DMARCとはDomain-based Message Authentication、Reporting and Conformanceの略になります。
実はSPFとDKIMの組み合わせは、現時点ではまだ完璧ではありません。
それを補完するために最近注目されているのが、この3つ目のDMARCになります。
DMARCレコードはSPFやDKIMの認証が失敗した場合の対応策を定めたものです。
送信側は受信側の認証失敗時の推奨アクションをDNSにDMARCポリシーとして宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うかを判断します。
DMARCポリシーにReject(拒否する)と定義されていれば受信メールを棄却。
Quarantine (隔離する)と定義されていれば、隔離。
None(何もしない)と定義されていれば、一旦受信してエンドポイントで判断する。
こうすることで、SPFやDKIMの認証結果だけでは判断できなかったなりすましメールを排除することができます。
なおDMARCに関しては、SPFもしくはDKIMが正しく設定されている必要があります。
この3つの送信ドメイン認証技術を正しく設定・運用することで、利用ドメインから送信されるメールのなりすまし送信や迷惑メール配信を未然に防ぐことが可能になります。
DNSレコード設定
これらの設定は全てDNSレコードに記述する必要があります。
例えばさくらインターネットでドメインを取得して、レンタルサーバーも契約して、かつメールもさくらインターネットのサーバーをメールサーバーとして利用している場合、一般的にDNSサーバーはさくらインターネットが提供するものを利用することになるので、コントロールパネルでDKIMやDMARCの設定が容易に可能です。
お名前ドットコムでDNSサーバーのみを利用している場合は、個別にレコードを追加する必要があります。
フォローウインドのDNSサーバーは、Amazon Route53を利用しているので、Route53上でレコードを追加するのですが、とにかくRoute53のDNSレコードの浸透速度が早い!
DKIMの設定はレコード追加後に、認証作業が必要になるので、DNSレコードの浸透後に作業が必要になります。
Route53だとその場で認証まで完了できます。
最近はお名前ドットコムも数時間で浸透確認できるようになりましたが、昔はそれこそ数日間かかる時代もありましたからね。